针对DDoS攻击的实时可视化检测方法

技术领域

本发明属于网络安全可视化领域。提供一种实时可视化检测方法。

背景技术

DDoS是一种基于DoS的特殊形式的拒绝服务攻击。是一种分布、协作的大规模攻击 方式。主要目标是比较大的站点，如企业网站、搜索引擎和政府部门的站点。基本的DoS 攻击只要一台能连接Internet的单机就可实现，DDoS攻击则是利用一批受控制的机器向 一台机器发起攻击，具有较大的破坏性。

信息可视化技术是在现代信息处理平台的基础上，根据用户对信息的需要，利用适 当的可视化符号表示各种信息和信息内外部的关系，使人们更方便、迅速地与信息源进 行交互，发现隐藏在信息中的各类知识。信息的种类不同、信息应用领域的复杂性以及 用户的不同需求的多样性，导致人们研究开发了大量形式各异的可视化技术。

网络安全可视化要处理的往往是高维、无结构化的多变量数据，同时这些数据具有 规模大、非数值型等特点；在数据的关联关系上面临着关系隐式化、时间依赖性强、类 型多等困难；在绘制方面也没有统一的显示模型。在网络安全信息可视化技术中已经取 得了初步成果，首先，在显示方式和绘制方法方面，提出了利用散点图(Scatterplot)、 颜色映射(Color Map)、图元(Glyphs)、平行轴坐标(Parallel Coordinate)、自 组织映射(Self-Organizing Maps)等方式进行网络和系统监控、异常检测、入侵发现、 模式的分析及报警。但是在以往的研究开发的工具模型中，网络安全可视化的模型中， 图像的生成没有使用GPU加速，因此生成速度比较慢，而且占用大量的CPU时间，使得 系统模型反映缓慢，对于实时的网络安全系统产生很大的影响。

发明内容

有鉴于此，本发明的目的是克服现有技术的上述不足，提供一种实时可视化检测方 法，该种检测方法，利用GPU加速可视化处理，能够减轻CPU的负担，能高效的分析并 显示网络数据，从而使用户能够发现DDoS攻击前期所存在的主机扫描，端口扫描和正在 进行的DDoS攻击。本发明采用如下的技术方案：

一种基于网络数据可视化的DDos攻击的检测方法，包括下列步骤：

第一步：从原始数据中提取源IP地址，目的IP地址，目的端口号，数据报接收时 间作为可视化模型的四个维度；

第二步：创建显示模型，把源IP地址映射到x轴，目的IP地址映射到z轴，目的 端口号映射到y轴，并对三个数据进行标准化，转换到同一个值域中，对于每一个网络 数据，在三维场景中创建一个包围盒，利用场景图来组织场景中的所有元素；

第三步：设置八叉树包围盒的空间大小，建立和生成该场景的八叉树结构；

第四步：利用八叉树结构，通过平截头体与包围盒的相交检验，进行场景显示粒子 节点的添加，剔除，并利用GPU对处于平截头体内的节点进行渲染显示；

第五步：通过交互操作检测是否受到DDoS攻击。

作为优选实施方式，本发明的针对DDoS攻击的实时可视化检测方法，其中的第二步 中，对三个数据进行如下的标准化处理：

源IP地址在x轴上对应的位置的计算公式：sIP.val/sIP.maxval*lengthX，其中， sIP.val为将要显示的源IP地址转换成的十进制数值；sIP.maxval为32位IP转换成 十进制后的数值，即，将255.255.255.255转换成十进制后的数值：2^32-1；lengthX 为场景的X轴长度；

目的端口号在y轴上对应的位置的计算公式：dPort.val/dPort.maxval*lengthY， 其中，dPort.val为当前端口号，dPort.maxval为最大端口号，即65535，lengthY： 场景的Y轴长度；

目的IP地址在x轴上对应的位置的计算公式：dIp.val/dIp.maxval*lengthZ，其中， dIP.val为将要显示的目的IP地址转换成的十进制数值，dIP.maxval为32位IP转换 成十进制后的数值，即将255.255.255.255转换成十进制后的数值：2^32-1，lengthZ 为场景的X轴长度。

按下列步骤对场景进行查询：

(4)从八叉树根开始，获取该树的包围盒，并将其与查询用包围盒进行相交计算；

(5)如果查询包围盒完全包含该树的包围盒，则递归到所有子树，把子树所包含 的场景节点添加到查询结果列表；

(6)如果包围盒部分相交该树的包围盒，则对该树的每一个子树进行递归判断。

按下列步骤添加八叉树的节点：

(1)获取要添加入场景的节点的包围盒；

(2)从八叉树根开始，获取该树的包围盒；

(3)判断该八叉树的包围盒大小是否为要添加的节点的包围盒大小的两倍；

(4)如果八叉树包围盒大小为要添加的节点包围盒大小的两倍以上，则根据要添加 的节点的位置计算该八叉树的八个子树中哪个和该节点的中心相包含，递归调用该算法 将节点插入这棵子树；否则说明该八叉树为适合该节点大小的八叉树，从而挂接该节点 于此八叉树上；

所述的第四步，按下列步骤执行：

(1)获取摄像机的平截头体；

(2)获取八叉树子树的包围盒；

(3)对平截头体和包围盒进行相交检验；

(4)如果相交，获取该八叉树子树下所挂接的八叉树场景节点，分别对每个节点的 包围盒与平截头体进行相交检验，如果相交，加入渲染队列；

(5)对于该八叉子树的八个子结点分别递归调用此算法；

(6)利用GPU对处于平截头体内的节点进行渲染。

与现有技术相比，本发明具有以下有益效果：

1、更高的实时性。本发明的检测方法所依据的显示模型采用的GPU硬件加速，更好 的均衡了负载，利用了CPU和GPU之间的并行性及GPU对浮点数据，矢量计算的高效性， 获得了更好的实时显示效果。

2、检测DDoS攻击有效性。DDoS攻击的前期特征——端口扫描，主机扫描和DDoS 攻击特征都能够在根据本发明的显示模型和检测方法建立的计算机软件系统中表现出明 显的几何特征。并且在数据量极大的情况下，该系统所具有的高效的3D加速引擎也能非 常流畅的显示。这充分证明了本发明的计算机软件系统在DDoS攻击检测方面的有效性和 实用性，为进一步防御DDoS攻击提供了有利的线索。

3、系统交互性好。网络管理员可以用鼠标转动视角，缩放视角便于对数据全面的细 致的观察。并且本计算机软件系统把时间作为第四维加入可视化模型，允许网络管理员 通过拖动滑动条的方法控制当前可视化模型内显示的数据对数据进行筛选，便于对网络 攻击潜在的规律性攻击，周期性攻击进行发现预防。本计算机软件系统还可以在三维空 间进行面查询，网络管理员可以以拖动滑动条的方式浏览整个目的IP段，源IP段或者 目的端口段。

附图说明

图1是利用系统模型检测DDoS攻击的流程；

图2是八叉树场景管理效果图；

图3是本发明的计算机软件系统进行扫描查询的界面；

图4是本发明的计算机软件系统进行数据读取筛选过滤的界面；

图5是端口扫描在本发明的计算机软件系统中的显示效果图；

图6是主机扫描和端口扫描在本发明的计算机软件系统中的显示效果图；

图7是两种不同的DDoS攻击在本发明的计算机软件系统中的显示效果图。

具体实施方式

本发明提出一种基于GPU加速的网络安全可视化显示模型和DDos攻击检测方法。发 明人根据此种显示和检测方法，建立了一套计算机软件系统，利用该系统，能高效的分 析网络数据，发现DDoS攻击前期所存在的主机扫描，端口扫描和正在进行的DDoS攻击。 本发明的计算机软件系统的显示模型采用基于DirectX底层3D加速接口的XNA软件包。 下面以计算机软件系统为例，对本发明做详细介绍。

第一步，网络数据获得和显示

(1)网络数据的获得

从原始数据中提取源IP地址，目的IP地址，目的端口号，数据报接收时间作为可 视化模型的四个维度。把IP地址转换为十进制无符号整形数uint，把时间转换为系统滴 答数并对数据进行排序。创建显示模型可以使用的抽象数据类型Particle，把源IP映射 到x轴，目的IP映射到z轴，目的端口映射到y轴，并对三个数据进行标准化，转换到 同一个值域中。对于每一个数据，在三维空间创建一个包围盒，便于在八叉树图形场景 管理器中创建节点。

标准化的方法如下：

源IP地址在x轴上对应的位置的计算公式：sIP.val/sIP.maxval*lengthX，其中， sIP.val为将要显示的源IP地址转换成的十进制数值；sIP.maxval为32位IP转换成 十进制后的数值，即，将255.255.255.255转换成十进制后的数值：2^32-1；lengthX 为场景的X轴长度；

目的端口号在y轴上对应的位置的计算公式：dPort.val/dPort.maxval*lengthY， 其中，dPort.val为当前端口号，dPort.maxval为最大端口号，即65535，lengthY： 场景的Y轴长度；

目的IP地址在x轴上对应的位置的计算公式：dIp.val/dIp.maxval*lengthZ，其中， dIP.val为将要显示的目的IP地址转换成的十进制数值，dIP.maxval为32位IP转换 成十进制后的数值，即将255.255.255.255转换成十进制后的数值：2^32-1，lengthZ 为场景的X轴长度。

(2)网络数据的显示模型

本发明的计算机软件系统在显示上采用了硬件加速，利用高性能图形显示卡来处理 各种网络数据的显示。传统的可视化模型，所有数据的读取，处理，显示都放到了CPU 上进行执行，增加的CPU的负担，使可视化的实时性大打折扣，在显示模型上采用的硬 件加速，更好的均衡了负载，利用了CPU和GPU之间的并行性及GPU对浮点数据，矢量 计算的高效性，获得了更好的显示效果。该显示模型的建立包括下列步骤：

1)定义数据结构

2)生成场景框架——立方体

3)标记界面坐标轴的意义和对应的上界值

4)定义粒子节点的颜色——黑色，和场景背景的颜色——蓝色

5)对系统的场景的操作——放缩，旋转，节点交互

6)生成在各种情景下的对话框，及其对话框中功能按钮

GPU上的运算包括以下几个方面：

1.场景中节点的渲染。场景中节点的添加，剔除操作。由CPU准备待显示数据的初 始值，然后送到GPU中进行标准化计算，并有GPU对节点进行渲染显示。

2.场景图形的渲染。场景的放缩，旋转变换操作。观察视点固定且能够平滑在距离视 点给定半径的球面上移动，便于在不通角度观测物体。摄像机可以改变和视点的距离即 球面的半径，便于近距离观测局部数据。距离的拉伸采用了物理特性，使摄像机进行平 滑的位移。

(3)八叉树的场景管理原理

本发明计算机软件系统，所采用的显示模型使用了八叉树场景管理器对每一个粒子 进行管理，便于用户交互时能高速的显示数据且高速的提取用户需要的数据。

(a)场景添加算法描述

1).获取要添加入场景管理器的节点的包围盒(Axis Align Bounding Box)

2).从八叉树根开始，获取该树的包围盒(Axis Align Bounding Box)

3).判断该八叉树的包围盒大小是否为要添加的节点的包围盒大小的两倍

4).如果八叉树包围盒大小为要添加的节点包围盒大小的两倍以上，则根据要添加 的节点的位置计算该八叉树的八个子树中哪个和该节点的中心相包含，递归调用该算法 将节点插入这棵子树

5).否则说明该八叉树为适合该节点大小的八叉树，从而挂接该节点于此八叉树上。

(b)场景查询算法描述

1).从八叉树根开始，获取该树的包围盒(Axis Align Bounding Box)，和查询用 包围盒进行相交计算

2).如果查询包围盒完全包含该树的包围盒，则递归到所有子树，把子树所包含的 场景节点添加到查询结果列表

3).如果包围盒部分相交该树的包围盒，则对该树的每一个子树进行递归判断。

(c)场景的剔除算法描述

1).获取摄像机的平截头体(Frustum)  -即可视范围包围体。

2).获取八叉树子树的包围盒(Axis Align Bounding Box)

3).对平截头体和包围盒进行相交检验

4).如果相交，获取该八叉树子树下所挂接的八叉树场景节点，分别对每个节点的 包围盒与平截头体进行相交检验，如果相交，加入渲染队列

5).对于该八叉子树的八个子结点分别递归调用此算法。

第二步，通过交互操作检测DDoS攻击

(a)窗口中每一个黑色的点为一个网络数据，根据其源IP地址(x轴)，目的IP 地址(z轴)，目的端口(y轴)来定位每个数据在三维空间的位置。主窗口中由三个面 和三条坐标轴组成，每个坐标轴由ProjectGaia提供的UI库的Label标注，并且允许用 户拖动滑动条对三维空间进行面查询，查询面在可视化主窗口中显示，查询结果实时的 显示在数据扫描窗口中。通过这个扫描查询功能，网络管理员可以结合可视化模型和查 询数据更好的发现网络攻击事件；

(b)数据过滤工具，网络管理员可以拖动滑动条对显示在可视化模型中的数据进行 筛选过滤。垂直的滑动条的选定值代表数据的起始时间，平行的滑动条的选定值表示从 起始时间开始的时间区间。网络管理员可以通过这个数据过滤功能发现周期性的网络攻 击或者某时段的某网络事件；

(c)本系统模型还有旋转和缩放功能，通过旋转三维包围空间，便于网络管理员对 显示数据模型的观察，更好的判断攻击模式。

系统模型对DDoS的检测效果

如图5所示，本发明的计算机软件系统能很容易探测到DDoS攻击的前期特征之一端 口扫描。端口扫描通常是一台主机对目的主机的各个端口进行全连接或者半连接扫描。 从图中我们可以看出，通过本发明的计算机软件系统提供的查询扫描功能，我们把扫描 框移动到图中很明显的那条线段上，发现了来自主机222.30.24.26的从端口0到最高 65535对IP为202.113.12.9主机的扫描。

如图6所示，本发明的计算机软件系统发现了源自于IP为222.30.24.26的主机对 整个IP网段主机针对25端口，即FTP服务器端口的主机扫描。我们使用本发明的计算 机软件系统的查询扫描功能，通过定位源IP地址即发现了这种攻击行为。

如图7所示，本发明的计算机软件系统能够帮助网络管理员发现DDoS攻击的模式。 在第一种DDoS攻击中，目的IP为123.191.88.193的主机受到在来自于各个伪造的源IP 地址的针对常用端口空间约0到2000的DDoS攻击。而另外一条平行于目的IP轴的线段 则是完全针对目的IP为202.113.12.9，目的端口为25的FTP服务的DDoS攻击。