本發(fā)明涉及云計(jì)算中異常流量檢測領(lǐng)域,更具體地,涉及一種基于多維renyi交叉熵的ddos攻擊檢測系統(tǒng)。
背景技術(shù):
隨著云計(jì)算的飛速發(fā)展,云服務(wù)需求越來越大,各類業(yè)務(wù)越來越復(fù)雜,用戶對服務(wù)質(zhì)量的要求越來越高?,F(xiàn)有的云計(jì)算平臺的服務(wù)能力和可擴(kuò)展能力已經(jīng)不能滿足日益發(fā)展的需求:傳統(tǒng)的云計(jì)算架構(gòu)采用二元模型造成了性能瓶頸。云產(chǎn)業(yè)發(fā)展急需研究者研發(fā)新的云計(jì)算服務(wù)架構(gòu)模型,以促進(jìn)云計(jì)算技術(shù)演化,為云計(jì)算服務(wù)提供有效的技術(shù)支撐。因此出現(xiàn)了多層云架構(gòu)的概念。
多層云架構(gòu)通過把整個云的控制面、數(shù)據(jù)面、服務(wù)面的設(shè)計(jì)適當(dāng)分離和有機(jī)融合,實(shí)現(xiàn)中央資源與規(guī)則控制的統(tǒng)一性和本地用戶服務(wù)與互動的靈活性的要求,支持計(jì)算、數(shù)據(jù)、傳輸和存儲資源的優(yōu)化配置?,F(xiàn)在已經(jīng)在很多地方得到了實(shí)際的應(yīng)用。因此保障多層云的安全也顯得日益重要。
多層云架構(gòu)中,由大云進(jìn)行全局視圖的管理與監(jiān)測,同時管理數(shù)據(jù)內(nèi)容的索引,中云包括位于不同區(qū)域的服務(wù)器群和數(shù)據(jù)中心,負(fù)責(zé)數(shù)據(jù)的存儲及區(qū)域常用數(shù)據(jù)的高速緩存,小云是可自動化部署,落地到用戶周邊直接服務(wù)用戶的云,既可支持傳統(tǒng)云的數(shù)據(jù)、應(yīng)用、資源分享以及用戶數(shù)據(jù)采集與存儲等服務(wù),也可提供離線模式下高性能虛擬桌面或容器、高并發(fā)高數(shù)據(jù)量業(yè)務(wù)。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明提供一種高效的多層云下基于多維renyi交叉熵的ddos攻擊檢測系統(tǒng)。
為了達(dá)到上述技術(shù)效果,本發(fā)明的技術(shù)方案如下:
一種基于多維renyi交叉熵的ddos攻擊檢測系統(tǒng),包括:
流表分析模塊:收集網(wǎng)絡(luò)中用戶的各種流量特征信息并對其進(jìn)行匯總,并以固定時間將其發(fā)送給攻擊檢測模塊,所述流表分析模塊部署在小云之上,小云作為多層云的邊緣節(jié)點(diǎn),是直接為用戶提供服務(wù)的云;
攻擊檢測模塊:攻擊檢測模塊通過接收的流表分析模塊送來的流量特征,根據(jù)renyi交叉熵依次計(jì)算對應(yīng)特征屬性的renyi交叉熵,以判斷當(dāng)前時間窗口中的流量信息是否有異常,若發(fā)現(xiàn)該流量窗口內(nèi)網(wǎng)絡(luò)遭受到了攻擊,則將相應(yīng)信息發(fā)送給攻擊溯源模塊;
攻擊溯源模塊:攻擊檢測溯源模塊根據(jù)攻擊檢測模塊提供的信息尋找出所有攻擊源,所述攻擊檢測模塊和攻擊溯源模塊部署在中云之上,中云由服務(wù)器集群或者數(shù)據(jù)中心組成,主要負(fù)責(zé)數(shù)據(jù)的存儲以及常用數(shù)據(jù)的高速緩存;
攻擊緩解模塊:攻擊緩解模塊根據(jù)攻擊溯源模塊發(fā)送的信息以及它對整個多層云的清晰了解,制定相應(yīng)的攻擊緩解策略,并將該策略發(fā)送給中云和小云,所述攻擊緩解模塊部署在大云之上,大云作為整個多層云的管理核心負(fù)責(zé)對多層云進(jìn)行監(jiān)控和管理。
進(jìn)一步地,所述流表分析模塊將提取用戶的多個流量特征分別是源ip地址、目的ip地址、源端口、目的端口、ip協(xié)議的類型以及用戶id。
進(jìn)一步地,所述攻擊檢測模塊計(jì)算基于源ip地址的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)當(dāng)前窗口為wt,當(dāng)前窗口的前一個窗口為wt-1,設(shè)當(dāng)前窗口內(nèi)源ip地址分布
當(dāng)前窗口的前一個窗口的源ip地址分布:
此時當(dāng)前窗口內(nèi)的源ip地址與前一個窗口內(nèi)的源ip地址的renyi交叉熵表示為:
通過判斷i0.5(gt,gt-1)與預(yù)設(shè)的renyi交叉熵β來判斷當(dāng)前網(wǎng)絡(luò)的狀態(tài):
若i0.5(gt,gt-1)>β則表示兩個相鄰的流量窗口內(nèi),源ip地址的概率分布變化很大,超過了特定閾值β,網(wǎng)絡(luò)的源ip地址的概率分布是異常的;
若i0.5(gt,gt-1)<β則表示兩個相鄰的流量窗口內(nèi),源ip地址的概率分布變化不大,網(wǎng)絡(luò)的源ip地址的概率分布是正常的。
進(jìn)一步地,所述攻擊檢測模塊計(jì)算基于目的ip地址的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)jt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令jt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
進(jìn)一步地,所述攻擊檢測模塊計(jì)算基于ip協(xié)議的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)kt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令kt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
進(jìn)一步地,所述攻擊檢測模塊計(jì)算基于源端口的的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)lt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令lt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
進(jìn)一步地,所述攻擊檢測模塊計(jì)算基于目的端口的的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)mt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令mt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
進(jìn)一步地,攻擊檢測模塊的具體攻擊檢測流程如下:
1)小云每隔時間t向流量分析模塊發(fā)送該小云當(dāng)前窗口時間內(nèi)的流量信息;
2)流量分析模塊從中提取出如下流量特征信息:
3)分別計(jì)算各特征在當(dāng)前窗口內(nèi)與前一個窗口內(nèi)的renyi交叉熵:
i0.5(gt,gt-1),i0.5(jt,jt-1),i0.5(kt,kt-1),i0.5(lt,lt-1),i0.5(mt,mt-1);
4)將向量i={i0.5(gt,gt-1),i0.5(jt,jt-1),i0.5(kt,kt-1),i0.5(lt,lt-1),i0.5(mt,mt-1)}與攻擊特征集中的各種攻擊的renyi交叉熵值進(jìn)行對比,以判斷該網(wǎng)絡(luò)是否遭受了攻擊,若遭受了攻擊,則會啟動相應(yīng)的攻擊溯源和攻擊緩解模塊;
5)若沒有發(fā)生攻擊,把當(dāng)前的gt、jt、kt、lt、mt更新至gt-1、jt-1、kt-1、lt-1、mt-1,并跳轉(zhuǎn)至步驟1)。
進(jìn)一步地,攻擊溯源模塊找出攻擊源的過程是:
a)將gt分布中所有基于用戶s1獲得特征信息替換為前一個窗口內(nèi)基于用戶s1獲得的特征信息,并保持基于用戶獲得的信息不變,由此得到新的基于目的ip地址的分布g't;
b)計(jì)算概率分布g't與gt的renyi交叉熵i0.5(g't,gt),若i0.5(g't,gt)>β則表示被檢查的用戶當(dāng)前窗口內(nèi)的流量對整個網(wǎng)絡(luò)的影響很大,將該交換機(jī)記錄進(jìn)攻擊集s;
c)重復(fù)a)、b)步驟,直至遍歷完云中的所有用戶,此時存在于攻擊集s中的用戶即為造成的網(wǎng)絡(luò)流量異常的用戶。
進(jìn)一步地,攻擊緩解模塊根據(jù)攻擊溯源模塊發(fā)來的信息分析出攻擊者的ip地址、端口號,并根據(jù)這些信息掌握造成網(wǎng)絡(luò)流量異常的完整信息;攻擊緩解模塊根據(jù)相對應(yīng)的攻擊方式制定相對應(yīng)的攻擊緩解策略,采用包丟棄、流量清洗、流量重定位的策略。
與現(xiàn)有技術(shù)相比,本發(fā)明技術(shù)方案的有益效果是:
本發(fā)明通過流表分析模塊收集網(wǎng)絡(luò)中用戶的各種流量特征信息并對其進(jìn)行匯總,并以固定時間將其發(fā)送給攻擊檢測模塊,攻擊檢測模塊通過接收的流表分析模塊送來的流量特征,根據(jù)renyi交叉熵依次計(jì)算對應(yīng)特征屬性的renyi交叉熵,以判斷當(dāng)前時間窗口中的流量信息是否有異常,若發(fā)現(xiàn)該流量窗口內(nèi)網(wǎng)絡(luò)遭受到了攻擊,則將相應(yīng)信息發(fā)送給攻擊溯源模塊;攻擊檢測溯源模塊根據(jù)攻擊檢測模塊提供的信息尋找出所有攻擊源;:攻擊緩解模塊根據(jù)攻擊溯源模塊發(fā)送的信息以及它對整個多層云的清晰了解,制定相應(yīng)的攻擊緩解策略,并將該策略發(fā)送給中云和小云。
附圖說明
圖1為本發(fā)明的總體層次架構(gòu)圖;
圖2為本發(fā)明的攻擊檢測流程圖。
具體實(shí)施方式
附圖僅用于示例性說明,不能理解為對本專利的限制;
為了更好說明本實(shí)施例,附圖某些部件會有省略、放大或縮小,并不代表實(shí)際產(chǎn)品的尺寸;
對于本領(lǐng)域技術(shù)人員來說,附圖中某些公知結(jié)構(gòu)及其說明可能省略是可以理解的。
下面結(jié)合附圖和實(shí)施例對本發(fā)明的技術(shù)方案做進(jìn)一步的說明。
實(shí)施例1
如圖1所示,一種基于多維renyi交叉熵的ddos攻擊檢測系統(tǒng),包括:
流表分析模塊:收集網(wǎng)絡(luò)中用戶的各種流量特征信息并對其進(jìn)行匯總,并以固定時間將其發(fā)送給攻擊檢測模塊,所述流表分析模塊部署在小云之上,小云作為多層云的邊緣節(jié)點(diǎn),是直接為用戶提供服務(wù)的云;
攻擊檢測模塊:攻擊檢測模塊通過接收的流表分析模塊送來的流量特征,根據(jù)renyi交叉熵依次計(jì)算對應(yīng)特征屬性的renyi交叉熵,以判斷當(dāng)前時間窗口中的流量信息是否有異常,若發(fā)現(xiàn)該流量窗口內(nèi)網(wǎng)絡(luò)遭受到了攻擊,則將相應(yīng)信息發(fā)送給攻擊溯源模塊;
攻擊溯源模塊:攻擊檢測溯源模塊根據(jù)攻擊檢測模塊提供的信息尋找出所有攻擊源,所述攻擊檢測模塊和攻擊溯源模塊部署在中云之上,中云由服務(wù)器集群或者數(shù)據(jù)中心組成,主要負(fù)責(zé)數(shù)據(jù)的存儲以及常用數(shù)據(jù)的高速緩存;
攻擊緩解模塊:攻擊緩解模塊根據(jù)攻擊溯源模塊發(fā)送的信息以及它對整個多層云的清晰了解,制定相應(yīng)的攻擊緩解策略,并將該策略發(fā)送給中云和小云,所述攻擊緩解模塊部署在大云之上,大云作為整個多層云的管理核心負(fù)責(zé)對多層云進(jìn)行監(jiān)控和管理。
流表分析模塊將提取用戶的多個流量特征分別是源ip地址、目的ip地址、源端口、目的端口、ip協(xié)議的類型以及用戶id。
攻擊檢測模塊計(jì)算基于源ip地址的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)當(dāng)前窗口為wt,當(dāng)前窗口的前一個窗口為wt-1,設(shè)當(dāng)前窗口內(nèi)源ip地址分布
當(dāng)前窗口的前一個窗口的源ip地址分布:
此時當(dāng)前窗口內(nèi)的源ip地址與前一個窗口內(nèi)的源ip地址的renyi交叉熵表示為:
通過判斷i0.5(gt,gt-1)與預(yù)設(shè)的renyi交叉熵β來判斷當(dāng)前網(wǎng)絡(luò)的狀態(tài):
若i0.5(gt,gt-1)>β則表示兩個相鄰的流量窗口內(nèi),源ip地址的概率分布變化很大,超過了特定閾值β,網(wǎng)絡(luò)的源ip地址的概率分布是異常的;
若i0.5(gt,gt-1)<β則表示兩個相鄰的流量窗口內(nèi),源ip地址的概率分布變化不大,網(wǎng)絡(luò)的源ip地址的概率分布是正常的。
攻擊檢測模塊計(jì)算基于目的ip地址的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)jt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令jt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
攻擊檢測模塊計(jì)算基于ip協(xié)議的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)kt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令kt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
攻擊檢測模塊計(jì)算基于源端口的的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)lt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令lt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
攻擊檢測模塊計(jì)算基于目的端口的的renyi交叉熵的過程是:
當(dāng)小云中的網(wǎng)絡(luò)出現(xiàn)異常時,小云中基于源ip地址的renyi交叉熵也會出現(xiàn)相應(yīng)的變化:
設(shè)mt代表當(dāng)前窗口內(nèi)的目的ip地址分布,令mt-1代表當(dāng)前窗口的前一個窗口的目的ip地址分布,目的ip地址的renyi交叉熵表示為:
如圖2所示,攻擊檢測模塊的具體攻擊檢測流程如下:
1)小云每隔時間t向流量分析模塊發(fā)送該小云當(dāng)前窗口時間內(nèi)的流量信息;
2)流量分析模塊從中提取出如下流量特征信息:
3)分別計(jì)算各特征在當(dāng)前窗口內(nèi)與前一個窗口內(nèi)的renyi交叉熵:
i0.5(gt,gt-1),i0.5(jt,jt-1),i0.5(kt,kt-1),i0.5(lt,lt-1),i0.5(mt,mt-1);
4)將向量i={i0.5(gt,gt-1),i0.5(jt,jt-1),i0.5(kt,kt-1),i0.5(lt,lt-1),i0.5(mt,mt-1)}與攻擊特征集中的各種攻擊的renyi交叉熵值進(jìn)行對比,以判斷該網(wǎng)絡(luò)是否遭受了攻擊,若遭受了攻擊,則會啟動相應(yīng)的攻擊溯源和攻擊緩解模塊;
5)若沒有發(fā)生攻擊,把當(dāng)前的gt、jt、kt、lt、mt更新至gt-1、jt-1、kt-1、lt-1、mt-1,并跳轉(zhuǎn)至步驟1)。
攻擊溯源模塊找出攻擊源的過程是:
a)將gt分布中所有基于用戶s1獲得特征信息替換為前一個窗口內(nèi)基于用戶s1獲得的特征信息,并保持基于用戶獲得的信息不變,由此得到新的基于目的ip地址的分布g't;
b)計(jì)算概率分布g't與gt的renyi交叉熵i0.5(g't,gt),若i0.5(g't,gt)>β則表示被檢查的用戶當(dāng)前窗口內(nèi)的流量對整個網(wǎng)絡(luò)的影響很大,將該交換機(jī)記錄進(jìn)攻擊集s;
c)重復(fù)a)、b)步驟,直至遍歷完云中的所有用戶,此時存在于攻擊集s中的用戶即為造成的網(wǎng)絡(luò)流量異常的用戶。
緩解模塊根據(jù)攻擊溯源模塊發(fā)來的信息分析出攻擊者的ip地址、端口號等信息,并根據(jù)這些信息掌握造成網(wǎng)絡(luò)流量異常的完整信息;攻擊緩解模塊根據(jù)相對應(yīng)的攻擊方式制定相對應(yīng)的攻擊緩解策略,采用包丟棄、流量清洗、流量重定位等策略。
相同或相似的標(biāo)號對應(yīng)相同或相似的部件;
附圖中描述位置關(guān)系的用于僅用于示例性說明,不能理解為對本專利的限制;
顯然,本發(fā)明的上述實(shí)施例僅僅是為清楚地說明本發(fā)明所作的舉例,而并非是對本發(fā)明的實(shí)施方式的限定。對于所屬領(lǐng)域的普通技術(shù)人員來說,在上述說明的基礎(chǔ)上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實(shí)施方式予以窮舉。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明權(quán)利要求的保護(hù)范圍之內(nèi)。