的变量
X和
Y的条件熵定义为
(2)
H
Y
∣
X
=
∑
j
p
x
j
∑
我
p
y
我
∣
x
j
日志
2
p
y
我
∣
x
j
。
其中,
p
(
y
我
∣
x
j
)是
x
j关于
y
我的后验概率。
4所示。一个算法的流量对SOA DDoS攻击4.1。原则
与
sip和
探底,分别代表了源地址和目的地址,
H
(
年代
我
p
∣
d
我
p
)的条件熵的定义是一致的与多个单一DDoS攻击的地图。这个公式直接反映了分歧和障碍
sip来
倾斜。通过采样网络数据流,我们组的总数数据包到达一个采样周期
年代。从不同的源地址将数据包
年代
我
p
我
∣
我
=
1、2
,
…
,
N从不同的目的地址,这些设置
d
我
p
我
∣
我
=
1、2
,
…
,
N。的定义
米维矩阵
一个
(
米
],
一个
(
我
]是目的地址的数据包的数量。我们定义
N- - - - - -
米维矩阵
B
(
米
]
:
B
(
我
]来表示数量的数据包的源地址
年代
我
p
我和目的地址
d
我
p
我。方程(
3)可以得到:
(3)
H
年代
我
p
∣
d
我
p
=
- - - - - -
∑
j
p
d
我
p
j
∑
我
p
年代
我
p
我
∣
d
我
p
j
日志
2
p
年代
我
p
我
∣
d
我
p
j
=
- - - - - -
∑
j
=
1
米
一个
j
年代
∑
我
=
1
N
B
我
j
一个
j
日志
2
B
我
j
一个
j
。
在上面的公式中,
p
d
我
p
j代表的比例到达的数据包的数量
d
我
p
j在
年代,这是数据包的总数到达一个采样周期。和的表达
p
年代
我
p
∣
d
我
p
j代表的比例到达的数据包的数量
d
我
p
j从
年代
我
p
我在数据包的总数
d
我
p
j。
之间的关系
sip和
倾斜的DDoS攻击是多对一的映射关系。源地址,越分散条件熵的值就越大
H
年代
我
p
∣
d
我
p。条件熵能够检测DDoS攻击在正常情况下和网络环境。也有条件熵可以反映DDoS攻击的流量增长。但是在SOA系统,通常的条件熵的检测方法无法找到DDoS攻击流量异常,尤其是在SOA的注册中心。因为在法律流程(Flash人群),服务注册中心还拥有强大的多对一的映射关系,条件熵的值将会变得非常大。因此,很难区分Flash人群和流动的DDoS攻击的条件熵。
本文中使用的三个数据集实验,包括攻击数据集,一个正常的流数据集和SOA注册中心的设置流量。前两集来自麻省理工学院的林肯实验室在2000年DDoS数据集LLDoS1.0 [
10]。与TCP流量洪水攻击,攻击的数据包的源地址和目的地址是随机生成的携带国旗ACK。另一个SOA数据集从实验室典型的SOA应用程序的网络结构。电脑运行在一个共享100 Mbps的局域网环境。一个典型的SOA应用程序的系统包括8个电脑。从10.166.178.101 ~ 10.166.178.108 IP地址。SOA的应用系统的IP地址注册中心10.166.178.105。当多个出版商同时发布服务,从网络流量数据采样。为了测试该方法在小规模的感知能力攻击,在正常流选择节点突然发起了一项大型数据流攻击,使拒绝服务注册中心。实验环境采用真正的源地址和固定的目的港。 WIRESHARK software is used to capture the entire packets in all process on the LAN.
在SOA的正常流动,存在多对一的映射关系源地址(服务提供者和服务请求者)和目的地址(服务注册中心)。因此,规范化的SOA架构也有更高价值的条件熵。从数据
3,
4,
5上半年部分的曲线可以看出,在正常的SOA体系结构熵的值约为2.5,远高于非SOA框架的正常流动(熵远小于1)。如果使用传统的熵流方法,它将产生一个合理的误判,SOA是解释为攻击的合法交通流量。因此,时间维度是参考的计算时间的条件熵和一个算法联合条件熵是用来区分DDoS攻击。从数据
3,
4,
5可以看出,当DDoS攻击发生时,条件熵的变化从一个更大的值突然小。这是因为DDoS攻击使交通从源到目的节点突然增加,而源地址的数量没有明显增加。的价值
p
年代
我
p
∣
d
我
p
j(到达的数据包数量的比例
d
我
p
j从
年代
我
p
我在数据包的总数
d
我
p
j)变大;也就是说,系统变得更加有序。因此,条件熵变得越来越小。条件熵的瞬时跳使DDoS攻击是有效地感知,而正常的交通是光滑的。仿真结果表明,该算法能够有效地理解SOA DDoS攻击造成的流量变化。