论文导读:本文阐明了拒绝服务(DoS)对DNS可能的威胁,并提出了一种入侵检测系统(IDS)对不同类型DNS的DoS攻击的进行检测和分类。该系统由统计预处理器和机器学习(ML)引擎组成。三种神经网络分类器和支持向量机在模拟网络中得以评估。结果表明,BP神经网络引擎以99%的准确率优于其他类型的分类器。
关键词:域名系统拒绝服务,神经网络机器学习
1 引言
早期的DNS是基于不可靠传递的用户数据报协议(UDP)设计的,而且DNS的安全性在当时并不是大问题,因为早期的设计足以满足互联网的需求。现在,DNS已成为互联网和具有一定规模的专用网络的运营的一项重要服务,所以有必要确保DNS系统避免任何未经授权的访问。本文的第一个目标是评估对DNS的不同类型的DoS攻击。这些攻击识别模式促使我们通过改变不同的参数模拟不同的攻击方案来产生所需的数据。
最常见的两种DNS拒绝服务攻击是直接DoS攻击和放大攻击。首先,攻击者试图通过从单个或多个源发送过多流量来击垮服务器。因此,这将导致目标服务器接收大量查询数据包。被DoS攻击淹没的域名服务器将经受丢失包和不能总是回复所有DNS请求。参考文献[1]指出DNS数据流的数据包长度小,况且异常数据包相似性使得检测过程更加困难。
另一方面,攻击者建立最先进和典型的DoS攻击类型,称为放大攻击,来增强一般DOS攻击的影响。这种攻击类型命名为放大是因为攻击者抓住了小查询可以产生更大量UDP响应数据包这个事实[2]。现在,DNS协议(RFC2671)被攻击者用来扩大放大系数。例如,一个60字节的DNS请求可以得到超过4000个字节的回应。这将产生超过60的放大因素。多位研究者研究过放大攻击的影响。根据他们的分析,这些攻击模式包含了庞大数量的大于512字节的标准DNS数据包的非标准包[3]。
2 数据集生成仿真模型
访问流量仿真真实环境较难,所以我们利用了网络模拟器。据我们所知,可用的DNS的DoS攻击生成数据集并不存在。因此,我们的实验用模拟生成所需的数据。我们的模型使用NS-2(版本2.28)的OTcl程序进行模拟,它用于构造DNS不同的DoS攻击。
我们的模拟网络拓扑结构包含一台合法的客户机、一个攻击者和两台服务器。所有节点都连接到同一个路由器。所有链路都是100Mbps和10ms延迟,除了目标服务器和路由器之间链路是10Mbps和10ms延迟。我们以落尾排队策略使用一个100个数据包大小的队列。网络中有两种类型的流量的产生,即合法流量和攻击流量。我们模拟修改了服务器的应用程序,请求间隔时间固定为10秒。攻击者期望用过剩的流量淹没目标域名服务器。DOS流量模拟成恒定比特率(CBR)源。CBR由NS-2中CBR流量生成器生成。我们选取不同的延迟值来确定攻击开始时间,来应对各种变化。
3 系统结构
本节提出了一种新型DNS的DoS攻击检测系统,它使用了一种机器学习引擎来检测和分类攻击。该IDS是一个基于IDS(NNIDS)的网络节点,它可实施在域名服务器上以达到检测攻击的目的。图1用输入输出数据类型给出了我们所提出的系统的总体结构。
该系统从收集域名服务器收到的数据包流开始。接下来,预处理器基于一个管理员指定的20秒时间窗口统计分析流量,超过了最大查找延迟。可能标识域名服务器收到的DNS流量的参数,构成了分类器的输入定义如下:
① 收到的DNS吞吐量需定义为服务器所收到的比特数量。我们测量了指定的时间窗口指标的平均值。
② 服务器在监测时间窗口接收的数据包平均长度。论文检测,域名系统拒绝服务。论文检测,域名系统拒绝服务。
③ 丢失包定义为由于洪水攻击流量没能达到其目标的丢失DNS数据包的数量。论文检测,域名系统拒绝服务。论文检测,域名系统拒绝服务。
在预处理流量和基于指定特征选择产生所需数据集后,机器学习引擎得以应用。论文检测,域名系统拒绝服务。四种不同的机器学习引擎已为我们的系统所评估,其中三个在神经网络分类器范畴,最后一个是基于支持向量的典型算法。这些引擎在接下来的章节中将详细介绍。
图1 系统框架
3.1 BP神经网络
本文中,我们尝试找到优化的BP网络来有效地检测和对不同的DNS的DOS攻击分类。我们的BP神经网络有三个层次。输入层的单元数目适合于输入矢量的特征,即DNS流量的三大特征。输出层还有三个单元表示正常和DoS攻击的不同状态: [0 0 0]表示正常状态,[0 0 1]表示直接DoS攻击以及[0 1 0]表示放大攻击。我们为BP网络训练过程做出下列主要假设:时代数= 500,平均方差(MSE)= 0.00001,培训功能=列文伯格-马夸尔特法反向传播(trainlm),激活功能=tan-sigmoid函数。我们的网络优化结构,发现隐藏神经元的数量从3到13个不等。该系统在隐藏层的最佳精度是7个神经元。
3.2 RBF神经网络
为了实现一个优化的RBF神经网络的分类问题,我们需要为隐藏单元和RBF中心和宽度指定激活函数。隐藏层主要使用的激活函数是高斯函数,它已经用于我们的RBF分类器的隐藏单元。质心位置已用K-means聚类算法选择,接着宽度参数计算公式如下:
由于要求高计算能力,我们初步测试中不可能获取与BP神经网络相同的MSE。因此,我们设定MSE值0.001。
3.3 SOM神经网络
在这个实验中,三个特征的输入向量因输入值的差别很大已被归一。如果原始数据被直接应用到网络,那么具有较高值的输入样本可能会导致抑制较小值的影响。因此,下面的公式给出标准的规范化:
测试不同数目的神经元,以找到最佳的执行网络。论文检测,域名系统拒绝服务。查看流量数据使用的分类器的输出,我们得到了同样的结果,并且注意到所有正常流量在指定范围内聚集,而可疑流量在显示可能攻击群的外面。当我们对结果充满信心时,受测试数据控制训练好的网络得以评估。因此,实施SOM神经网络的主要假设如下:时代数= 1000,神经元数目= 25,相邻拓扑= Hextop(六角层拓扑函数),距离函数= Linkdist,预订阶段学习率= 0.9,预订阶段步骤= 1000,调整阶段学习率= 0.02,调整阶段相邻距离= 1。
3.4 支持向量机
SVM是最近入侵检测系统中使用的另一种学习与软计算技术。基本的SVM算法是为分类对象分为两类而设计的,但许多现实世界的问题有两种以上的处理方法。在我们的实验中,实施一对所有的方案是为解决这个问题的。它构造3位SVM分类器,每个分类器将其中一个类从其余类分开。第i 个SVM是利用第i类正标签(+1)的训练集进行训练,而负标签(-1)则为其他。最后,我们的测试数据的样本归为第i类,它拥有三种分类器之间的最大值。
在训练阶段, 应提供具有相应参数的适当函数。这将是一个耗时的过程,因为训练的机器使用不同的内核参数,且当中只有一个是测试过程中选为表现最好的。
三个径向内核分别为1.5、10和5伽马的支持向量机和最佳正规参数C= 100、1和1000000用来实施三个分类器。径向基础内核公式如下:
4 系统评估
为评估我们所提出的系统,定义了下列性能指标:
●精度,是指归为总体数据中准确类型的数据比例。准确的情况是真阳性(TP)和真阴性(TN),而虚假的检测情况是假阳性(FP)和假阴性(FN)。该系统的精度计算公式如下:
●检测率(DR),是指在所有攻击中检测到的攻击所占的比例。两种攻击的指标按下列公式计算:
●误报率(FAR),是指被分类器错误分类的网络流量的百分比。其计算公式如下:
表1:不同分类器的性能比较
表1列出了三个神经网络分类器以及SVM的性能比较。结果表明,BP神经网络优于本文实现的其他类型的分类器。它给我们提供了以可接受的误报率对DNS的拒绝服务的良好的检测率。
5 结束语
本文介绍了DNS的两个不同类型的DoS攻击,直接DoS和放大攻击。对DNS流量的DoS攻击的影响的调查使我们发现可疑行为。基于这些模式,分析测量所需的流量数据通过使用最灵活的网络模拟器NS - 2进行模拟。最后,提出了基于机器学习的系统,通过几种流量统计来检测和分类DNS的DoS攻击。两种不同的机器学习算法为探测器引擎进行了评估,也即神经网络分类器和支持向量机。性能比较结果表明,BP神经网络以对直接DoS攻击99.55%的检测率优于其他分类器,97.82%放大攻击检测率,99%的准确率,以及0.28%的误报率。
【参考文献】
[1]Y. Wang, M. Hu, B. Li and B. Yan, Tracking anomalous behaviors of name serversby mining DNS traffic, LECTURE NOTES IN COMPUTER SCIENCE,p351-357, 2006
[2]R. Vaughn and G. Evron. DNS Amplification Attacks,http://www.isotf.org/news/
DNS-Amplification-Attacks.pdf.Accessed,Nov. 2008
|
