JECE 电气和计算机工程杂志》上 2090 - 0155 2090 - 0147 Hindawi出版公司 10.1155 / 2016/2579274 2579274 研究文章 算法的交通的看法DDoS攻击SOA基于时间统一条件熵 http://orcid.org/0000 - 0002 - 2627 - 8276 Yuntao 1、2 2 Hengchi 1 http://orcid.org/0000 - 0002 - 8632 - 7834 释永信 1 Bi 荣格ydF4y2Ba 1 信息科学与工程学院 沈阳理工大学 沈阳110159 中国 sylu.edu.cn 2 信息科学与工程学院 东北风大学 沈阳110819 中国 neu.edu.cn 2016年 27 11 2016年 2016年 12 04 2016年 24 09年 2016年 29日 09年 2016年 27 11 2016年 2016年 版权©2016 Yuntao赵等。 这是一个开放的文章在知识共享归属许可下发布的,它允许无限制的使用,分布和繁殖在任何媒介,提供最初的工作是正确的引用。

DDoS攻击可以阻止合法用户访问服务通过使用目标节点的资源可用性的网络和服务受到严重威胁。因此,DDoS交通感知是整个系统安全的前提和基础。摘要SOA的DDoS交通感知网络的方法提出了基于时间的联合条件熵。根据多对一关系源IP地址和目标之间的映射DDoS攻击的IP地址,交通服务分析基于条件熵的特征。DDoS攻击的算法提供了认知能力在SOA服务通过引入时间维度。仿真结果表明,该方法可以实现DDoS交通感知分析突然变化的条件熵在时间维度。

中国博士后科学基金会 2016年m590234 沈阳理工大学的开放重点实验室的基础 4771004 kfs32
1。介绍

随着网络技术的发展,分布式拒绝服务( 1](分布式拒绝服务)攻击已经成为一个巨大的威胁,今天的网络服务,引起了全世界各国关注的重点。DDoS攻击容易实现,难以保护和跟踪已经成为最常见的网络攻击技术,已严重影响网络的效率和服务( 2]。据统计,DDoS攻击的数量近年来持续上升。从发布的最新调查Akamai谁是世界上最大的CDN服务提供者,DDoS攻击的数量在2015年第二季度增加了一倍。2016年1月4日,汇丰银行遭受了一个未知的DDoS攻击,导致系统崩溃和服务中断了两天。反射和分布式拒绝服务攻击(drdo)正成为一个重要的小说形式( 3]。国防研究与发展组织是一个黑客的方法使用修改后的源地址产生大量的伪造请求而不是直接攻击。很多伪造请求将指向的攻击节点崩溃由于资源枯竭。在应用程序层DDoS攻击逐渐改变了目标网络带宽和服务器资源的应用程序。随着面向服务的体系结构(SOA)的发展和网络技术,应用层的攻击更具有破坏性。

SOA是一种体系结构模式在计算机软件设计中应用程序组件对其他组件提供服务通过一个通信协议,通常通过网络。面向服务的原则是独立于任何供应商,产品,或技术( 4]。因为SOA具有灵活、开放、可扩展的特点被广泛使用,也有越来越多的伟大的关注大量的DDoS攻击的SOA。荣格et al。 5]分析应用层DDoS的区别和Flash的人群。陆et al。 6)提出请求路径和web服务器的访问时间区分攻击流和正常。周et al。 7]分析的特点,平均访问时间和页面请求序列。这些研究人员意识到知觉的攻击与正常用户和异常的统计比较用户。

在本文中,一种新颖的方法来交通的看法提出了基于SOA的DDoS攻击。因为SOA注册中心携带大量的从多个服务节点的数据流量,很难区分DDoS交通和Flash人群(法律流或正常交通)SOA注册中心。为了有效地感知DDoS攻击和区别于Flash人群,条件熵的时间维度。瞬时跳条件熵的计算和统计设置时间段,从而导致突然从时间维度的DDoS攻击流量正常交通是光滑的。仿真结果表明,该算法能够有效地理解SOA DDoS攻击造成的流量变化。

2。SOA在DDoS攻击的脆弱性

SOA已经越来越受欢迎的在各领域的应用和快速的发展。大量的企业、组织、政府部门、机构设置和SOA开发自己的网络。现代社会在很大程度上依赖于计算机网络系统在SOA架构下,这使得它非常重要,确保计算机和网络系统的安全性。否则,它将导致不仅人力和材料的浪费,但也失去了竞争优势,公司机密文件被偷。所以如何提高SOA系统和网络系统的安全性已经成为世界关注的焦点。

在所有的SOA形式的攻击,最突出的是DDoS攻击。与网络系统在SOA与快速反应、分布式协作,和重用的服务和其他特性,它也进行一系列的管理和公共服务带来的安全风险,尤其是来自DDoS攻击的信息交换的过程。

SOA在DDoS攻击的脆弱性主要体现在以下三个方面。

( 1 ) SOA是一个中央注册中心的网络结构为核心。SOA服务注册、发布、查询、订阅等必须通过服务注册中心。一旦中心遭受DDoS攻击,整个网络的性能严重下降,甚至系统瘫痪。

注册中心作为SOA服务的中心平台发布和查询,连接服务提供者和需求者,如图 1。所以更容易受到DDoS攻击的注册中心。它已经成为一个瓶颈,SOA的服务系统在快速发展的障碍。

SOA体系结构。

( 2 ) 为了保持跨平台系统的兼容性和可扩展性,轻量级的传输协议通常用于SOA,如SOAP协议,可以兼容各种上层协议和绑定。轻量级协议很容易构建DDoS攻击样本,容易受到攻击。

( 3 ) SOA服务集成和数据共享的特点,不可避免的开放接口和公开的服务模型数据格式提供者和需求者。这使得SOA的信息容易被监控,截获和分析。攻击者可以从收购SOA消息中提取有用的信息,然后启动DDoS攻击。

因此,由于中央结构等特性,轻量级协议,SOA和服务开放,更容易受到DDoS攻击。DDoS攻击的SOA的感知方法,特别是SOA注册中心,应研究。

3所示。基于熵的DDoS攻击流量感知方法

DDoS攻击的最突出特点是流量的大幅增加。感知和交通方式是最常见的方法来检测DDoS攻击。肖et al。 8)在应用程序层进行了DDoS攻击的分类。根据主机的真实性提交请求,DDoS攻击在应用程序层分为真实URL请求攻击和伪造的。前者可以进一步分为重复使用一个URL或多个URL。

而言,信息理论,熵是衡量随机变量的不确定性。条件熵( 9代表第二个随机变量的不确定性 Y根据已知的第一个随机变量 X

定义变量的信息熵 Y作为 (1) H Y = p y 日志 2 p y

其中, p y 每个组件的变量的先验概率吗 Y

的变量 X Y的条件熵定义为 (2) H Y X = j p x j p y x j 日志 2 p y x j

其中, p ( y x j ) x j 关于 y 的后验概率。

4所示。一个算法的流量对SOA DDoS攻击 4.1。原则

sip 探底,分别代表了源地址和目的地址, H ( 年代 p d p ) 的条件熵的定义是一致的与多个单一DDoS攻击的地图。这个公式直接反映了分歧和障碍 sip 倾斜。通过采样网络数据流,我们组的总数数据包到达一个采样周期 年代。从不同的源地址将数据包 年代 p = 1、2 , , N 从不同的目的地址,这些设置 d p = 1、2 , , N 。的定义维矩阵 一个 ( ] , 一个 ( ] 是目的地址的数据包的数量。我们定义 N- - - - - -维矩阵 B ( ] : B ( ] 来表示数量的数据包的源地址 年代 p 和目的地址 d p 。方程( 3)可以得到: (3) H 年代 p d p = - - - - - - j p d p j p 年代 p d p j 日志 2 p 年代 p d p j = - - - - - - j = 1 一个 j 年代 = 1 N B j 一个 j 日志 2 B j 一个 j

在上面的公式中, p d p j 代表的比例到达的数据包的数量 d p j 年代,这是数据包的总数到达一个采样周期。和的表达 p 年代 p d p j 代表的比例到达的数据包的数量 d p j 年代 p 在数据包的总数 d p j

之间的关系 sip 倾斜的DDoS攻击是多对一的映射关系。源地址,越分散条件熵的值就越大 H 年代 p d p 。条件熵能够检测DDoS攻击在正常情况下和网络环境。也有条件熵可以反映DDoS攻击的流量增长。但是在SOA系统,通常的条件熵的检测方法无法找到DDoS攻击流量异常,尤其是在SOA的注册中心。因为在法律流程(Flash人群),服务注册中心还拥有强大的多对一的映射关系,条件熵的值将会变得非常大。因此,很难区分Flash人群和流动的DDoS攻击的条件熵。

摘要瞬时过渡条件熵的新方法能够弥补这个缺口通过引入时间表 Z。在很短的时间内,出现的一系列区域条件熵的变化,它可以帮助确定DDoS攻击流量异常的发生,使SOA异常交通意识到成为高效的方法。

4.2。选择测试数据集

本文中使用的三个数据集实验,包括攻击数据集,一个正常的流数据集和SOA注册中心的设置流量。前两集来自麻省理工学院的林肯实验室在2000年DDoS数据集LLDoS1.0 [ 10]。与TCP流量洪水攻击,攻击的数据包的源地址和目的地址是随机生成的携带国旗ACK。另一个SOA数据集从实验室典型的SOA应用程序的网络结构。电脑运行在一个共享100 Mbps的局域网环境。一个典型的SOA应用程序的系统包括8个电脑。从10.166.178.101 ~ 10.166.178.108 IP地址。SOA的应用系统的IP地址注册中心10.166.178.105。当多个出版商同时发布服务,从网络流量数据采样。为了测试该方法在小规模的感知能力攻击,在正常流选择节点突然发起了一项大型数据流攻击,使拒绝服务注册中心。实验环境采用真正的源地址和固定的目的港。 WIRESHARK software is used to capture the entire packets in all process on the LAN.

4.3。实验结果

本文在三个数据集进行实验条件熵的方法。500交通样品收集在每个周期时间,从五十样本来计算条件熵的值。和条件熵是重新计算每个额外的10个样本。随着时间的推进,每个分布的条件熵,分别找到了。流量矩阵生成基于LLDoS1.0的前50个样本数据集。50个样本矩阵反映了多对一的特点。有50 3源地址和目的地址。

由( 3)条件熵可以计算如图 2

条件熵LLDoS1.0攻击。

然后条件熵的分布可以得到正常的流数据集如图所示 3

正常交通条件熵集。

最后,SOA中的一种典型的应用程序注册中心发布服务与以前的实验环境中进行测试。所不同的是,服务从多个节点同时发布到一个节点,这属于正常的过程与多对一。当攻击者发送大量的数据包在瞬间DDoS攻击,目标节点收到异常流量。交通数据的统计和分析获得的价值条件熵,可以帮助我们判断其不同寻常的交通。实验结果如图所示 4

条件熵DDoS交通SOA发布服务。

通过引入条件熵的轴 Z,瞬时过渡条件熵的分布的研究可以得出如图 5

三维图的条件熵的DDoS SOA。

通过提取条件熵在时间维度,它可以生成瞬时跳熵条件如图 6

瞬时跳条件熵的DDoS攻击。

4.4。对实验结果的分析

如图所示,相比之下的人物 2 3,我们可以看到条件熵的值是相对较大的攻击数据集计算,它的价值远远大于5,而正常流动计算在0到1的范围内。这反映了熵的定义:条件熵值越大,陌生人的不确定性源地址。条件熵能有效区分DDoS攻击流量和正常的交通在非soa体系结构。

在SOA的正常流动,存在多对一的映射关系源地址(服务提供者和服务请求者)和目的地址(服务注册中心)。因此,规范化的SOA架构也有更高价值的条件熵。从数据 3, 4, 5上半年部分的曲线可以看出,在正常的SOA体系结构熵的值约为2.5,远高于非SOA框架的正常流动(熵远小于1)。如果使用传统的熵流方法,它将产生一个合理的误判,SOA是解释为攻击的合法交通流量。因此,时间维度是参考的计算时间的条件熵和一个算法联合条件熵是用来区分DDoS攻击。从数据 3, 4, 5可以看出,当DDoS攻击发生时,条件熵的变化从一个更大的值突然小。这是因为DDoS攻击使交通从源到目的节点突然增加,而源地址的数量没有明显增加。的价值 p 年代 p d p j (到达的数据包数量的比例 d p j 年代 p 在数据包的总数 d p j )变大;也就是说,系统变得更加有序。因此,条件熵变得越来越小。条件熵的瞬时跳使DDoS攻击是有效地感知,而正常的交通是光滑的。仿真结果表明,该算法能够有效地理解SOA DDoS攻击造成的流量变化。

5。结论

DDoS攻击流量感知的传统网络安全是一个重要的补充。它在保护网络安全中扮演不可或缺的角色。由于SOA体系结构的广泛应用,异常行为感知的DDoS攻击的SOA方法是急需的。条件熵瞬时跳感知方法提供了这样一种方式与发现DDoS攻击行为在基于SOA的网络系统。相信这部小说与瞬时跳感知算法将大大提高当前的性能异常检测DDoS攻击SOA。

相互竞争的利益

作者宣称没有利益冲突有关的出版这篇文章。

确认

这项工作是支持中国博士后科学基金会(2016 m590234)和沈阳理工大学重点实验室的开放基础(4771004 kfs32)。

z Y。 分布式拒绝服务攻击跟踪技术研究 2009年 长沙,中国 中南大学 拉杰什 年代。 保护应用程序层DDoS攻击为流行的网站 国际计算机与电子工程》杂志上 2013年 5 6 555年 558年 10.7763 / ijcee.2013.v5.771 G。 DDoS攻击的对策 2005年 西安,中国 西安大学电子科学与技术 第一章:面向服务的体系结构(SOA), 2014年5月, https://msdn.microsoft.com 荣格 J。 •克里 B。 拉比诺维奇 M。 Flash人群和拒绝服务攻击:特征和影响cdn和网站 学报》第11届国际会议上万维网(WWW的02) 2002年 美国夏威夷火奴鲁鲁 293年 304年 y L。 Y。 太阳 c . L。 分布式拒绝反弹分析和预防服务 计算机工程 2004年 2、第二十二条 W。 l . N。 h·G。 j . M。 一个新的DDoS攻击和对策 计算机应用 2003年 1,第144条 J。 X.-C。 Y.-Z。 防止应用程序层基于会话的分布式拒绝服务攻击怀疑概率模型 中国电脑杂志 2010年 33 9 1713年 1724年 10.3724 / sp.j.1016.2010.01713 2 - s2.0 - 78149405472 c F。 G。 如果 j . H。 建设新一代的基于SOA的企业应用程序集成 计算机应用与软件 2005年 10 麻省理工学院林肯实验室 2000年, http://www.ll.mit.edu/ideval/data/2000data.html