一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法和系統的制作方法

一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法和系統的制作方法
【專利摘要】本發明提供一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法和系統，系統包絡網絡數據包采集模塊、報文格式識別模塊、模糊推理模塊和報警模塊；其中網絡數據采集模塊、報文格式識別模塊先后串聯，報文格式識別模塊傳遞出流量屬性信息給模糊推理模塊和報警模塊，模糊推理模塊傳遞出推理結果給報警模塊，本發明解決了分布式網絡攻擊流量識別、預警問題，通過使用本發明可以結合網絡流量特征定義模糊推理中的知識庫，有效提高了分布式網絡攻擊的識別率，降低了分布式網絡攻擊的虛警率。
【專利說明】
-種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法和 系統
技術領域
[0001] 本發明屬于網絡安全技術領域，設及網絡攻擊檢測，特別設及一種基于模糊推理 的分布式拒絕服務網絡攻擊檢測方法和系統。
【背景技術】
[0002] 隨著網絡通信技術和計算機技術的不斷發展，網絡安全問題層出不窮。在網絡安 全問題中，分布式拒絕服務攻擊越來越多的被運用到攻擊事件中，由于其阻斷目標通信和 服務和的效果危害顯著，使其成為計算機網絡攻擊的主要手段之一。
[0003] 分布式拒絕服務攻擊是指借助于客戶/服務器技術，木馬病毒技術，僵尸網絡技術 等將多個計算機、服務器、網絡設備聯合起來作為攻擊平臺，對一個或多個網絡目標發動分 布式拒絕服務攻擊。攻擊者通過控制軟件、程序控制多臺網絡設備在同一時間對某個網絡 設備重復發送大量崎形報文、連接請求、服務請求造成被攻擊的網絡設備帶寬擁擠、硬件資 源耗盡、服務擁痕達到攻擊者的破壞目的。
[0004] 模糊推理是一項上世紀屯十年代發展起來的基于模糊數學的控制技術。實踐中， 許多大規模的復雜系統很難用精確的數學表達式來表示其模型，于是智能控制的出現，可 W有效地將熟練操作工、技術人員或專家的經驗知識與控制理論結合起來去解決復雜系統 的控制問題。1965年，美國的L.A.Zadeh創立了模糊集合論，1973年他給出了模糊邏輯控制 的定義和相關的定理。1974年，英國的E.H.Mamdani首先用模糊控制語句組成模糊控制器， 并把它應用于鍋爐和蒸汽機的控制，在實驗室獲得成功。相比傳統的控制技術，模糊控制具 有無需知道被控對象數學模型、可W反映人類思維方式智能控制、控制規則易于理解、構造 容易、高魯棒性等優勢。
[0005] 入侵檢測是入侵檢測是對入侵行為的檢測。它通過收集和分析網絡行為、安全日 志、審計數據、其它網絡上可W獲得的信息W及計算機系統中若干關鍵點的信息，檢查網絡 或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安 全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前 攔截和響應入侵。入侵檢測系統可分為特征檢測與異常檢測兩種。目前入侵檢測產品主要 使用特征檢測實現，即通過檢測主體活動是否符合已知的入侵模式、規則。運種方法對新的 入侵方式無能無力，其使用難點在于定義出合適的模式、規則。分布式拒絕服務網絡攻擊具 有非線性、非時變難于定義特征的特點，造成了現有的入侵檢測系統不能有效的對分布式 拒絕服務網絡攻擊進行告警或產生大量虛警，因此找到一種異常檢測辦法十分必要。

【發明內容】

[0006] 為了克服上述現有技術的缺點，本發明的目的在于提供一種基于模糊推理的分布 式拒絕服務網絡攻擊檢測方法和系統，解決了入侵檢測問題中分布式拒絕服務網絡攻擊的 識別問題，通過使用本發明可W結合具體的網絡環境配置系統的相關參數，有效提高入侵 檢測對分布式拒絕服務網絡攻擊的識別率和準確率。
[0007] 為了實現上述目的，本發明采用的技術方案是：
[0008] 一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，包括W下步驟：
[0009] 步驟1:獲取網絡數據包；
[0010] 步驟2:對獲取到的網絡數據進行識別，該步驟是對已知協議的識別，解析已知的 協議；
[0011] 步驟3:用已知的分布式拒絕服務網絡攻擊特征規則匹配網絡數據，如果匹配進行 報警，不匹配則對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行提取；
[0012] 步驟4:對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行模糊 化；
[0013] 步驟5:根據知識庫和規則庫對輸入進行模糊推理；
[0014] 步驟6:對推理結果進行去模糊化；
[0015] 步驟7:根據推理結果選擇是否告警。
[0016] 所述步驟1中，從網絡中通過W下兩種方式采集網絡數據包：
[0017] 1)采用網絡嗅探方式獲取網絡數據包，所述嗅探方式是指將網絡設備的網卡設置 為混雜模式，通過調用網絡截包工具來捕獲所在線路的網絡數據包；
[0018] 2)通過網絡端口鏡像功能獲取網絡數據包，所述端口鏡像方式是指將將網絡設備 的采集端口映射到另一端口，數據實現實時拷貝，從而實現數據包采集；
[0019] 所述步驟2和步驟3具體包括W下步驟：
[0020] 1)可配置過濾網絡數據包的源和目的地址的ip、端口、協議，默認不進行過濾；
[0021] 2)用報文格式庫已知的傳輸協議匹配捕獲的網絡數據包格式，得到識別結果；
[0022] 3)對初始化時參數設置的網絡數據包進行速率、速率增速計算W及IP地址數量、 增速計算；
[0023] 4)提取計算得到的參數。
[0024] 所述步驟4中模糊化是將輸入的精確數值轉換成模糊量，具體過程為:尺度變化， 將輸入變量由基本論語變換到各自的論域范圍，將變換后的輸入量進行模糊化，使精確的 輸入量變成模糊量，并用相應的模糊集來表示。
[0025] 所述步驟5中，知識庫為數據庫，主要包括各語言變量的隸屬函數，尺度變換因子 及模糊空間的分級數;規則庫包括用模糊語言變量表示的一系列控制規則，它們反映了控 制專家的經驗和知識，所述模糊推理模擬人的基于模糊概念的推理能力，根據輸入的速率 W及速率增量進行模糊推理，得到推理結果;所述步驟6中，去模糊化是將模糊推理得到的 模糊控制量變化為實際用于控制的清晰量，包括將模糊量經清晰化變換成論域范圍的清晰 量W及將清晰量經尺度變換成實際的網絡攻擊指示信息。
[00%]所述步驟7中，根據模糊推理結果匹配已有的攻擊特征，如果匹配則進行報警。
[0027] 本發明還提供了一種基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，包括：
[0028] 用于從網絡中獲取網絡數據包的網絡數據包采集模塊；
[0029] 用于對所獲取網絡數據包進行識別W得到流量屬性信息的報文格式識別模塊；
[0030] 用于將所述流量屬性信息模糊化并進行模糊推理及去模糊化的模糊推理模塊；
[0031] W及用于根據模糊推理模塊的推理結果進行報警的監控報警模塊。
[0032] 所述網絡指計算機通信交換數據使用的網絡，形式上包括廣域網骨干網絡和交換 式W太局域網絡，所述網絡數據包采集模塊對所在線路的網絡數據包進行全部采集，之后 將獲取到的網絡數據包發給報文格式識別模塊。
[0033] 所述報文格式識別模塊對網絡數據包采集模塊發送的網絡數據包進行過濾和分 析識別，包括：
[0034] 1)報文格式識別模塊系統參數初始化，可配置過濾網絡數據包的源和目的地址的 ip、端口、協議，默認不進行過濾；
[0035] 2)用報文格式庫已知的傳輸協議匹配捕獲的網絡數據包格式，得到識別結果；
[0036] 3)對初始化時參數設置的網絡數據包進行速率、速率增速計算W及IP地址數量、 增速計算；
[0037] 4)將網絡數據包格式、速率、數據包速率增速、IP地址數量、IP地址增速發送給模 糊推理模塊。
[0038] 所述模糊推理模炔基于模糊推理，包括：
[0039] 1)模糊化，將輸入的精確數值轉換成模糊量，具體過程為:尺度變化，將輸入變量 由基本論語變換到各自的論域范圍，將變換后的輸入量進行模糊化，使精確的輸入量變成 模糊量，并用相應的模糊集來表示，根據網絡數據包采集模塊獲取到的數據包格式將數據 包速率、數據包速率增速、IP地址數量、IP地址增速進行模糊化；
[0040] 2)知識庫：即數據庫，主要包括各語言變量的隸屬函數，尺度變換因子及模糊空間 的分級數；
[0041] 3)規則庫:包括了用模糊語言變量表示的一系列控制規則，它們反映了控制專家 的經驗和知識；
[0042] 4)模糊推理:模擬人的基于模糊概念的推理能力，根據輸入的速率W及速率增量 進行模糊推理，得到推理結果；
[0043] 5)去模糊化:將模糊推理得到的模糊控制量變化為實際用于控制的清晰量，包括： 將模糊量經清晰化變換成論域范圍的清晰量。將清晰量經尺度變換成實際的網絡攻擊指示 信息。
[0044] 所述的報警模塊根據模糊推理結果和報文格式識別模塊匹配已有的攻擊特征，若 匹配或者部分匹配則進行報警。
[0045] 現有的入侵檢測系統主要采用特征匹配和異常檢測兩種方法來進行入侵檢測，與 現有技術相比，本發明通過將模糊控制方法引入入侵檢測，針對分布式拒絕服務攻擊，將網 絡流量數據格式識別模塊得到的輸入量按照模糊理論得到模糊控制量，根據推理規則的出 結論，解模糊后選擇是否告警。針對分布式拒絕服務攻擊非線性、強禪合、時變和遲滯特性。 入侵檢測系統沒有統一數學模型、沒有統一攻擊特征、不易檢測、檢測響應遲滯的現有情 況，提出此方法提高了針對分布式攻擊的檢測率，和響應速度，降低了虛警率。
【附圖說明】
[0046] 圖1是本發明實施例中基于模糊推理的分布式拒絕服務網絡攻擊檢測方法流程 圖。
[0047] 圖2是本發明實施例中基于模糊推理的分布式拒絕服務網絡攻擊檢測系統結構 圖。
[0048] 圖3是本發明實施例中基于模糊推理的分布式拒絕服務網絡攻擊檢測系統模糊推 理模塊結構圖。
[0049] 圖4是本發明網絡參數接入模糊推理器的示意圖。
【具體實施方式】
[0050] 下面結合附圖和實施例詳細說明本發明的實施方式。
[0051] 本發明提供一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法和系統，圖1 為本發明提供的基于模糊推理的分布式拒絕服務網絡攻擊檢測方法一個實例的流程圖，如 圖1所示，包括W下步驟：
[0052] 步驟1:使用網絡嗅探工具或鏡像網絡傳輸設備中數據源端口，獲取網絡數據包；
[0053] 步驟2:對獲取到的網絡數據進行識別；
[0054] 步驟3:用已知的分布式拒絕服務網絡攻擊特征規則匹配網絡數據，如果匹配進行 報警，不匹配則對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行提取；
[0055] 步驟4 :對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行模糊 化；
[0056] 步驟5:根據知識庫對輸入進行模糊推理；
[0057] 步驟6:對推理結果進行去模糊化；
[005引步驟7:根據推理結果選擇是否告警。
[0059] 本發明還提供一種基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，如圖2,系 統包括網絡數據包采集模塊，報文格式識別模塊、模糊推理模塊和監控報警模塊;其中網絡 數據采集模塊、報文格式識別模塊先后串聯，報文格式識別模塊傳遞出流量屬性信息給模 糊推理模塊和報警模塊，模糊推理模塊傳遞出推理結果給報警模塊。
[0060] 本發明中，網絡指計算機通信交換數據使用的網絡，形式上包括廣域網骨干網絡 和交換式W太局域網絡。針對計算機數據傳輸網絡，網絡數據包采集模塊從網絡中通過W 下兩種方式采集網絡數據包：
[0061] 1)采用網絡嗅探方式獲取網絡數據包，嗅探方式是指將網絡設備的網卡設置為混 雜模式，通過調用網絡截包工具來捕獲所在線路的網絡數據包；
[0062] 2)通過網絡端口鏡像功能獲取網絡數據包，端口鏡像方式是指將將網絡設備的采 集端口映射到另一端口，數據實現實時拷貝，從而實現數據包采集。
[0063] 報文格式識別模塊對網絡數據包采集模塊發送的網絡數據包進行過濾和分析識 別，包括：
[0064] 1)報文格式識別模塊系統參數初始化，可配置過濾網絡數據包的源和目的地址的 ip、端口、協議，默認不進行過濾；
[0065] 2)用報文格式庫已知的傳輸協議匹配捕獲的網絡數據包格式，得到識別結果；
[0066] 3)對初始化時參數設置的網絡數據包進行速率、速率增速計算，IP地址增速計算；
[0067] 4)將網絡數據包格式、速率、數據包速率增速、IP地址數量、IP地址增速發送給模 糊推理模塊。
[0068] 模糊推理模炔基于模糊推理，模糊推理模塊的一般結構如圖3所示，其中網絡數據 提取的參數可按照圖4的方式接入，模糊推理模塊包括：
[0069] 1)模糊化，將輸入的精確數值轉換成模糊量。具體過程為:尺度變化，將輸入變量 由基本論語變換到各自的論域范圍。
[0070] W分布式網絡攻擊為例，可W將所監測的輸入數據包速率、和數據包增速速率劃 分模糊區間，參考所監控網絡中流量情況定義數據包速率。
[0071 ]模糊處理:將變換后的輸入量進行模糊化，使精確的輸入量變成模糊量，并用相應 的模糊集來表示。根據網絡數據包采集模塊獲取到的數據包格式將數據包速率、數據包速 率增速、IP地址數量、IP地址增速進行模糊化。
[0072] 2)知識庫：即數據庫，主要包括各語言變量的隸屬函數，尺度變換因子及模糊空間 的分級數等。根據分布式網絡攻擊流量數據特點和正常的網絡流量數據特點選擇合適的變 換函數和變換因子W及模糊的分級數。
[0073] 隸屬度函數是用來描述模糊集合的模糊性，能使集合的橫棚據忡巧反算本質更加 清晰。可W用高斯函數作為描述輸入變量的隸屬度函數：
^斯函數易 于實現，其中屯、Cl和寬度Oi構成了一個簡便的參數集合W進行初始化，還可用于自適應模糊 系統的訓練。
[0074] 隸屬度函數用于說明所取得的樣本歸屬于哪一類事物，根據客觀情況確定待分事 物的種類數，根據概率統計的出相應種類的高斯函數參數。其中參數意義如下：
[0(T[i
[0076] 將待分類的事物，依次帶入隸屬度函數中，取得最大隸屬度得到該類事物的分類， 完成連續型輸入參數的模糊化。
[0077] 3)規則庫:規則庫包括了用模糊語言變量表示的一系列控制規則。它們反映了控 制專家的經驗和知識。
[0078] 用模糊語言可W建立模糊控制規則，模糊規則的一般形式為：If e is NS and ec is NB then U is PB.
[0079] 根據分布式網絡攻擊流量數據特點和正常的網絡流量數據特點定義模糊推理中 合理的推理規則。
[0080] 4)模糊推理:模糊推理是模糊控制器的核屯、，它具有模擬人的基于模糊概念的推 理能力。根據輸入的速率W及速率增量進行模糊推理，得到推理結果。模糊推理或模糊決策 過程的輸出，往往是兩個或多個模糊隸屬度函數的邏輯并集，運些函數使被定義在輸出變 量的論域上。
[0081] 5)去模糊化:將模糊推理得到的模糊控制量變化為實際用于控制的清晰量。包括： 將模糊量經清晰化變換成論域范圍的清晰量。將清晰量經尺度變換成實際的網絡攻擊指示 f胃息D
[0082] 運用加權平均法，該方法適合于輸出模糊集的隸屬度函數是對稱的情況，在模糊 控制中應用較為廣泛。其計算公式為
專中曰詞日如,的）分別表 示各對稱隸屬度函數的質屯、和隸屬度函數值。
[0083]
[0084] 報警模塊根據模糊推理結果和報文格式識別模塊匹配已有的攻擊特征，按照設置 的報警規則進行報警。
【主權項】
1. 一種基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，其特征在于，包括以下步 驟： 步驟1:獲取網絡數據包； 步驟2:對獲取到的網絡數據進行識別； 步驟3:用已知的分布式拒絕服務網絡攻擊特征規則匹配網絡數據，如果匹配進行報 警，不匹配則對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行提取； 步驟4:對數據包速率、數據包速率增速、IP地址數量、IP地址增速參數進行模糊化； 步驟5:根據知識庫和規則庫對輸入進行模糊推理； 步驟6:對推理結果進行去模糊化； 步驟7:根據推理結果選擇是否告警。2. 根據權利要求1所述基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，其特征在 于， 所述步驟1中，從網絡中通過以下兩種方式采集網絡數據包： 1) 采用網絡嗅探方式獲取網絡數據包，所述嗅探方式是指將網絡設備的網卡設置為混 雜模式，通過調用網絡截包工具來捕獲所在線路的網絡數據包； 2) 通過網絡端口鏡像功能獲取網絡數據包，所述端口鏡像方式是指將將網絡設備的采 集端口映射到另一端口，數據實現實時拷貝，從而實現數據包采集； 所述步驟2和步驟3具體包括以下步驟： 1) 可配置過濾網絡數據包的源和目的地址的ip、端口、協議，默認不進行過濾； 2) 用報文格式庫已知的傳輸協議匹配捕獲的網絡數據包格式，得到識別結果； 3) 對初始化時參數設置的網絡數據包進行速率、速率增速計算以及IP地址數量、增速 計算； 4) 提取計算得到的參數。3. 根據權利要求1所述基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，其特征在 于，所述步驟4中模糊化是將輸入的精確數值轉換成模糊量，具體過程為:尺度變化，將輸入 變量由基本論語變換到各自的論域范圍，將變換后的輸入量進行模糊化，使精確的輸入量 變成模糊量，并用相應的模糊集來表示。4. 根據權利要求1所述基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，其特征在 于，所述步驟5中，知識庫為數據庫，主要包括各語言變量的隸屬函數，尺度變換因子及模糊 空間的分級數;規則庫包括用模糊語言變量表示的一系列控制規則，它們反映了控制專家 的經驗和知識，所述模糊推理模擬人的基于模糊概念的推理能力，根據輸入的速率以及速 率增量進行模糊推理，得到推理結果;所述步驟6中，去模糊化是將模糊推理得到的模糊控 制量變化為實際用于控制的清晰量，包括將模糊量經清晰化變換成論域范圍的清晰量以及 將清晰量經尺度變換成實際的網絡攻擊指示信息。5. 根據權利要求1所述基于模糊推理的分布式拒絕服務網絡攻擊檢測方法，其特征在 于，所述步驟7中，根據模糊推理結果匹配已有的攻擊特征，如果匹配則進行報警。6. -種基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，其特征在于，包括： 用于從網絡中獲取網絡數據包的網絡數據包采集模塊； 用于對所獲取網絡數據包進行識別以得到流量屬性信息的報文格式識別模塊； 用于將所述流量屬性信息模糊化并進行模糊推理及去模糊化的模糊推理模塊； 以及用于根據模糊推理模塊的推理結果進行報警的監控報警模塊。7. 根據權利要求6所述基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，其特征在 于，所述網絡指計算機通信交換數據使用的網絡，形式上包括廣域網骨干網絡和交換式以 太局域網絡，所述網絡數據包采集模塊對所在線路的網絡數據包進行全部采集，之后將獲 取到的網絡數據包發給報文格式識別模塊。8. 根據權利要求6所述基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，其特征在 于，所述報文格式識別模塊對網絡數據包采集模塊發送的網絡數據包進行過濾和分析識 別，包括： 1) 報文格式識別模塊系統參數初始化，可配置過濾網絡數據包的源和目的地址的ip、 端口、協議，默認不進行過濾； 2) 用報文格式庫已知的傳輸協議匹配捕獲的網絡數據包格式，得到識別結果； 3) 對初始化時參數設置的網絡數據包進行速率、速率增速計算以及IP地址數量、增速 計算； 4) 將網絡數據包格式、速率、數據包速率增速、IP地址數量、IP地址增速發送給模糊推 理模塊。9. 根據權利要求6所述基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，其特征在 于，所述模糊推理模炔基于模糊推理，包括： 1) 模糊化，將輸入的精確數值轉換成模糊量，具體過程為:尺度變化，將輸入變量由基 本論語變換到各自的論域范圍，將變換后的輸入量進行模糊化，使精確的輸入量變成模糊 量，并用相應的模糊集來表示，根據網絡數據包采集模塊獲取到的數據包格式將數據包速 率、數據包速率增速、IP地址數量、IP地址增速進行模糊化； 2) 知識庫：即數據庫，主要包括各語言變量的隸屬函數，尺度變換因子及模糊空間的分 級數； 3) 規則庫:包括了用模糊語言變量表示的一系列控制規則，它們反映了控制專家的經 驗和知識； 4) 模糊推理:模擬人的基于模糊概念的推理能力，根據輸入的速率以及速率增量進行 模糊推理，得到推理結果； 5) 去模糊化:將模糊推理得到的模糊控制量變化為實際用于控制的清晰量，包括:將模 糊量經清晰化變換成論域范圍的清晰量。將清晰量經尺度變換成實際的網絡攻擊指示信 息。10. 根據權利要求6所述基于模糊推理的分布式拒絕服務網絡攻擊檢測系統，其特征在 于，所述的報警模塊根據模糊推理結果和報文格式識別模塊匹配已有的攻擊特征，若匹配 或者部分匹配則進行報警。
【文檔編號】H04L29/06GK105827611SQ201610210663
【公開日】2016年8月3日
【申請日】2016年4月6日
【發明人】覃征, 李志鵬, 黃凱, 葉樹雄, 楊曉, 張任偉, 徐凱平
【申請人】清華大學