DDoS 流量檢測(cè)技術(shù)研究.doc

精品論文大集合ddos 流量檢測(cè)技術(shù)研究劉曉娟 北京郵電大學(xué)信息通信學(xué)院，北京 (100876) e-mail: 摘要：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)在人們的生活中發(fā)揮著越來越重要的作用。與此同時(shí)，網(wǎng)絡(luò)安全也面臨著前所未有的挑戰(zhàn)。ddos(分布式拒絕服務(wù))是近年來網(wǎng)絡(luò)上流行的，導(dǎo)致巨 大經(jīng)濟(jì)損失的攻擊之一。建立有效的檢測(cè)體制成為防御 ddos 的重要目標(biāo)。本文詳細(xì)分析了 幾種 ddos 流量檢測(cè)方法的優(yōu)缺點(diǎn)。檢測(cè)方法主要有基于協(xié)議特征分析的 ddos 檢測(cè)方法和 基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的 ddos 檢測(cè)方法。關(guān)鍵詞：dos；ddos；檢測(cè) 中圖分類號(hào)：tp393.081.ddos 基本概念和基本原理要想理解 ddos 的概念，就必須先介紹一下 dos（拒絕服務(wù)），dos 的英文全稱是 denial of service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看， dos 算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的 正常運(yùn)行，最終它會(huì)使你的部分 internet 連接和網(wǎng)絡(luò)系統(tǒng)失效。dos 的攻擊方式有很多種， 最基本的 dos 攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法 得到服務(wù)，dos 攻擊的原理如圖 1 所示。圖 1 dos 攻擊原理ddos，它的英文全稱為 distributed denial of service，它是一種基于 dos 的特殊形式的 拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司， 搜索引擎和政府部門的站點(diǎn)1。從圖 1 我們可以看出 dos 攻擊只要一臺(tái)單機(jī)和一個(gè) modem 就可實(shí)現(xiàn)，與之不同的是 ddos 攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來 勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。ddos 的攻擊原理如圖 2 所示。圖 2 ddos 的攻擊原理- 5 -2.ddos 攻擊的歷史及其危害dos 攻擊的歷史最早可以追溯至 tcp/ip 協(xié)議族的誕生之始。由于 tcp/ip 設(shè)計(jì)的初衷是 盡最大努力(best effort)傳送數(shù)據(jù)，而并未過多地考慮安全性的問題，這就給以該協(xié)議為基 礎(chǔ)的 internet 留下了安全隱患，但一直以來，以此手段為主的攻擊由于規(guī)模和危害較小而為 人忽視。直到 2000 年 2 月，yahoo，ebay，cnn 等多家大型網(wǎng)站相繼遭受攻擊癱瘓才使人 們逐漸認(rèn)識(shí)了它，而此次攻擊所采用的并不是簡(jiǎn)單的 dos 攻擊，而是它的分布式版本 ddos。進(jìn)入 21 世紀(jì)以來的短短幾年內(nèi)，ddos 對(duì) internet 呈現(xiàn)出越來越嚴(yán)重的危害性，被公認(rèn) 為是對(duì) internet 最大的威脅之一，同時(shí)也成為國內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域研究的一個(gè)熱點(diǎn)2。ddos 在進(jìn)行一次攻擊之前往往要經(jīng)過一段較長時(shí)間的預(yù)備期以掃描和捕獲足夠多的傀儡機(jī)，如何 迅速、大量地獲得這些傀儡機(jī)成為 ddos 攻擊成敗與否的關(guān)鍵因素，ddos 也由此發(fā)展為多 個(gè)不同類型的版本。其中危害最大的就是利用網(wǎng)絡(luò)蠕蟲傳播機(jī)制的分布式拒絕服務(wù)攻擊。3.ddos 檢測(cè)技術(shù)ddos 檢測(cè)方法可以分為 2 類：基于協(xié)議特征分析的 ddos 檢測(cè)和基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的 ddos 檢測(cè)。目前，ddos 檢測(cè)方法還存在以下幾個(gè)問題：基于協(xié)議特征分析的 ddos 檢測(cè) 方法一般能夠檢測(cè)到具有明顯異常流量協(xié)議特征的 ddos 攻擊類型，對(duì)于許多沒有明顯協(xié)議 區(qū)別特征的 ddos 攻擊類型則無效；基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的 ddos 檢測(cè)方法不能區(qū)分正常的大 流量和 ddos 攻擊流量，將會(huì)導(dǎo)致合法用戶流量被誤判為攻擊流量，誤判發(fā)生后無法恢復(fù)正 常的大流量通信。3.1 基于協(xié)議特征分析的 ddos 攻擊檢測(cè)(1)基于 syn cookie 的 ddos 檢測(cè)技術(shù)服務(wù)器收到 tcp syn 報(bào)文，不按通常做法那樣為該連接分配一個(gè)緩沖區(qū)，而是只計(jì)算 生成 cookie（cookie 是保存客戶機(jī)的相關(guān)信息，如：ip 地址、連接的域名（edu、com、net 等）或者使用的瀏覽器的類型），然后作為 syn ack 報(bào)文的 tcp 初始序列號(hào)，隨該報(bào)文 返回。當(dāng)服務(wù)器收到一個(gè)來自客戶端的 tcp ack 報(bào)文時(shí)，該報(bào)文的 tcp 確認(rèn)號(hào)將帶有這個(gè) cookie，系統(tǒng)將檢查該報(bào)文的確認(rèn)號(hào)(對(duì)應(yīng)于 syn ack 報(bào)文的初始序列號(hào)加 1)是否含有相關(guān) 合法 cookie，即在服務(wù)器端再度計(jì)算 cookie 值，并與 ack 報(bào)文確認(rèn)號(hào)中的 cookie 對(duì)比，以 此來驗(yàn)證該 cookie 的合法性，確定客戶端的源 ip 地址是否被修改，如果 cookie 合法，系統(tǒng) 將為此分配緩沖區(qū)，正式建立連接，否則丟棄該報(bào)文。該做法的關(guān)鍵是服務(wù)器端并不為此次連接存儲(chǔ)任何信息，這屬于無狀態(tài)的握手。可以給 tcp syn 報(bào)文流分配更多的帶寬，從而合法的 tcp syn 報(bào)文被接收的幾率會(huì)有所提高，更 重要的是可以識(shí)別檢測(cè)出非法 tcp syn 報(bào)文，并將其丟棄。(2) 基于 ip 地址變化的 ddos 攻擊檢測(cè)技術(shù) 以下為三種網(wǎng)絡(luò)流量狀況：z正常流量狀況表示沒有dos攻擊行為或網(wǎng)絡(luò)擁塞狀況發(fā)生；z正常訪問高峰表示大量合法用戶同時(shí)訪問目標(biāo)系統(tǒng)，形成流量高峰；z發(fā)生ddos攻擊發(fā)生了典型的ddos攻擊或攻擊者任意偽造ip地址的dos攻擊； 從以上流量狀況可分析出，正常訪問高峰和發(fā)生ddos攻擊狀況下，單位時(shí)間內(nèi)到達(dá)目 標(biāo)系統(tǒng)的數(shù)量相差不大，因此無法從流量上區(qū)分是否發(fā)生了ddos攻擊；但是發(fā)生ddos攻擊狀況下新出現(xiàn)ip的數(shù)量要遠(yuǎn)遠(yuǎn)大于正常訪問高峰狀況下新出現(xiàn)ip的數(shù)量，因此我們可以通過分析單位時(shí)間內(nèi)新ip地址的數(shù)量的變化情況，來檢測(cè)是否發(fā)生了ddos攻擊。 目前，已經(jīng)有相對(duì)成熟的算法檢測(cè)出這種劇烈變化，其中比較著名的是 cusum 算法（cumulative sum，累積和算法）。cusum 算法的研究對(duì)象是正常狀態(tài)下的期望為負(fù)值而 當(dāng)出現(xiàn)異常狀況后期望變?yōu)檎档碾S機(jī)序列。這種基于 cusum 算法的 ddos 攻擊檢測(cè)技術(shù) 通過計(jì)算新 ip 地址數(shù)量的變化情況，可以較準(zhǔn)確地檢測(cè)出 ddos 攻擊。(3) 客戶響應(yīng)分析法 利用通信協(xié)議的擁塞控制機(jī)制來檢測(cè)攻擊，如tcp/udp協(xié)議。服務(wù)器在忙時(shí)如果收到服務(wù)請(qǐng)求，將對(duì)該請(qǐng)求延遲響應(yīng)，正常用戶會(huì)據(jù)此判定網(wǎng)絡(luò)出現(xiàn)擁塞，通過減小發(fā)送窗口大 小從而降低請(qǐng)求速率。攻擊者作為一個(gè)非正常用戶，使用虛假ip發(fā)送數(shù)據(jù)包，不會(huì)收到響應(yīng) 數(shù)據(jù)包，也就不會(huì)降低發(fā)送請(qǐng)求速率，因此通過用戶的響應(yīng)特征可以檢測(cè)出攻擊。上述方法能在一定程度上檢測(cè) ddos 攻擊，并且在實(shí)際應(yīng)用中取得了好的應(yīng)用效果。但 是隨著網(wǎng)絡(luò)應(yīng)用的進(jìn)一步普及，網(wǎng)絡(luò)流量和服務(wù)進(jìn)一步增加，網(wǎng)絡(luò)黑客的攻擊能力也不斷提 高，ddos 攻擊對(duì)網(wǎng)絡(luò)的危害進(jìn)一步增大，上述檢測(cè)方法也表現(xiàn)出其不足：首先這些方法當(dāng) ddos 攻擊比較小時(shí)，在單條鏈路上往往并不表現(xiàn)出異常，容易造成漏檢；其次上述檢測(cè)方 法大都是集中在受害者網(wǎng)絡(luò)端的檢測(cè)，由于 ddos 攻擊速度快、流量大，受害者在檢測(cè)到攻 擊后往往來不及做出有效的響應(yīng)3。3.2 基于行為的網(wǎng)絡(luò)流量統(tǒng)計(jì)的 ddos 攻擊檢測(cè)基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的ddos檢測(cè)基于區(qū)別正常異常流量的思想，通過進(jìn)出受害者或攻擊 者數(shù)據(jù)包流量顯著的不平衡特性判斷攻擊流量，分為基于鏈路特征的流量統(tǒng)計(jì)的ddos檢測(cè) 和基于數(shù)學(xué)模型描述網(wǎng)絡(luò)流量的ddos檢測(cè)。(1) 基于鏈路特征的流量統(tǒng)計(jì)的ddos檢測(cè) 基于鏈路特征的流量統(tǒng)計(jì)的ddos檢測(cè)共有兩種方法：分別為基于單鏈路延遲特征的ddos檢測(cè)和基于多鏈路網(wǎng)絡(luò)全局流量異常特征的ddos攻擊檢測(cè)?；趩捂溌费舆t特征的 ddos檢測(cè)首先采用并發(fā)多線程技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行端到端的性能測(cè)量（延遲），然后結(jié)合網(wǎng)絡(luò) 拓?fù)?，推出網(wǎng)絡(luò)內(nèi)部鏈路特征分布，最后將內(nèi)部鏈路特征分布數(shù)據(jù)送往神經(jīng)網(wǎng)絡(luò)進(jìn)行鏈路內(nèi) 部特征活動(dòng)輪廓學(xué)習(xí)，給出每條鏈路的延遲活動(dòng)輪廓，比較真實(shí)值和預(yù)測(cè)值之間的偏差，超 出閾值的鏈路作為異常鏈路被檢測(cè)到?；诙噫溌肪W(wǎng)絡(luò)全局流量異常特征的ddos攻擊檢測(cè) 則是對(duì)運(yùn)營商網(wǎng)絡(luò)中的od流（origin-destination）進(jìn)行檢測(cè)。首先研究全局網(wǎng)絡(luò)流量矩陣， 其次通過將流量矩陣分解為正常和異常流量空間（可用k-l變換即一種坐標(biāo)變換方法分解）， 然后分析異?？臻g流量的相關(guān)性來檢測(cè)ddos攻擊。(2) 基于數(shù)學(xué)模型描述網(wǎng)絡(luò)流量的ddos檢測(cè) 基于時(shí)間序列分析網(wǎng)絡(luò)流量的ddos檢測(cè)通過擬合流連接密度fcd時(shí)間序列的自適應(yīng)自回歸模型（aar）或自回歸模型（ar）,可以將fcd時(shí)間序列變換為多維空間的向量，識(shí) 別流量狀態(tài)可轉(zhuǎn)換為基于向量空間模型的分類問題，然后使用經(jīng)過樣本訓(xùn)練的支持向量機(jī) (svm)分類器進(jìn)行攻擊識(shí)別；充分考慮了報(bào)警的時(shí)間間隔及分布情況，提出一種報(bào)警可信度 評(píng)估算法對(duì)svm分類結(jié)果進(jìn)行二次處理，這樣不需要了解攻擊細(xì)節(jié)，能夠有效區(qū)分正常的 流量增加與ddos攻擊所導(dǎo)致的流量增加。這種方法適于檢測(cè)任何類型的ddos攻擊。(3) 基于流量分布分析的ddos攻擊檢測(cè)方法 這種方法不是簡(jiǎn)單的根據(jù)流量的突變來檢測(cè)網(wǎng)絡(luò)狀況，而是從分析攻擊對(duì)流量分布的影響著手。首先對(duì)網(wǎng)絡(luò)流量進(jìn)行高頻統(tǒng)計(jì)，在正常情況下，網(wǎng)絡(luò)流量的分布是相對(duì)穩(wěn)定的，高頻統(tǒng)計(jì)結(jié)果總維持一個(gè)動(dòng)態(tài)平衡4。然后對(duì)其相鄰時(shí)刻進(jìn)行相似度分析，根據(jù)相似度的變化 來發(fā)現(xiàn)異常。即通過相似度分析及時(shí)發(fā)現(xiàn)和定位那些引起流量的劇增和驟減變化的ip，準(zhǔn)確 定位到具體ip。優(yōu)點(diǎn)：對(duì)流量?jī)?nèi)部結(jié)構(gòu)很敏感，有效的發(fā)現(xiàn)大流量背景下，攻擊流量并沒有 引起整個(gè)網(wǎng)絡(luò)流量顯著變化的ddos攻擊，因此更適合大規(guī)模網(wǎng)絡(luò)的異常檢測(cè)。(4) 基于流量比率分析的ddos檢測(cè)方法 因特網(wǎng)上的業(yè)務(wù)大多數(shù)都是基于tcp協(xié)議，tcp協(xié)議定義每接收一個(gè)數(shù)據(jù)包就會(huì)返回一個(gè)數(shù)據(jù)包，因此可以認(rèn)為通信雙方以tcp協(xié)議傳輸?shù)臄?shù)據(jù)量是成比例的5。相對(duì)流向子網(wǎng)或主機(jī)的數(shù)據(jù)包數(shù)量而言，如果返回的數(shù)據(jù)包數(shù)量過少的話，這類數(shù)據(jù)包便被認(rèn)為是惡意的(應(yīng) 被丟棄)。依據(jù)這種特性，對(duì)通信雙方的通信量進(jìn)行實(shí)時(shí)檢測(cè)，一旦通信量出現(xiàn)不成比例的 情況就將其視為異常狀態(tài)?？梢岳眠M(jìn)/出子網(wǎng)的數(shù)據(jù)包流量作為推斷依據(jù)來檢測(cè)攻擊的方法。通過建立一個(gè)樹狀 數(shù)據(jù)結(jié)構(gòu)保持對(duì)進(jìn)/出子網(wǎng)數(shù)據(jù)包流量的跟蹤，收集這些統(tǒng)計(jì)量來表示不對(duì)稱的流量。根據(jù) 進(jìn)/出子網(wǎng)的數(shù)據(jù)流方向可將此方法分為兩種工作模式：攻擊模式和被攻擊模式，分別用于 識(shí)別進(jìn)攻者的ip和被攻擊者的ip。如圖3所示。4.結(jié)論圖3 兩種工作模式ddos 由于具有分布性，協(xié)作性，威力巨大，對(duì)網(wǎng)絡(luò)安全構(gòu)成了巨大的威脅。但由于人們很早就意識(shí)到了就該類攻擊檢測(cè)的重要性，所以近年來出現(xiàn)了大量的 ddos 檢測(cè)方法，對(duì) 維護(hù)網(wǎng)絡(luò)安全做出了貢獻(xiàn)。本文分析了 ddos 的基本概念和其攻擊原理，討論了基于協(xié)議特 征分析和基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的 ddos 檢測(cè)方法的原理，總結(jié)了關(guān)于 ddos 流量檢測(cè)的幾種方 法，這些方法在對(duì) ddos 的檢測(cè)上都發(fā)揮了重要作用。但是每種方法都有其自身的缺點(diǎn)和局 限性，都需要進(jìn)一步的加以改進(jìn)。本文對(duì)進(jìn)一步認(rèn)識(shí) ddos 攻擊及其檢測(cè)有很大的參考價(jià)值。參考文獻(xiàn)1 david moore, geoffrey m voelker, and stefan savage,inferring internet denial-of-service activity, inproceedings of 10th usenix security symposium, aug. 20012 computer crime research center. 2004 csi/fbi computer crime and security survey, available at:http:h/news/11.06.2004/423/3 j. mirkovic, and p. reiher, a taxonomy of ddos attack and ddos defense mechanisms, acm sigcomm computer communications review, volume 34, number 2,april 2004.4 anukool lakhina, mark crovella, and christophe diot,mining anomalies using traffic featuredistributions,5 t. m. gil, and m. poletto, multops: a data-structure for bandwidth attack detection, proceedings of the 10thusenix security symposium, 2001.research on ddos traffic detection technologyliu xiao-juandepartment of information and communication, beijing university of posts andtelecommunication, beijing (100876)abstractwith the development of the internet, network plays a more and more