一种自适应的异常流量检测方法

doi:10.3969/j.issn.1671-1122.2020.12.004

信息网络安全 ›› 2020, Vol. 20 ›› Issue (12): 28-32.doi: 10.3969/j.issn.1671-1122.2020.12.004

一种自适应的异常流量检测方法

张新跃¹, 胡安磊¹(), 李炬嵘¹, 冯燕春²

1.中国互联网络信息中心,北京 100190
2.国家信息技术安全研究中心,北京 100044

收稿日期:2020-08-18 出版日期:2020-12-10 发布日期:2021-01-12
通讯作者: 胡安磊 E-mail:huanlei@cnnic.cn
作者简介:张新跃（1978—）,男,云南,正高级工程师,博士,主要研究方向为DNS安全、云安全、网络安全|胡安磊（1979—）,男,山东,正高级工程师,硕士,主要研究方向为DNS安全、网络安全|李炬嵘（1976—）,女,新疆,高级工程师,硕士,主要研究方向为DNS安全、网络安全|冯燕春（1960—）,女,北京,研究员,本科,主要研究方向为风险评估、网络安全
基金资助:
科技部重点研发(2019YFB1804501)

A Method of Adaptive Abnormal Network Traffic Detection

ZHANG Xinyue¹, HU Anlei¹(), LI Jurong¹, FENG Yanchun²

1. China Internet Network Information Center, Beijing 100190, China
2. National Research Center for Information Technology Security, Beijing 100044, China

Received:2020-08-18 Online:2020-12-10 Published:2021-01-12
Contact: HU Anlei E-mail:huanlei@cnnic.cn

摘要/Abstract

摘要：

文章针对DDoS异常流量攻击提出一种自适应攻击检测方法,该方法基于网络访问行为特征进行快速学习建模,再通过一个流量TOP-N排序表来实现异常流量的动态过滤。TOP-N排序表的样本模板采用自适应收敛算法来快速自学习更新,可以快速、准确地识别出异常流量和攻击行为,大大提升异常流量攻击行为检测的准确率,特别适用于慢速的应用型DDoS攻击检测和防护领域。

关键词: DDoS, TOP-N, 自适应, 训练模板

Abstract:

In this paper, we propose a new adaptive attack detection method for DDoS abnormal traffic attacks. The method is based on the characteristics of network access behavior for rapid learning modeling, and then through a traffic TOP-N ranking table to achieve dynamic filtering of abnormal traffic. The sample template of TOP-N table adopts adaptive convergence algorithm to quickly self-learning update. This method can quickly and accurately identify abnormal traffic and attack behavior, and greatly improve the accuracy of abnormal traffic attack detection. It is especially suitable for the detection and protection of slow application DDoS attacks.

Key words: DDoS, TOP-N, adaptive, training template

中图分类号:

TP309

张新跃, 胡安磊, 李炬嵘, 冯燕春. 一种自适应的异常流量检测方法[J]. 信息网络安全, 2020, 20(12): 28-32.

ZHANG Xinyue, HU Anlei, LI Jurong, FENG Yanchun. A Method of Adaptive Abnormal Network Traffic Detection[J]. Netinfo Security, 2020, 20(12): 28-32.

图/表 2

参考文献 9

[1]	YAN Fen, WANG Jiajia, ZHAO Jinfeng, et al. Overview of DDoS Attack Detection[J]. Computer Application Research, 2008,25(4):76-81.
	严芬, 王佳佳, 赵金凤, 等. DDoS攻击检测综述[J]. 计算机应用研究, 2008,25(4):76-81.
[2]	ZHANG Xinyue. Research and Design of Domain Name Security System[J]. China Information Security, 2016,7(11):29-31.
	张新跃. 域名安全保障体系研究与设计[J]. 中国信息安全, 2016,7(11):29-31.
[3]	XIE Yi, YU Shunzheng. Analysis and Defense of Application Layer DDoS Attacks in New Network Environment[J]. Telecommunications Science, 2007,23(1):89-93.
	谢逸, 余顺争. 新网络环境下应用层DDoS攻击的剖析与防御[J]. 电信科学, 2007,23(1):89-93.
[4]	ZHANG Xinyue, DENG Weichun, SHEN Shuqun. Policy Driven Network Security Management Model[J]. Computer Application Research, 2005,22(1):226-231.
	张新跃, 邓炜春, 沈树群. 策略驱动的网络安全管理模型[J]. 计算机应用研究, 2005,22(1):226-231.
[5]	ZHANG Xinyue, HUA Wangming, HUANG Lilian, et al. Research and Design of Telecom IT Security System in China[J]. Modern Telecommunication Technology, 2011,41(9):24-27.
	张新跃, 华汪明, 黄礼莲, 等, 中国电信IT安全保障体系研究与设计[J]. 现代电信科技, 2011,41(9):24-27.
[6]	LIU Anli, ZHAO Huaixun. Analysis of DDoS Attack and Defense Technology in Network Confrontation[J]. Network Security Technology and Application, 2009,9(7):13-15.
	刘安利, 赵怀勋. 网络对抗中的DDoS攻防技术分析[J]. 网络安全技术与应用, 2009,9(7):13-15.
[7]	ZHAI Guangqun, GAO Kainan. Research on DDoS Attack Detection System of DNS Server[J]. Computer Engineering and Application. 2011,47(33):34-36.
	翟光群, 高凯楠. DNS服务器的DDoS攻击检测系统的研究[J]. 计算机工程与应用, 2011,47(33):34-36.
[8]	LUO Zhiqiang, SHEN Jun, JIN Huamin. Detection and Control Technology of Distributed DNS Reflection DDoS Attack[J]. Telecommunications Science, 2015,31(10):186-191.
	罗志强, 沈军, 金华敏. 分布式DNS反射DDoS攻击检测及控制技术[J]. 电信科学, 2015,31(10):186-191.
[9]	LIU Guorong, LIU Dongxin, SHEN Jun, et al. Abnormal Traffic Detection and Prevention Technology of Ultra Wideband Network[J]. Telecommunications Science, 2012,28(1):22-25.
	刘国荣, 刘东鑫, 沈军, 等. 超宽带网络异常流量检测与防治技术探析[J]. 电信科学, 2012,28(1):22-25.

编号	IP地址	历史排序	流量采样模板库
1 2 3 … N	210.xxx.xxx.xxx 180.xxx.xxx.xxx 202.xxx.xxx.xxx … 211.xxx.xxx.xxx	Xxxxx Xxxx Xxx … Xx	R₁(M_11,M_12,…_,M₁_k) R₂(M_21,M_22,…_,M₂_k) R₃(M_31,M_32,…_,M₃_k) … R_N(M_N_1,M_N_2,…_,M_Nk)
N+1 … N+M	151.xxx.xxx.xxx … 241.xxx.xxx.xxx	X … x	R_N₊₁(M_N_+1,1,M_N_+1,2,…_,M_N_+1,_k) … R_N₊_M(M_N₊_M_,1,M_N₊_M_,2,…_,M_N₊_M_,_k)
E	(空)	（空）	E(E_1,E_2,…_,E_k)

[1]	余晴, 郑崇辉, 杜晔. 面向云平台虚拟层的安全态势评估关键技术研究[J]. 信息网络安全, 2020, 20(7): 53-59.
[2]	王健, 王语杰, 韩磊. 基于突变模型的SDN环境中DDoS攻击检测方法[J]. 信息网络安全, 2020, 20(5): 11-20.
[3]	岳巧丽, 吕万波, 胡卫宏, 张海阔. 基于DNS应答价值评估的DDoS防御研究[J]. 信息网络安全, 2019, 19(9): 56-60.
[4]	张可, 汪有杰, 程绍银, 王理冬. DDoS攻击中的IP源地址伪造协同处置方法[J]. 信息网络安全, 2019, 19(5): 22-29.
[5]	喻志彬, 马程, 李思其, 王淼. 基于Web应用层的DDoS攻击模型研究[J]. 信息网络安全, 2019, 19(5): 84-90.
[6]	高洪涛, 陆伟, 杨余旺. 基于自适应调节核函数的图像显著区域提取方法[J]. 信息网络安全, 2018, 18(2): 54-60.
[7]	闵祥参, 张雪锋. 一种新的云计算指纹中心点定位算法研究[J]. 信息网络安全, 2017, 17(7): 59-65.
[8]	张雪博, 刘敬浩, 付晓梅. 基于改进Logistic回归算法的抗Web DDoS攻击模型的设计与实现[J]. 信息网络安全, 2017, 17(6): 62-67.
[9]	李恒, 沈华伟, 程学旗, 翟永. 网络高流量分布式拒绝服务攻击防御机制研究综述[J]. 信息网络安全, 2017, 17(5): 37-43.
[10]	宋淑男, 杨震. 密钥提取中降低密钥不一致率的量化方法研究[J]. 信息网络安全, 2017, 17(4): 46-52.
[11]	罗霄峰, 王文贤, 罗万伯. 访问控制技术现状及展望[J]. 信息网络安全, 2016, 16(12): 19-27.
[12]	赵呈亮, 李爱平, 江荣. 基于TOPSIS-GRA集成评估法的DDoS攻击效果评估技术研究[J]. 信息网络安全, 2016, 16(10): 40-46.
[13]	李洁, 许鑫, 陈宇, 张丁文. 模拟DDoS攻击场景下的云取证模型的研究[J]. 信息网络安全, 2015, 15(6): 67-72.
[14]	黄长慧，王海珍，陈思. 基于自相似流量检测的DDoS攻击及防御研究[J]. 信息网络安全, 2014, 14(9): 69-71.
[15]	. 基于智能化自学习方式的入侵检测防护系统设计与实现[J]. , 2014, 14(2): 20-.

一种自适应的异常流量检测方法

A Method of Adaptive Abnormal Network Traffic Detection

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 9

相关文章 15

编辑推荐

Metrics

本文评价