基于熵的分布式DDoS防御系统D-FAC的验证和比较

沙特国王大学学报D-FAC：一种基于/-Divergence的分布式DDoS防御系统Sunny Behala，Kristan Kumarb，Monika Sachdevac一个I.K.G.旁遮普技术大学，印度b印度旁遮普省旁遮普大学信息技术系c冰岛中央安全局。旁遮普技术大学，印度旁遮普省卡普塔拉阿提奇莱因福奥文章历史记录：2017年11月11日收到2018年2月3日修订2018年3月4日接受2018年3月31日在线提供保留字：DDoS攻击网络安全熵发散快闪活动A B S T R A C T分布式拒绝服务（DDoS）攻击是广泛使用的基于Internet的服务和应用的严重威胁。尽管存在大量的DDoS防御解决方案，但DDoS攻击的及时检测对网络安全专业人员构成了严峻的挑战。当这种攻击与行为上类似的闪光事件（FE）合并时，问题变得更加关键，其中大量合法用户开始同时访问特定服务，导致拒绝服务。本文提出了一种基于异常的分布式防御系统D-FAC，它不仅可以有效地检测不同类型的DDoS攻击，而且可以有效地减轻它们的影响。D-FAC使用基于信息论的/-Divergence度量来计算D-FAC将计算/发散检测度量的计算和存储复杂度分布到最近的存在点（PoP）路由器。D-FAC已在基于仿真的DDoSTB测试平台中使用真实的DDoS攻击工具和流量生成器进行了验证。结果清楚地表明，D-FAC在检测准确率、分类率、FPR、精度和F-测量等各种检测指标上都优于现有的基于熵和发散的DDoS防御系统©2018作者制作和主办：Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍DDoS攻击对于网络安全专业人员来说并不是一个新问题。它已经存在多年了。支付网关、域名服务器、搜索引擎等数千个组织（例如Google、Yahoo）、银行、教育机构、商业服务器（例如Flipkart、eBay、Amazon）、社交网站（例如Twitter、Facebook）、股票交易、天气预报、医疗、国防、研究等已经部署了web服务器来向终端用户提供基于因特网的服务和应用，并且它们的使用率在最近急剧增加。这些交互式互联网应用程序的使用越来越多，也导致滥用互联网的风险和可能性呈指数级上升（Arbor NetworkDDoS攻击是一种非常突出的攻击，对网络安全构成了非常严重的威胁。通常，DDoS攻击是以协调的方式发起的，通过危害互联网上免费提供的数百万计算机系统，构成称为僵尸网络的僵尸军队（Wang等人，2012年）。DDoS攻击分为两类：（a）网络（第3/4层）DDoS攻击，*通讯作者。电子邮件地址：www.example.comsunnybehal.sbs @ gmail.com（S. Behal）。网络和传输层。当数据包和其他流量的量使网络或服务器过载并消耗其所有可用资源时，会发生此类攻击，以及（b）应用程序（第7层）DDoS攻击，其利用应用程序的网页设计中的漏洞或漏洞来压倒为网页应用程序供电的服务器或数据库，目的是使其瘫痪。此类攻击模仿合法的用户流量，使其更难检测（最新DDoS攻击趋势报告，2016年a）。应用层DDoS攻击如今更加频繁，其中复杂的攻击者使用僵尸网络来发送冗余的合法请求，以在部署在web服务器上的搜索引擎数据库处获取文件或执行查询（Singh等人，2017年a）。据观察，2017年最大的应用层攻击达到峰值173，633 RPS（每秒请求数）。首先，存在两种类型的DDoS攻击检测方法：（a）基于签名的检测方法，其基于已经存储的攻击签名工作，所述攻击签名将已知模式与传入分组的模式相匹配，以及（b）基于异常的检测方法，其将预先构建的网络行为模型与传入网络行为进行实时比较。基于异常的检测具有一些固有的局限性。首先，老练的攻击者可以监视网络流量来训练他们的检测系统。第二，设置难度https://doi.org/10.1016/j.jksuci.2018.03.0051319-1578/©2018作者。制作和主办：Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com292S. Behal等人/沙特国王大学学报提高最佳阈值会导致误报率的增加。第三，很难对合法和异常网络行为进行定性和精确的适当特征提取。另一方面，基于签名的检测方法需要更新的签名以使其有效工作。根据流量速率，DDoS攻击可以分为（a）高速率DDoS（HR-DDoS）攻击，当流量速率与合法流量非常不同时，以及（b）低速率DDoS（LR-DDoS）攻击，当流量速率与合法流量相似或小于根据Akamai 2016年第4季度DDoS报告（Akamai必须及时发现这种攻击，以确保及时提供广泛使用的互联网服务和应用程序。HR-DDoS攻击通常与几种低速率DDoS（LR- DDoS）攻击合并，这些攻击遵循与HR-DDoS攻击，但具有低流量率（Wang等人，2012年）。区分DDoS攻击与合法流量对网络安全研究人员构成了巨大的挑战，因为攻击者每次都用更温和的技术攻击受害者。著名的网站是这种DDoS攻击的主要受害者。最近，Twitter，Spotify和亚马逊在2016年10月21日遭受了近两个小时的服务中断，原因是DDoS攻击。这种服务中断导致巨大的经济损失。2017年的收入损失扩大到2.09亿美元，而2015年全年为2400万美元（2016年最近的DDoS攻击报告）。根据最近的全球基础设施安全报告（WISR），此类攻击的流量在2017年已放大至约1Tbps。从攻击流量的指数级增长可以看出，攻击者正在不断更新他们的技能，使用先进的技术来生成如此巨大的流量，同时击败现有的防御解决方案。最近的一些DDoS趋势报告（Akamai 这意味着没有迹象表明要有效打击这种攻击，在不久的将来，也。还有另一种称为闪光事件（FE）的网络流量也会导致拒绝服务。FE类似于HR-DDoS攻击，其中数千个合法用户试图访问诸如网站的特定计算资源（Bhandari等人，2016年）。它会导致Web服务响应的不及时交付，类似于HR-DDoS攻击的情况，因此需要立即采取行动。HR-DDoS攻击和FE都具有许多共同的行为特征，例如流量增加率，Web服务器响应延迟等，但它们之间仍然存在一些参数差异。此外，网络流的相似性、较低的吞吐量和每个源IP的业务持续时间是区分HR-DDoS攻击与FE的一些基本原理（Behal等人，2 0 1 7 年a，b）。重要的是要注意，成功的DDoS防御方案不仅由底层检测算法定义，而且还取决于其位置（Gulisano等人，2015年）。实际上，DDoS攻击来源于不同的网络。每个数据包流从系统流出，通过服务器或路由器进入互联网，通过一个或多个称为自治系统（AS）的核心路由器，最后到达目标本身。DDoS防御解决方案可以部署在部分或所有这些位置。基于部署位置，防御解决方案可以被分类为源端、中间网络和受害端（Kumar等人，2007; Bhuyan等人，2016年）。每一个可能的部署地点都有自己的长处和短处。受害者附近的节点可以密切观察完整的攻击流量，对其行为进行建模并有效地检测异常，而机制部署在其他地方的攻击者只能看到部分攻击流量，可能需要根据不完整的攻击信息采取行动然而，在典型的HR-DDoS攻击或FE期间，各种网络和服务器资源（如带宽，CPU周期，内存等）通常会过载。在这种情况下，受害者端防御部署可能无法有效地检测和表征合法和攻击流量。由于缺乏足够的计算资源，它可能开始丢弃合法数据包而不是丢弃攻击数据包，这将导致误报的增加（Sachdeva等人， 2016年）。传统的安全措施如路由器访问控制列表、防火墙、入侵检测和防御系统等不能有效地防范DDoS攻击和FE。这就是为什么到目前为止还没有完美的解决方案来检测DDoS攻击和FE的原因;其中一些原因可能是互联网的分散性质，ISP之间缺乏协作，基础设施变化，附带损害，缺乏最新的真实数据集和用于验证目的的过时方法，以及部署问题等。2007;Sachdeva 等 人 ， 2016; Behal 和 Kumar ， 2016 a; Bhatia ， 2016;Saravanan等人，2016; Bhandari等人， 2016年）。在文献中已经提出了许多孤立的解决方案来防御LR-DDoS攻击、HR-DDoS攻击和FE（Bhuyan等人，2014年）。已经观察到，早期的突出研究已经广泛地使用基于信息论的香农熵、广义熵和基于发散度的度量（诸如Kullbeck-Leibler发散度）的变化来检测DDoS攻击和FE。本文提出了一种基于信息论的广义/-Divergence度量方法，用于分布式检测和缓解不同类型的DDoS攻击和FE。作为工作的一部分，一个分布式的，灵活的，自动化和协作（D-FAC）的防御系统已被提出。所提出的检测度量在被称为PoP的所有入口点处被计算，并且被发送到位于受害者网络的场所中的中央协调器，该中央协调器然后聚合检测度量。据我们所知，我们是第一个使用基于/-Divergence度量的分布式方法来分配受害者端防御部署的存储和计算开销的人。它还导致了所提出的分布式解决方案对DDoS攻击和FE期间生成的大量网络数据包的保护，而大多数现有的研究解决方案都未能提供这些保护。这项工作的主要贡献可以概括为如下所示：本文提出了一种基于/-Divergence的分布式、灵活、自动化和协作（D-FAC）防御系统，用于检测和缓解不同类型的DDoS攻击。所提出的D-FAC防御系统具有较低的计算和内存开销相比，受害者端的部署。我们将检测度量的计算和内存然后使用在中心PoP处的I-Divergence所提出的D-FAC防御系统使用相同的/- Divergence度量来表征DDoS攻击和合法FE流量;并有效地减轻其影响，同时对合法流量造成更少的附带损害。报告结果表明，基于/-Divergence的D-FAC防御系统在检测不同类型的DDoS攻击时更有效，并且优于现有的基于Shannon熵、广义熵和其他发散度量的防御系统。这种有效性已被测量的各种检测系统的评估指标，如检测精度，FPR，F-措施，分类率和精度。●●●●S. Behal等人/沙特国王大学学报293PP¼i.X1-a我！X. ΣQIN一D-FAC防御系统的设计是鲁棒的和容错的，因为它可以继续其操作，即使在一些PoP不这样做的f-发散度的确定函数给出为：xsinhalogx不及时发送其计算的检测度量。● 所提出的分布式检测算法独立于Fxsinha;a>05任何特定的DDoS攻击工具或攻击模式因此，它也可以用于检测未来的DDoS攻击。所提出的D-FAC防御系统已经使用真实网络流量进行了验证，这些网络流量使用DDoSTB测试床中的一组基准攻击工具和流量生成器生成，以及DDoS验证中突出使用的真实数据集的跟踪驱动模拟。本文的其余部分组织如下。第2节介绍了拟议的分布式模型，方法和算法，拟议的防御系统的工作在第3节中描述，实验设置的细节在第4节中给出，结果以及性能评估在第5节中讨论，最后，拟议的工作在第6节中总结，突出未来工作的范围。2. D-FAC系统模型DDoS攻击和FE都会导致网络流量分布的显著偏差。基于信息论的检测指标（如熵或发散）可以快速捕获网络流量中的此类变化。在过多的基于信息论的度量中，我们使用了一种新的/-Divergence度量来检测DDoS攻击和FE，因为它更有效，更容易测量概率分布中的微小变化，不确定性或随机性。本节简要介绍了/-Divergence度量的背景和提出的分布式方法来检测不同类型的DDoS攻击。2.1. 分歧/Divergence有大量基于信息论的发散度量可用于量化一组概率分布之间的差异。对于任意两个离散概率分布P1/2;p2;...... ;p N= 1; Q1;q2;. ..... ;qN，其中F（x）在不同α阶上的行为如图1所示.很明显，F（x）的值随阶次的微小增加而呈指数增长.我们利用这个属性来放大两个网络流量之间的信息距离，从而提高了/-Divergence度量的检测效率。我们在之前的出版物（Behal和Kumar，2017 a）中对这一说法进行了实证研究，即/-Divergence度量在实现特定解决方案时具有更高的收敛速率，并且与其他基于熵的度量相比，它产生了更好的结果。这是因为发散度量是使用时间窗口中的概率分布的各个值来计算的，而熵度量仅将概率分布中的变化总结为单个值。因此，与基于熵的度量相比，发散度量更适合预测概率分布的变化模式，基于熵的度量很容易被复杂的攻击者欺骗（Ozcelik和Brooks，2015）。因此，与其他现有的广泛使用的信息理论度量相比，通过使用I-Divergence度量可以获得好得多的结果。2.2. 使用I-Divergence的在互联网上，所有的终端系统或节点都通过互联网服务提供商（ISP）的分层结构相互连接在ISP网络中，一个ISP连接到其他ISP的点称为入网点（PoP）。在ISP网络中，PoP在逻辑上是一组连接的核心和接入路由器，相同或其他ISP（公共/私有对等或NAT）的核心路由器以及ISP客户和服务器连接到这些路由器ISP拓扑的抽象视图如图2所示。如图所示，存在两种类型的PoP。一种用于连接到其他ISP的其他PoP，第二种用于连接客户域或Web服务器。指定为Ps的PoP聚合来自所有其他PoP的检测度量值，并计算最终检测N1/1pN1/1q i¼1; i ¼ 1; 2;. ;N，广义信息度量值理想情况下，检测度量的计算应该在发散度（GID）定义为：Web服务器连接的PoP，作为最大攻击流量DaPkQ1logn1/1paq1-a！ ;aP0：101在这一点上是可用的（如图所示）。 2）的情况。但庞大的大量DDoS或FE流量，以及这一点上的大量内存和计算开销，使得这种防御部署变得非常不合理，其中N是在一段时间窗口这里，Da表示使用GID度量对熵指数参数a计算的发散值。当a为1时，Kullbeck-Leibler（KL）散度推导如下。难以置信为了解决这个问题，需要将检测度量的监测和计算的成本分配给多个PoP，流量从多个PoP到达ND1PkQ1/1piπ对数我ð2Þ此外，我们建议使用基于Csiszar的f-散度的f-散度度量以前，/-发散被定义为：D0PkQX1/1pisinhðalogpiÞ新罗;a！ 1：03分这里D0a代表的发散值计算使用/- 熵指数参数a上的发散度量。发散上面提出的措施本质上是不对称的I-Divergence的对称形式由下式给出：DJa¼D0aP;QD0aQ;P4Fig. 1. F（x）随a -阶增加的行为。●●Q294S. Behal等人/沙特国王大学学报¼X..拉瓜XX¼1/11/1图二. D-FAC防御系统的体系结构。通信开销。最后，检测度量需要在受害者站点从所有PoP的累积值计算它使得该过程类似于现有的受害者端方法，其中在所有攻击或FE流量汇聚的受害者站点处监视总流量假设PoP1; PoP2;. PoP n是ISP域的n个PoP。任何两个离散概率分布P1;p2;............................................................................................................;pNn和Q ^/4=q1;q2;...... ;qN与PN pi 公司简介QI 1; 1; 2;;N，3. D-FAC的工作本节中使用的各种符号和标记总结在表1中。为了使任何防御解决方案有效工作，需要根据分析中的网络设置一些设计参数，例如时间窗口大小、所使用的分组报头特征、广义熵指数参数a的选择以及最佳阈值。我们选择了时间窗口大小哪里标准偏差值/-一个 ;表示i处的信息发散值在每个PoPi处计算的信息发散值被发送到Ps（将web服务器连接到ISP的PoP），在Ps处计算信息发散的最终计算。每个PoPi根据以下数学模型基于其累积网络流的I-Divergence计算源IP地址发散度最小，它表示网络的稳定性。我们在综合分析基线网络行为后选择了Tw我们使用的数据包的源（目的地）IP地址，源（目的地）端口，协议和传入的数据包速率计算检测指标的报头功能目的地IP，端口字段用于过滤去往特定目标的网络业务流，即，Web服务器下N/-DivergenceipuzzurcIP1/1psrcIPisinh logpsrcIPiqsrcIPi新南威尔士州攻击协议字段用于检测业务流的类型。 其他IP数据包报头的特征，如数据包大小、源和目的地端口号、数据包到达间隔时间等的变化。也可以用于异常检测，但作者I-在每个PoPi处计算的发散值以及每个时间窗口接收到的分组，即S1，然后被发送到Ps，即Web服务器连接的PoP。然后，最终的聚合/-casn/-DivergencefsrcIP/ -DivergenceisrcIP71/1并且Sf计算为：nSf¼Si81/1其中n是时间窗口中报告PoP的数量这只使用那些由现有的突出检测DDoS攻击和FE的研究（Kumar等人，2007;Bhuyan等人，2016;Sachdeva等人，2016; Xiang等人， 2011年）。此外，广义熵指数参数a也可能影响任何基于广义熵或发散度的检测系统的检测率，因为网络流量的高度动态特性。我们计算由Xiang等人（2011）定义的约化FPR，以确定f-散度度量的广义参数α/-发散相等到KL发散的时候了！0（等式（2）），我们选择a= 0.01处的信息距离值作为根据以下等式比较FPR的基础数学模型给出了相同的信息发散值，就好像在连接Web服务器的单个PoP处监视和分析整个网络业务一样基于所提出的分布式检测算法的PoPPs然后决定是否b0bKL-bPhib吉隆坡其中Phi =/-发散。ð9Þ系统受到DDoS攻击或FE攻击。在下一节中，我们扩展了这一思想，提出了一种分布式检测算法。我们在Behal和Kumar（2017 a）中进行了实证研究，与KL度量相比，发散度量在增加a阶时具有较低的b0值，这意味着更好的检测效率设DP Q波普。的S. Behal等人/沙特国王大学学报295¼ðÞ/-Divergence度量。在这项工作中，我们选择了广义熵指数参数a=0.5，根据Behal和Kumar（2017 a）表3中报告的结果，与KL相比，FPR降低了200%以上。3.1. 拟议的检测方法提出的分布式检测算法在算法1中给出。D-FAC工作的假设是，僵尸网络内的所有攻击节点（也称为僵尸）以协调的方式与一些预定义的共享类似程序逻辑一起工作，以将网络流量冲向受害者（Yu等人，2009年）。它导致攻击流量之间的流相似性，而合法的网络流量是高度可变和动态的在自然界中。它会导致攻击流量的数据包报头特征与合法流量的数据包报头特征发生显著偏差然后，所提出的检测方法使用基于源IP的当前和正常业务流的I-Divergence值之间的差（称为信息距离（ID））作为检测度量。以前，ID被定义为ID/sC-/sN/s10mm其中，分别是PoPPs处的当前和正常网络业务流的基于源IP地址的发散值。算法1：分布式检测算法1. 设置f←采样频率。T←采样周期。Tw←时间窗口大小=1 s。r1;r2←PoPPs时的阈值。2. 当TwT时，分析来自上游路由器的网络流量。<3. 提取数据包报头功能：F← fsrcIP;dstIP;pktsize;no：当前Tw中的ofpkts_S_i_g，并在每个PoP_i处分类为唯一的网络流。4. 计算当前Tw中每个PoPi处基于srcIP的网络流的概率分布。5. 使用等式2计算网络流之间的基于srcIP的 I-Divergence度量（6）在每个PoPi.6. 将在每个PoPi处计算的i-发散度i和Si发送到PoPPs对于f-发散度量和Sf使用等式（7）、8。7. 使用等式2计算当前网络流和正常网络流之间的信息距离ID。（十）、8. 如果Sf>r1，则9.流量可能是HR-DDoS或FE。10.如果ID>r2，则11.将流量解析为HR-DDoS。12.其他13.将流量分解为FE。14.end if15. 其他16.流量可能是LR-DDoS或合法的。17.如果ID>r2，则18.将流量解析为LR-DDoS。19.其他20.将流量视为合法。21.end if22. end if23. 递增Tw并转到步骤2。表1使用的标记和符号符号定义T采样周期时间窗口D尺寸Twj初始化为1，并在每个Twflowidi第i个网络流的唯一流idnC当前流量中每TwnN基线流量中每Twr1阈值基于从基线流量计算的nNr2阈值基于从基线流量计算的IDNIDC当前和正常交通流量IDN正常交通流该论文中的MIT Lincoln（合法流量），CAIDA（LR-DDoS和HR-DDoS流量）和FIFA（FE流量）我们选择这些数据集，因为它们已被DDoS防御领域的杰出研究广泛使用。结果表明，在熵指数参数α= 0.5时，攻击流量与合法流量、合法流量与FE流量的ID值比Renyi的广义信息发散度和KL度量好得多。因此，我们在本文中扩展了ID的概念，提出了一种分布式方法。为此，我们定义不同类型的网络业务流如下：定义1. 网络业务流：对于网络中的给定PoPi，网络业务流被定义为5元 组 {srcIP ， dstIP ， sport ， dport ， protocol} ， 其 中 srcIP（dstIP）是源（目的地）IP地址，sport（dport）是源（目的地）端口号，protocol是网络流的类型。定 义 2. 合 法 流 量 ： 网 络 流 量 称 为 合 法 流 量森 林 论 坛nC<$nNxωdn^IDC<$IDNkωzIDN.定义3. LR-DDoS攻击流量：网络流量称为作为LR-DDoS交通流森林论坛n C<<$NNxωd n^IDC>IDNkωzIDN即流量速率小于或等于合法流量，但具有比合法流量更多的信息距离交通定义4. HR-DDoS攻击流量：网络流量是称为作为HR-DDoS交通流森林论坛nC>nNxωdn^IDC>IDNkωzIDN，即流量速率大于合法流量，但具有比合法流量更大的信息距离模拟交通。定 义 5. FE 业 务 流 ： 网 络 业 务 流 被 称 为 FE 业 务 流 当 且 仅 当nC>nNxωdn^IDCIDNkωzIDN，即业务速率大于合法业务但具有比合法业务小的信息距离。<这里是整数的集合.公差因子x和k是设计参数。dn是业务速率的标准偏差，zIDN是使用正常状态计算的合法业务流的网络。即没有攻击和爆炸因子nN<$xωdn表示阈值r1，在我们的例子中是320。而因子ID N<$kωz IDN 表示阈值r2，其为0.625 in我们的案子这两个阈值都是通过分析实际上，使用基于/-Divergence的 ID度量的动机来自于我们以前出版物的经验结果（Behal和Kumar，2017 a）。我们已经计算了/-发散在没有攻击的情况下网络的基线行为首先，我们通过比较每个时间点的当前入站流量来区分低速率和高速率流量296S. Behal等人/沙特国王大学学报ðÞðÞ图三. DDoSTB测试平台的设计。窗口窗口，即通过计算当前进入包的数量nC并与阈值r1比较。每当当前监视的业务流IDC的信息距离（ID）值与r2存在显著偏差时，就认为检测到攻击。如果ID值大于阈值，我们将其声明为攻击流量;否则为合法流量。高速率业务也可以被声明为合法业务。这种高比率可以可能是由于网络流量的突然爆发，或者由于世界各地发生的一些有新闻价值的事件，由于这些事件，大量用户开始同时访问特定网站或网络资源。这种情况被称为闪光事件（FE）（Sachdeva等人， 2016年）。所有PoP都将其流量路由到Web服务器W所连接的PoPP。在每个时间窗口Tw中，我们连续地发送所计算的I-Divergence值和每个时间窗口接收到的分组的数量，即在每个PoPi处的S1到PoPPs。PoPPs然后决定系统是否处于LR-DDoS（HR-DDoS）DDoS攻击或FE下。在任何一种情况下，它都会激活表征和缓解模块，如图所示。 四、如果系统受到DDoS攻击，D-FAC防御系统会将相应的恶意PoP从要监控的PoP列表中排除，并继续其工作，而不会造成进一步的附带损害。PoP持续地将最近计算的信息距离（ID）值与基线距离进行比较，并且从所监视的PoP的列表中排除恶意PoP。如果系统处于FE下，则D-FAC向每个PoP发送信号以激活基于文本的验证码模块，以便限制去往web服务器W的业务速率。验证码模块限制新连接请求的数量，同时确保见图4。 表征和缓解模块流程图。将Web服务器资源公平分配给现有连接。这样，我们提出的D-FAC系统在FE的情况下继续工作S. Behal等人/沙特国王大学学报2974. 实验装置我们实现了建议的D-FAC防御系统在DDoSTB测试平台。DDoSTB试验台是一个多用途的仿真为基础的真实试验台，已被设计为研究工作的一部分，如图3所示。它是实际系统和仿真系统的混合，用于设计和开发大规模拓扑结构。该测试平台已被用于综合生成不同类型DDoS攻击和FE的数据集，用于测量DDoS攻击对Web服务的影响以及用户行为建模。我们已经使用这个测试平台，通过基准DDoS攻击工具和流量生成器来生成真实的网络流量，以验证所提出的D-FAC防御系统。该测试床由75个物理节点组成，每个节点分为三个集群，每个集群25台计算机，运行Linux和Windows操作系统实例，4个D-Link物理路由器充当PoP和一个2处理器8核Linux服务器，充当连接到PoPPs的受害者Web服务器Ws。CORE仿真器（CORE Emulator，2016）已用于增加测试床中的虚拟节点数量如图3所示，一个CORE节点由16个虚拟客户端和4个软路由器组成。为了生成合成网络流量，合法客户端和攻击者随机分布在每个节点中我们已经用这种测试床用于重放流量跟踪，用于用户行为建模以检测应用层攻击，用于测量DDoS攻击对Web服务的影响（Behal和Kumar，2016 b），以及用于生成接近真实数据集以进行验证。由于现在大多数DDoS攻击都是使用僵尸网络发起的（Wang等人，2012年），我们安装了多个BONESi（Alcorn和Chow，2014年）僵尸网络模拟器工具的实例，以生成DDoS攻击流量。为了生成真实的背景和正常的网络流量，我们使用了httperf和D-ITG流量生成器。使用DDoSTB测试床生成的不同类型的业务的业务简档在图5（a）-（f）中示出。此外，我们还使用了基于网络的Monosek软件工具的取证功能来实时计算各种检测和性能指标。为此，我们在每个PoPi上安装了Monosek客户端模块，并在PoPPs上安装了 Monosek服务器模块（Monosek网络分析工具，2016）。5. 结果和讨论为了验证D-FAC防御系统，我们在PoP1、PoP2、PoP4和PoPPs处分布了流量分析监视器。的ID值图五、DDoSTB测试平台中各种流量场景的配置文件298S. Behal等人/沙特国王大学学报图六、不同PoP下信息距离（ID）值的时间变化使用Eq. 并且在每个时间窗口Tw中将在每个PoPi处接收到的分组的数量（即，Si）发送到PoPPS。然后，PoPPS使用等式2计算信息距离的聚合值（10），并按照前面部分中描述的定义1-5将正在进行的业务流分类到类别之一中已经观察到，当不存在攻击时，ID值保持在从0到0.85的范围内。然后，从连接到PoP3的源网络发起LR-DDoS攻击，从连接到PoP4的源网络发起HR-DDoS攻击，并且通过连接到PoP1和PoP2的源网络生成FE业务，即高速率合法HTTP业务。所有这些PoP处的ID值分别在图6（a）、（b）和（c）中示出。已经观察到，合法与LR-DDoS攻击流量的ID值保持在从0.6到2.4的范围内，合法与HR-DDoS攻击流量的ID值保持在从11到43的范围内，并且合法与FE流量的ID值保持在从0.01到2.6的范围内现在，由于整个该流量也到达了附接到PoP P S的受害者服务器，因此PoPPS处的对应ID值如图所示。 6（d）.5.1. 绩效评价为了全面评估D-FAC防御系统的效率，我们使用了许多性能评估指 标 ， 如 Sachdeva 等 人 （ 2016 ） ， Ghorbani 等 人 （ 2010 ） ，Bhandari等人。（2014年）。5.2. 阈值校准我们对CAIDA数据集的MIT Lincoln、FIFA、DDoSTB和OC-Link此外，我们使用FPR和FNR曲线之间的权衡来选择适当的阈值限制范围。实际上，FPR测量检测系统的有效性，而FNR（1-检测率）给出了测量系统的可靠性。有两种方法可以选择最佳阈值。我们可以选择FPR和FNR曲线彼此相交的阈值，如图7（a）所示，或者可替代地，精确度-召回（PR）曲线也可以用于相同的目的。我们可以选择精确度和召回率曲线相交的阈值，如图所示。 7（b）.在正常流量情况下（即没有攻击），防御系统总是争取最小FPR，但如果网络更容易受到攻击，那么，高检测率可以是优先级。低容差因子或阈值总是导致高检测率、最小FNR和高FPR。另一方面，如果容差因子或阈值被设置为高，则其可能导致低的FPR，但检出率低。在这种情况下，几乎没有正常状态将被发信号通知为攻击状态，但是检测系统可能错过一些攻击，导致低检测率。如果容限因子或阈值设置在下限和上限之间，则这种检测系统具有平衡的FPR和FNR。利用容差因子随时间的变化来量化FPR和FNR，从而辅助确定阈值的最佳值。图7（c）描绘了D-FAC对不同容差因子的性能。D-FAC的受试者工作特性（ROC）如图7（d）所示。其他防御系统评估指标的值如表2所示。已经观察到，D-FAC防御系统的检测率随着容限因子的增加而降低，因为D-FAC对不同业务流进行分类的能力也降低，如从表2中的分类率的值清楚地看出的。对于容差因子= 3和阈值=0.625，D-FAC的检出率5.3. 测量DDoS攻击对Web服务器的影响此外，我们还测量了DDoS攻击对正常S. Behal等人/沙特国王大学学报299图7.第一次会议。D-FAC防御的性能评估表2D-FAC防御在各种检测系统评估指标上的性能耐量因子阈值精度检出率假阳性率F-measure分类率假阴性率0.10.2010.921.000.360.960.930.000.50.2590.941.000.260.970.950.000.70.2880.951.000.210.970.960.0010.3320.961.000.170.980.970.0020.4790.981.000.070.990.990.0030.6250.990.980.030.970.960.0440.7720.990.960.030.970.960.0450.9191.000.960.000.980.970.04数据包存活率（NPSR），Web服务器的平均响应时间和失败事务的%年龄指标（Behal和Kumar，2016 b;Sachdeva等人，2010年; Singh等人，2017年b）。在现有的研究中，缺乏对所提出的防御解决方案的NPSR值表示有效吞吐量与有效吞吐量和坏吞吐量之和的比率;并且可以用于测量攻击的影响，作为在攻击期间向目标NPSR的高值表明防御解决方案对持续攻击的生存能力D-FAC在190秒时开始工作，大约需要2个时间窗口，即2秒进行第一次通信所提出的分布式检测算法对每个PoPi 的结果。该延迟是由于在每个PoP处的检测度量值的计算以及到PoPPS的通信以用于做出最终决定并将决定发送回每个PoP。这它被描绘成图。 8，D-FAC防御系统能够在不同类型的DDoS攻击和FE下将被监控网络的NPSR值稳定在91%左右。Internet上每个应用程序的性能都是根据完成所需的平均响应时间来评估的。对于正常的网络流量场景，Web300S. Behal等人/沙特国王大学学报我ð Þð Þð Þ¼þ þ þþð ð Þ ð ÞÞ图8.第八条。安装了D-FAC防御的DDoS攻击下Web服务器的NPSR见图9。安装了D-FAC防御的Web服务器在DDoS攻击下的响应时间。服务器保持在0.036-0.039 s的范围内。然而，在HR-DDoS攻击的情况下，平均响应时间飙升至约30倍，如图9所示。在我们的例子中，它增加到0.1 s，这导致来自Web服务器的响应延迟增加。此外，失败交易的%年龄也可以指示正在进行的DDoS攻击的发生。在正常情况下-见图10。安装了D-FAC防御的DDoS攻击下失败交易的百分比。在没有攻击的情况下，所有事务都在时间限制内完成，因此，在这种情况下，失败事务的%年龄为零。但在HR-DDoS攻击的情况下，该值继续增加高达80%，如图10所示，导致NPSR值下降。从Web服务器的角度来看，它会导致拒绝服务。已经观察到，在LR-DDoS攻击的情况下，对该参数没有影响。5.4. 复杂性分析由于提出的D-FAC防御系统将理论和计算开销分配给所有PoP，因 此 分 析 其 计 算 复 杂 度 是 重 要 的 根 据 Brent 和 Zimmermann（2010），sinh，exp和log函数的计算复杂度相当于O（M（N）log（N）），其中M（n）是乘法因子的成本。从Eqs可以看出。Pα因子中的α参数的较高值将导致计算复杂性的增加。因此，广义熵指数参数a的选取宜取一个最佳值.因此，计算复杂性的受害者端为基础的防御系统设计使用方程。其中在单个点处监视整个网络业务等于0M N log N，其中N是在该中心点处监视的业务流的总数，并且M（N）是倍增因子的成本另一方面，在具有n个PoP的分布式方法的情况下，计算开销分布在n个入口PoP和PoPP之间。假设每个PoPi的时间复杂度为OMNilogNi，其中Ni是在POPi处监视的业务流的数量。计算Eq. （7）在PoPPs是O n，其中n是PoP的数目。因此，分布式方法的总计算复杂度（T）是T <$OnMN1logN1logMN2 log N2logN......... þðMðN nÞlogðN nÞÞwhich is equivalent to OðnÞþOðNÞwhereN N1N2N3... *Nn.由于在ISP中监视的业务流的数量与PoP的数量（即N n）相比非常大，因此T可以进一步降低到O N，这与受害者端防御的计算复杂度系统如前所述。另一个可能影响最终计算复杂度的因素是通信成本Cc。它包括PoP之间的通信成本，每个PoP的平均延迟和其他类型的网络延迟。从技术上讲，其中K是分组要穿过的链路的数量，并且等于（PoP的数量+1），d_trans是传输延迟，d_p_rop是传播延迟，d_p_roc是处理延迟，并且d_q_ue是PoP处的排队延迟。在具有5个PoP的DDoSTB测试平台中，Cc的值约为0.2 ms。由于该值与总计算复杂度相比很小，因此可以忽略。因此，可以得出结论，所提出的D-FAC防御系统的计算复杂度是线性的，是相同的受害者端防御系统。5.5. 与相关作品的在本文中，我们提出了一种称为D-FAC的分布式防御建议的D-FAC防御系统检测不同类型的DDoS攻击和FE一般具有较低的误报率，并具有较低的计算开销。然而，拟议的工作与其他类似的工作在某些方面有所不同，如下所述Wang等人（2018）提出了一种基于草图的新型异常检测和缓解系统SkyShield，用于检测应用层DDoS攻击。他们通过计算●S. Behal等人/沙特国王大学学报301昂贵的草图数据结构以及布隆过滤器，用于有效存储和处理大量网络流