主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2020年专刊出版计划 微信服务介绍 最新一期:2019年第12期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
刘运,蔡志平,钟平,殷建平,程杰仁.基于条件随机场的DDoS 攻击检测方法.软件学报,2011,22(8):1897-1910
基于条件随机场的DDoS 攻击检测方法
Detection Approach of DDoS Attacks Based on Conditional Random Fields
投稿时间:2010-04-21  修订日期:2010-08-13
DOI:10.3724/SP.J.1001.2011.03960
中文关键词:  分布式拒绝服务  条件熵  行为轮廓  条件随机场
英文关键词:distributed denial-of-service  conditional entropy  behavior profile  conditional random fields
基金项目:国家自然科学基金(61070198, 60970034, 60903040)
作者单位E-mail
刘运 国防科学技术大学 计算机学院,湖南 长沙 410073  
蔡志平 国防科学技术大学 计算机学院,湖南 长沙 410073 xilan724@yahoo.com.cn 
钟平 国防科学技术大学 电子科学与工程学院,湖南 长沙 410073  
殷建平 国防科学技术大学 计算机学院,湖南 长沙 410073  
程杰仁 国防科学技术大学 计算机学院,湖南 长沙 410073  
摘要点击次数: 3301
全文下载次数: 4303
中文摘要:
      近年来,基于机器学习算法的分布式拒绝服务(distributed denial-of-service,简称DDoS)攻击检测技术已取得了很大的进展,但仍存在一些不足:(1) 不能充分利用蕴涵于标记和特征观测序列中的上下文信息;(2) 对多特征的概率分布存在过强的假设.条件随机场模型具有融合利用上下文信息和多特征的能力,将其应用于DDoS 检测,能够有效地弥补上述不足.提出了一种基于条件随机场的DDoS 攻击检测方法:首先,定义流特征条件熵(traffic feature conditional entropy,简称TFCE)、行为轮廓偏离度(behavior profile deviate degree,简称BPDD)两组统计量,对TCP flood,UDP flood,ICMP flood 这3 类攻击的特点进行描述;然后以此为基础,使用条件随机场,通过对其有效训练,分别为3 类攻击建立分类模型;最后,通过对模型的有效训练,应用模型推断来完成对DDoS 攻击的检测.实验结果表明,该方法能够充分发挥条件随机场模型的优势,准确区分正常流量和攻击流量,与同类方法相比,具有更好的抗背景流量干扰的能力.
英文摘要:
      In recent years, the detection technology based on machine learning algorithms for distributed denialof- service (DDoS) attacks has made great progress. However, there are still some deficiencies, which are: (1) being unable to make full use of contextual information in both the label and observed features series; (2) making too strong assumptions on the probability distribution of multiple features. Featured with the strong capability in integrating and exploiting contextual information and multiple features, the conditional random fields (CRF) model can be applied to detect DDoS attacks for effectively overcoming the above mentioned problems. A detection approach based on CRF model is proposed in this paper. First, two group of statistics are defined, which include traffic feature conditional entropy (TFCE) and behavior profile deviate degree (BPDD), to depict the characteristics of three types DDoS attacks: TCP flood, UDP flood and ICMP flood. Then, the CRF is trained to build the classification model for the addressed three types of attacks respectively. Lastly, the trained CRF models are used to identify the attacks with model inference. The experimental results demonstrate that the proposed approach can sufficiently exploit the advantages of CRF. The proposed detection approach not only can distinguish between attack traffic and normal traffic accurately, but is also more robust to resist disturbance of background traffic than the similar approaches.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会 京ICP备05046678号-4
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利