專(zhuān)利名稱(chēng):針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全可視化領(lǐng)域。提供一種實(shí)時(shí)可視化檢測(cè)方法�����。
背景技術(shù):
DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊����。是一種分布、協(xié)作的大規(guī)模攻擊 方式�。主要目標(biāo)是比較大的站點(diǎn),如企業(yè)網(wǎng)站����、搜索引擎和政府部門(mén)的站點(diǎn)?;镜腄oS 攻擊只要一臺(tái)能連接Internet的單機(jī)就可實(shí)現(xiàn)�,DDoS攻擊則是利用一批受控制的機(jī)器向 一臺(tái)機(jī)器發(fā)起攻擊����,具有較大的破壞性。
信息可視化技術(shù)是在現(xiàn)代信息處理平臺(tái)的基礎(chǔ)上�����,根據(jù)用戶(hù)對(duì)信息的需要��,利用適 當(dāng)?shù)目梢暬?hào)表示各種信息和信息內(nèi)外部的關(guān)系����,使人們更方便、迅速地與信息源進(jìn) 行交互�,發(fā)現(xiàn)隱藏在信息中的各類(lèi)知識(shí)。信息的種類(lèi)不同�����、信息應(yīng)用領(lǐng)域的復(fù)雜性以及 用戶(hù)的不同需求的多樣性���,導(dǎo)致人們研究開(kāi)發(fā)了大量形式各異的可視化技術(shù)��。
網(wǎng)絡(luò)安全可視化要處理的往往是高維�����、無(wú)結(jié)構(gòu)化的多變量數(shù)據(jù)���,同時(shí)這些數(shù)據(jù)具有 規(guī)模大��、非數(shù)值型等特點(diǎn);在數(shù)據(jù)的關(guān)聯(lián)關(guān)系上面臨著關(guān)系隱式化�����、時(shí)間依賴(lài)性強(qiáng)���、類(lèi) 型多等困難����;在繪制方面也沒(méi)有統(tǒng)一的顯示模型���。在網(wǎng)絡(luò)安全信息可視化技術(shù)中已經(jīng)取 得了初步成果�����,首先��,在顯示方式和繪制方法方面��,提出了利用散點(diǎn)圖(Scatterplot)��、 顏色映射(Color M邵)�、圖元(Glyphs)、平行軸坐標(biāo)(Parallel Coordinate)���、自 組織映射(Self-Organizing M邵s)等方式進(jìn)行網(wǎng)絡(luò)和系統(tǒng)監(jiān)控����、異常檢測(cè)�����、入侵發(fā)現(xiàn)��、 模式的分析及報(bào)警��。但是在以往的研究開(kāi)發(fā)的工具模型中�����,網(wǎng)絡(luò)安全可視化的模型中, 圖像的生成沒(méi)有使用GPU加速�����,因此生成速度比較慢����,而且占用大量的CPU時(shí)間,使得 系統(tǒng)模型反映緩慢���,對(duì)于實(shí)時(shí)的網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)生很大的影響�。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的是克服現(xiàn)有技術(shù)的上述不足����,提供一種實(shí)時(shí)可視化檢測(cè)方 法����,該種檢測(cè)方法,利用GPU加速可視化處理�����,能夠減輕CPU的負(fù)擔(dān),能高效的分析并 顯示網(wǎng)絡(luò)數(shù)據(jù)�����,從而使用戶(hù)能夠發(fā)現(xiàn)DDoS攻擊前期所存在的主機(jī)掃描����,端口掃描和正在 進(jìn)行的DDoS攻擊。本發(fā)明采用如下的技術(shù)方案
一種基于網(wǎng)絡(luò)數(shù)據(jù)可視化的DDos攻擊的檢測(cè)方法��,包括下列步驟
第一步從原始數(shù)據(jù)中提取源IP地址�,目的IP地址,目的端口號(hào)����,數(shù)據(jù)報(bào)接收時(shí)
間作為可視化模型的四個(gè)維度;
第二步創(chuàng)建顯示模型���,把源IP地址映射到X軸����,目的IP地址映射到Z軸����,目的端口號(hào)映射到y(tǒng)軸��,并對(duì)三個(gè)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化����,轉(zhuǎn)換到同一個(gè)值域中�����,對(duì)于每一個(gè)網(wǎng)絡(luò)
數(shù)據(jù)�����,在三維場(chǎng)景中創(chuàng)建一個(gè)包圍盒���,利用場(chǎng)景圖來(lái)組織場(chǎng)景中的所有元素�; 第三步設(shè)置八叉樹(shù)包圍盒的空間大小���,建立和生成該場(chǎng)景的八叉樹(shù)結(jié)構(gòu); 第四步利用八叉樹(shù)結(jié)構(gòu)�,通過(guò)平截頭體與包圍盒的相交檢驗(yàn),進(jìn)行場(chǎng)景顯示粒子
節(jié)點(diǎn)的添加�,剔除,并利用GPU對(duì)處于平截頭體內(nèi)的節(jié)點(diǎn)進(jìn)行渲染顯示���; 第五步通過(guò)交互操作檢測(cè)是否受到DDoS攻擊����。
作為優(yōu)選實(shí)施方式,本發(fā)明的針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法�����,其中的第二步 中����,對(duì)三個(gè)數(shù)據(jù)進(jìn)行如下的標(biāo)準(zhǔn)化處理
源IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式sIP. val/sIP.maxval*lengthX,其中, sIP. val為將要顯示的源IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值����;sIP. maxval為32位IP轉(zhuǎn)換成 十進(jìn)制后的數(shù)值,即�,將255.255.255.255轉(zhuǎn)換成十進(jìn)制后的數(shù)值:2'32 - 1;lengthX 為場(chǎng)景的X軸長(zhǎng)度;
目的端口號(hào)在y軸上對(duì)應(yīng)的位置的計(jì)算公式dPort. val/dPort. maxval*lengthY���, 其中���,dPort.val為當(dāng)前端口號(hào),dPort. maxval為最大端口號(hào)���,即65535��, lengthY : 場(chǎng)景的Y軸長(zhǎng)度�;
目的IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式dip. val/dlp. maXVal*lengthZ,其中����, dIP. val為將要顯示的目的IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值,dIP. maxval為32位IP轉(zhuǎn)換 成十進(jìn)制后的數(shù)值�����,即將255.255.255.255轉(zhuǎn)換成十進(jìn)制后的數(shù)值:2'32_1�����, lengthZ 為場(chǎng)景的X軸長(zhǎng)度����。
按下列步驟對(duì)場(chǎng)景進(jìn)行査詢(xún)
(4) 從八叉樹(shù)根開(kāi)始,獲取該樹(shù)的包圍盒��,并將其與査詢(xún)用包圍盒進(jìn)行相交計(jì)算���;
(5) 如果査詢(xún)包圍盒完全包含該樹(shù)的包圍盒��,則遞歸到所有子樹(shù)�,把子樹(shù)所包含 的場(chǎng)景節(jié)點(diǎn)添加到查詢(xún)結(jié)果列表����;
(6) 如果包圍盒部分相交該樹(shù)的包圍盒,則對(duì)該樹(shù)的每一個(gè)子樹(shù)進(jìn)行遞歸判斷��。 按下列步驟添加八叉樹(shù)的節(jié)點(diǎn)
(O獲取要添加入場(chǎng)景的節(jié)點(diǎn)的包圍盒�����;
(2) 從八叉樹(shù)根開(kāi)始��,獲取該樹(shù)的包圍盒����;
(3) 判斷該八叉樹(shù)的包圍盒大小是否為要添加的節(jié)點(diǎn)的包圍盒大小的兩倍;
(4) 如果八叉樹(shù)包圍盒大小為要添加的節(jié)點(diǎn)包圍盒大小的兩倍以上�����,則根據(jù)要添加 的節(jié)點(diǎn)的位置計(jì)算該八叉樹(shù)的八個(gè)子樹(shù)中哪個(gè)和該節(jié)點(diǎn)的中心相包含����,遞歸調(diào)用該算法 將節(jié)點(diǎn)插入這棵子樹(shù)��;否則說(shuō)明該八叉樹(shù)為適合該節(jié)點(diǎn)大小的八叉樹(shù)��,從而掛接該節(jié)點(diǎn) 于此八叉樹(shù)上���;
所述的第四步,按下列步驟執(zhí)行
(1) 獲取攝像機(jī)的平截頭體�;
(2) 獲取八叉樹(shù)子樹(shù)的包圍盒;(3) 對(duì)平截頭體和包圍盒進(jìn)行相交檢驗(yàn)���;
(4) 如果相交��,獲取該八叉樹(shù)子樹(shù)下所掛接的八叉樹(shù)場(chǎng)景節(jié)點(diǎn)��,分別對(duì)每個(gè)節(jié)點(diǎn)的
包圍盒與平截頭體進(jìn)行相交檢驗(yàn)����,如果相交�����,加入渲染隊(duì)列��;
(5) 對(duì)于該八叉子樹(shù)的八個(gè)子結(jié)點(diǎn)分別遞歸調(diào)用此算法;
(6) 利用GPU對(duì)處于平截頭體內(nèi)的節(jié)點(diǎn)進(jìn)行渲染�。
與現(xiàn)有技術(shù)相比�,本發(fā)明具有以下有益效果
1、 更高的實(shí)時(shí)性����。本發(fā)明的檢測(cè)方法所依據(jù)的顯示模型采用的GPU硬件加速,更好 的均衡了負(fù)載�,利用了CPU和GPU之間的并行性及GPU對(duì)浮點(diǎn)數(shù)據(jù),矢量計(jì)算的高效性�����, 獲得了更好的實(shí)時(shí)顯示效果�����。
2����、 檢測(cè)DDoS攻擊有效性。DDoS攻擊的前期特征——端口掃描��,主機(jī)掃描和DDoS 攻擊特征都能夠在根據(jù)本發(fā)明的顯示模型和檢測(cè)方法建立的計(jì)算機(jī)軟件系統(tǒng)中表現(xiàn)出明 顯的幾何特征����。并且在數(shù)據(jù)量極大的情況下�����,該系統(tǒng)所具有的高效的3D加速引擎也能非 常流暢的顯示����。這充分證明了本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)在DDoS攻擊檢測(cè)方面的有效性和 實(shí)用性���,為進(jìn)一步防御DDoS攻擊提供了有利的線索��。
3����、 系統(tǒng)交互性好����。網(wǎng)絡(luò)管理員可以用鼠標(biāo)轉(zhuǎn)動(dòng)視角,縮放視角便于對(duì)數(shù)據(jù)全面的細(xì) 致的觀察��。并且本計(jì)算機(jī)軟件系統(tǒng)把時(shí)間作為第四維加入可視化模型�,允許網(wǎng)絡(luò)管理員 通過(guò)拖動(dòng)滑動(dòng)條的方法控制當(dāng)前可視化模型內(nèi)顯示的數(shù)據(jù)對(duì)數(shù)據(jù)進(jìn)行篩選,便于對(duì)網(wǎng)絡(luò) 攻擊潛在的規(guī)律性攻擊�,周期性攻擊進(jìn)行發(fā)現(xiàn)預(yù)防。本計(jì)算機(jī)軟件系統(tǒng)還可以在三維空 間進(jìn)行面査詢(xún),網(wǎng)絡(luò)管理員可以以拖動(dòng)滑動(dòng)條的方式瀏覽整個(gè)目的IP段���,源IP段或者 目的端口段��。
圖1是利用系統(tǒng)模型檢測(cè)DDoS攻擊的流程; 圖2是八叉樹(shù)場(chǎng)景管理效果圖3是本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)進(jìn)行掃描査詢(xún)的界面�;
圖4是本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)進(jìn)行數(shù)據(jù)讀取篩選過(guò)濾的界面;
圖5是端口掃描在本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)中的顯示效果圖6是主機(jī)掃描和端口掃描在本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)中的顯示效果圖7是兩種不同的DDoS攻擊在本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)中的顯示效果圖���。
具體實(shí)施例方式
本發(fā)明提出一種基于GPU加速的網(wǎng)絡(luò)安全可視化顯示模型和DDos攻擊檢測(cè)方法����。發(fā) 明人根據(jù)此種顯示和檢測(cè)方法����,建立了一套計(jì)算機(jī)軟件系統(tǒng),利用該系統(tǒng)���,能高效的分 析網(wǎng)絡(luò)數(shù)據(jù)�����,發(fā)現(xiàn)DDoS攻擊前期所存在的主機(jī)掃描�,端口掃描和正在進(jìn)行的DDoS攻擊。本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)的顯示模型采用基于DirectX底層3D加速接口的XNA軟件包�����。 下面以計(jì)算機(jī)軟件系統(tǒng)為例�,對(duì)本發(fā)明做詳細(xì)介紹。 第一步��,網(wǎng)絡(luò)數(shù)據(jù)獲得和顯示
(1) 網(wǎng)絡(luò)數(shù)據(jù)的獲得
從原始數(shù)據(jù)中提取源IP地址�,目的IP地址,目的端口號(hào)���,數(shù)據(jù)報(bào)接收時(shí)間作為可 視化模型的四個(gè)維度���。把IP地址轉(zhuǎn)換為十進(jìn)制無(wú)符號(hào)整形數(shù)uint,把時(shí)間轉(zhuǎn)換為系統(tǒng)滴 答數(shù)并對(duì)數(shù)據(jù)進(jìn)行排序。創(chuàng)建顯示模型可以使用的抽象數(shù)據(jù)類(lèi)型Particle,把源IP映射 到x軸�,目的IP映射到z軸,目的端口映射到y(tǒng)軸��,并對(duì)三個(gè)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化���,轉(zhuǎn)換到 同一個(gè)值域中�����。對(duì)于每一個(gè)數(shù)據(jù)��,在三維空間創(chuàng)建一個(gè)包圍盒�,便于在八叉樹(shù)圖形場(chǎng)景 管理器中創(chuàng)建節(jié)點(diǎn)。
標(biāo)準(zhǔn)化的方法如下
源IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式sIP. val/sIP.maxval*lengthX,其中���, sIP. val為將要顯示的源IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值��;sIP. maxval為32位IP轉(zhuǎn)換成 十進(jìn)制后的數(shù)值,即��,將255. 255. 255. 255轉(zhuǎn)換成十進(jìn)制后的數(shù)值2"32 - l;lengthX 為場(chǎng)景的X軸長(zhǎng)度;
目的端口號(hào)在y軸上對(duì)應(yīng)的位置的計(jì)算公式dPort. val/dPort. maxval*lengthY���, 其中�,dPort. val為當(dāng)前端口號(hào)����,dPort. maxval為最大端口號(hào),即65535�, lengthY : 場(chǎng)景的Y軸長(zhǎng)度;
目的IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式dip. val/dlp. maxval*lengthZ��,其中�����, dIP. val為將要顯示的目的IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值,dIP.脇xval為32位IP轉(zhuǎn)換 成十進(jìn)制后的數(shù)值���,即將255.255.255.255轉(zhuǎn)換成十進(jìn)制后的數(shù)值2�����、2-1���, lengthZ 為場(chǎng)景的X軸長(zhǎng)度。
(2) 網(wǎng)絡(luò)數(shù)據(jù)的顯示模型 本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)在顯示上采用了硬件加速����,利用高性能圖形顯示卡來(lái)處理
各種網(wǎng)絡(luò)數(shù)據(jù)的顯示。傳統(tǒng)的可視化模型���,所有數(shù)據(jù)的讀取����,處理����,顯示都放到了 CPU 上進(jìn)行執(zhí)行�,增加的CPU的負(fù)擔(dān)�����,使可視化的實(shí)時(shí)性大打折扣���,在顯示模型上采用的硬 件加速�����,更好的均衡了負(fù)載���,利用了CPU和GPU之間的并行性及GPU對(duì)浮點(diǎn)數(shù)據(jù)����,矢量 計(jì)算的高效性,獲得了更好的顯示效果�����。該顯示模型的建立包括下列步驟
1) 定義數(shù)據(jù)結(jié)構(gòu)
2) 生成場(chǎng)景框架——立方體
3) 標(biāo)記界面坐標(biāo)軸的意義和對(duì)應(yīng)的上界值
4) 定義粒子節(jié)點(diǎn)的顏色——黑色��,和場(chǎng)景背景的顏色——藍(lán)色
5) 對(duì)系統(tǒng)的場(chǎng)景的操作——放縮���,旋轉(zhuǎn)���,節(jié)點(diǎn)交互
6) 生成在各種情景下的對(duì)話(huà)框�����,及其對(duì)話(huà)框中功能按鈕 GPU上的運(yùn)算包括以下幾個(gè)方面1. 場(chǎng)景中節(jié)點(diǎn)的渲染�。場(chǎng)景中節(jié)點(diǎn)的添加����,剔除操作。由CPU準(zhǔn)備待顯示數(shù)據(jù)的初 始值�����,然后送到GPU中進(jìn)行標(biāo)準(zhǔn)化計(jì)算����,并有GPU對(duì)節(jié)點(diǎn)進(jìn)行渲染顯示。
2. 場(chǎng)景圖形的渲染����。場(chǎng)景的放縮,旋轉(zhuǎn)變換操作��。觀察視點(diǎn)固定且能夠平滑在距離視 點(diǎn)給定半徑的球面上移動(dòng),便于在不通角度觀測(cè)物體�。攝像機(jī)可以改變和視點(diǎn)的距離即 球面的半徑,便于近距離觀測(cè)局部數(shù)據(jù)�����。距離的拉伸采用了物理特性��,使攝像機(jī)進(jìn)行平 滑的位移��。
(3)八叉樹(shù)的場(chǎng)景管理原理 本發(fā)明計(jì)算機(jī)軟件系統(tǒng)�,所采用的顯示模型使用了八叉樹(shù)場(chǎng)景管理器對(duì)每一個(gè)粒子 進(jìn)行管理,便于用戶(hù)交互時(shí)能高速的顯示數(shù)據(jù)且高速的提取用戶(hù)需要的數(shù)據(jù)�����。
(a) 場(chǎng)景添加算法描述
1) .獲取要添加入場(chǎng)景管理器的節(jié)點(diǎn)的包圍盒(Axis Align Bounding Box)
2) .從八叉樹(shù)根開(kāi)始��,獲取該樹(shù)的包圍盒(Axis Align Bounding Box)
3) .判斷該八叉樹(shù)的包圍盒大小是否為要添加的節(jié)點(diǎn)的包圍盒大小的兩倍
4) .如果八叉樹(shù)包圍盒大小為要添加的節(jié)點(diǎn)包圍盒大小的兩倍以上���,則根據(jù)要添加 的節(jié)點(diǎn)的位置計(jì)算該八叉樹(shù)的八個(gè)子樹(shù)中哪個(gè)和該節(jié)點(diǎn)的中心相包含,遞歸調(diào)用該算法 將節(jié)點(diǎn)插入這棵子樹(shù)
5) .否則說(shuō)明該八叉樹(shù)為適合該節(jié)點(diǎn)大小的八叉樹(shù)�����,從而掛接該節(jié)點(diǎn)于此八叉樹(shù)上。
(b) 場(chǎng)景査詢(xún)算法描述
1) .從八叉樹(shù)根開(kāi)始���,獲取該樹(shù)的包圍盒(Axis Align Bounding Box)�����,和査詢(xún)用 包圍盒進(jìn)行相交計(jì)算
2) .如果査詢(xún)包圍盒完全包含該樹(shù)的包圍盒���,則遞歸到所有子樹(shù),把子樹(shù)所包含的 場(chǎng)景節(jié)點(diǎn)添加到查詢(xún)結(jié)果列表
3) .如果包圍盒部分相交該樹(shù)的包圍盒�,則對(duì)該樹(shù)的每一個(gè)子樹(shù)進(jìn)行遞歸判斷。
(c) 場(chǎng)景的剔除算法描述
1) .獲取攝像機(jī)的平截頭體(Frustum) —即可視范圍包圍體��。
2) .獲取八叉樹(shù)子樹(shù)的包圍盒(Axis Align Bounding Box)
3) .對(duì)平截頭體和包圍盒進(jìn)行相交檢驗(yàn)
4) .如果相交��,獲取該八叉樹(shù)子樹(shù)下所掛接的八叉樹(shù)場(chǎng)景節(jié)點(diǎn)���,分別對(duì)每個(gè)節(jié)點(diǎn)的 包圍盒與平截頭體進(jìn)行相交檢驗(yàn)����,如果相交�����,加入渲染隊(duì)列
5) .對(duì)于該八叉子樹(shù)的八個(gè)子結(jié)點(diǎn)分別遞歸調(diào)用此算法。
第二步�����,通過(guò)交互操作檢測(cè)DDoS攻擊
(a)窗口中每一個(gè)黑色的點(diǎn)為一個(gè)網(wǎng)絡(luò)數(shù)據(jù)����,根據(jù)其源IP地址(x軸),目的IP 地址(z軸)��,目的端口 (y軸)來(lái)定位每個(gè)數(shù)據(jù)在三維空間的位置��。主窗口中由三個(gè)面和三條坐標(biāo)軸組成����,每個(gè)坐標(biāo)軸由ProjectGaia提供的UI庫(kù)的Label標(biāo)注,并且允許用 戶(hù)拖動(dòng)滑動(dòng)條對(duì)三維空間進(jìn)行面査詢(xún)�����,査詢(xún)面在可視化主窗口中顯示����,査詢(xún)結(jié)果實(shí)時(shí)的 顯示在數(shù)據(jù)掃描窗口中。通過(guò)這個(gè)掃描查詢(xún)功能�����,網(wǎng)絡(luò)管理員可以結(jié)合可視化模型和查 詢(xún)數(shù)據(jù)更好的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件�;
(b) 數(shù)據(jù)過(guò)濾工具,網(wǎng)絡(luò)管理員可以拖動(dòng)滑動(dòng)條對(duì)顯示在可視化模型中的數(shù)據(jù)進(jìn)行 篩選過(guò)濾�����。垂直的滑動(dòng)條的選定值代表數(shù)據(jù)的起始時(shí)間���,平行的滑動(dòng)條的選定值表示從 起始時(shí)間開(kāi)始的時(shí)間區(qū)間�。網(wǎng)絡(luò)管理員可以通過(guò)這個(gè)數(shù)據(jù)過(guò)濾功能發(fā)現(xiàn)周期性的網(wǎng)絡(luò)攻 擊或者某時(shí)段的某網(wǎng)絡(luò)事件�����;
(c) 本系統(tǒng)模型還有旋轉(zhuǎn)和縮放功能����,通過(guò)旋轉(zhuǎn)三維包圍空間,便于網(wǎng)絡(luò)管理員對(duì) 顯示數(shù)據(jù)模型的觀察�����,更好的判斷攻擊模式。
系統(tǒng)模型對(duì)DDoS的檢測(cè)效果
如圖5所示�����,本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)能很容易探測(cè)到DDoS攻擊的前期特征之一端 口掃描�。端口掃描通常是一臺(tái)主機(jī)對(duì)目的主機(jī)的各個(gè)端口進(jìn)行全連接或者半連接掃描。 從圖中我們可以看出���,通過(guò)本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)提供的查詢(xún)掃描功能����,我們把掃描 框移動(dòng)到圖中很明顯的那條線段上�,發(fā)現(xiàn)了來(lái)自主機(jī)222.30.24.26的從端口 0到最高 65535對(duì)IP為202. 113. 12. 9主機(jī)的掃描。
如圖6所示�����,本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)發(fā)現(xiàn)了源自于IP為222.30.24.26的主機(jī)對(duì) 整個(gè)IP網(wǎng)段主機(jī)針對(duì)25端口��,即FTP服務(wù)器端口的主機(jī)掃描����。我們使用本發(fā)明的計(jì)算 機(jī)軟件系統(tǒng)的査詢(xún)掃描功能,通過(guò)定位源IP地址即發(fā)現(xiàn)了這種攻擊行為�。
如圖7所示�����,本發(fā)明的計(jì)算機(jī)軟件系統(tǒng)能夠幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)DDoS攻擊的模式。 在第一種DDoS攻擊中��,目的IP為123. 191. 88. 193的主機(jī)受到在來(lái)自于各個(gè)偽造的源IP 地址的針對(duì)常用端口空間約0到2000的DDoS攻擊�。而另外一條平行于目的IP軸的線段 則是完全針對(duì)目的IP為202. 113. 12. 9,目的端口為25的FTP服務(wù)的DDoS攻擊���。
9
權(quán)利要求
1.一種針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法���,包括下列步驟第一步從原始數(shù)據(jù)中提取源IP地址,目的IP地址��,目的端口號(hào)�����,數(shù)據(jù)報(bào)接收時(shí)間作為可視化模型的四個(gè)維度���;第二步創(chuàng)建顯示模型��,把源IP地址映射到x軸���,目的IP地址映射到z軸��,目的端口號(hào)映射到y(tǒng)軸���,并對(duì)三個(gè)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,轉(zhuǎn)換到同一個(gè)值域中��,對(duì)于每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)��,在三維場(chǎng)景中創(chuàng)建一個(gè)包圍盒�,利用場(chǎng)景圖來(lái)組織場(chǎng)景中的所有元素;第三步設(shè)置八叉樹(shù)包圍盒的空間大小�����,建立和生成該場(chǎng)景的八叉樹(shù)結(jié)構(gòu)����;第四步利用八叉樹(shù)結(jié)構(gòu),通過(guò)平截頭體與包圍盒的相交檢驗(yàn)�����,進(jìn)行場(chǎng)景顯示粒子節(jié)點(diǎn)的添加�,剔除���,并利用GPU對(duì)處于平截頭體內(nèi)的節(jié)點(diǎn)進(jìn)行渲染顯示;第五步通過(guò)交互操作檢測(cè)是否受到DDoS攻擊���。
2. 根據(jù)權(quán)利要求1所述的針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法,其特征在于���,其 中的第二步中��,對(duì)三個(gè)數(shù)據(jù)進(jìn)行如下的標(biāo)準(zhǔn)化處理源IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式sIP. val/sIP. maxval*lengthX����,其中�, sIP. val為將要顯示的源IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值;sIP. maxval為32位IP轉(zhuǎn)換成 十進(jìn)制后的數(shù)值����,即,將255.255.255.255轉(zhuǎn)換成十進(jìn)制后的數(shù)值2'32 - 1; lengthX 為場(chǎng)景的X軸長(zhǎng)度��;目的端口號(hào)在y軸上對(duì)應(yīng)的位置的計(jì)算公式dPort. val/dPort. maxval*lengthY��, 其中���,dPort.val為當(dāng)前端口號(hào)�,dPort. maxval為最大端口號(hào),即65535����, lengthY : 場(chǎng)景的Y軸長(zhǎng)度;目的IP地址在x軸上對(duì)應(yīng)的位置的計(jì)算公式dip. val/dlp. maxval*lengthZ��,其中��, dIP. val為將要顯示的目的IP地址轉(zhuǎn)換成的十進(jìn)制數(shù)值��,dIP. maxval為32位IP轉(zhuǎn)換 成十進(jìn)制后的數(shù)值���,即將255.255.255.255轉(zhuǎn)換成十進(jìn)制后的數(shù)值2'32-1�����, lengthZ 為場(chǎng)景的X軸長(zhǎng)度����。
3. 根據(jù)權(quán)利要求1所述的針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法����,其特征在于���,按 下列步驟對(duì)場(chǎng)景進(jìn)行査詢(xún)(1) 從八叉樹(shù)根開(kāi)始,獲取該樹(shù)的包圍盒�,并將其與査詢(xún)用包圍盒進(jìn)行相交計(jì)算;(2) 如果查詢(xún)包圍盒完全包含該樹(shù)的包圍盒��,則遞歸到所有子樹(shù)����,把子樹(shù)所包含 的場(chǎng)景節(jié)點(diǎn)添加到查詢(xún)結(jié)果列表���;(3) 如果包圍盒部分相交該樹(shù)的包圍盒����,則對(duì)該樹(shù)的每一個(gè)子樹(shù)進(jìn)行遞歸判斷���。
4. 根據(jù)權(quán)利要求1所述的針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法��,其特征在于��,按 下列步驟添加八叉樹(shù)的節(jié)點(diǎn)(1) 獲取要添加入場(chǎng)景的節(jié)點(diǎn)的包圍盒�;(2) 從八叉樹(shù)根開(kāi)始��,獲取該樹(shù)的包圍盒;(3) 判斷該八叉樹(shù)的包圍盒大小是否為要添加的節(jié)點(diǎn)的包圍盒大小的兩倍����;(4) 如果八叉樹(shù)包圍盒大小為要添加的節(jié)點(diǎn)包圍盒大小的兩倍以上,則根據(jù)要添加的節(jié)點(diǎn)的位置計(jì)算該八叉樹(shù)的八個(gè)子樹(shù)中哪個(gè)和該節(jié)點(diǎn)的中心相包含����,遞歸調(diào)用該算法 將節(jié)點(diǎn)插入這棵子樹(shù);否則說(shuō)明該八叉樹(shù)為適合該節(jié)點(diǎn)大小的八叉樹(shù)����,從而掛接該節(jié)點(diǎn) 于此八叉樹(shù)上。
5.根據(jù)權(quán)利要求1所述的針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法���,其特征在于�,其 中的第四步�,按下列步驟執(zhí)行-(1) 獲取攝像機(jī)的平截頭體;(2) 獲取八叉樹(shù)子樹(shù)的包圍盒�����;(3) 對(duì)平截頭體和包圍盒進(jìn)行相交檢驗(yàn)����;(4) 如果相交�,獲取該八叉樹(shù)子樹(shù)下所掛接的八叉樹(shù)場(chǎng)景節(jié)點(diǎn)��,分別對(duì)每個(gè)節(jié)點(diǎn)的 包圍盒與平截頭體進(jìn)行相交檢驗(yàn)����,如果相交,加入渲染隊(duì)列�����;(5) 對(duì)于該八叉子樹(shù)的八個(gè)子結(jié)點(diǎn)分別遞歸調(diào)用此算法��;(6) 利用GPU對(duì)處于平截頭體內(nèi)的節(jié)點(diǎn)進(jìn)行渲染�����。
全文摘要
本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,涉及一種針對(duì)DDoS攻擊的實(shí)時(shí)可視化檢測(cè)方法��,包括下列步驟從原始數(shù)據(jù)中提取源IP地址����,目的IP地址,目的端口號(hào)����,數(shù)據(jù)報(bào)接收時(shí)間作為可視化模型的四個(gè)維度;創(chuàng)建顯示模型����,對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,轉(zhuǎn)換到同一個(gè)值域中�����,對(duì)于每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)��,在三維場(chǎng)景中創(chuàng)建一個(gè)包圍盒���,利用場(chǎng)景圖來(lái)組織場(chǎng)景中的所有元素�����;設(shè)置八叉樹(shù)包圍盒的空間大小�����,建立和生成該場(chǎng)景的八叉樹(shù)結(jié)構(gòu)�����;利用八叉樹(shù)結(jié)構(gòu)��,進(jìn)行場(chǎng)景顯示粒子節(jié)點(diǎn)的添加����,剔除,并利用GPU對(duì)處于平截頭體內(nèi)的節(jié)點(diǎn)進(jìn)行渲染顯示��;通過(guò)交互操作檢測(cè)是否受到DDoS攻擊��。本發(fā)明提供多視圖���,多角度����,多種交互性能�����,極大可能的增加網(wǎng)絡(luò)管理人員發(fā)現(xiàn)網(wǎng)絡(luò)攻擊模式的可能�。
文檔編號(hào)H04L29/06GK101557324SQ20081015420
公開(kāi)日2009年10月14日 申請(qǐng)日期2008年12月17日 優(yōu)先權(quán)日2008年12月17日
發(fā)明者呂良福, 孫濟(jì)洲, 張亞平, 張加萬(wàn), 亮 李, 楊國(guó)強(qiáng), 陳國(guó)軍 申請(qǐng)人:天津大學(xué)