DDoS 流量检测技术研究.doc

《DDoS 流量检测技术研究.doc》由会员分享，可在线阅读，更多相关《DDoS 流量检测技术研究.doc（5页珍藏版）》请在三一办公上搜索。

1、精品论文大集合DDoS 流量检测技术研究刘晓娟 北京邮电大学信息通信学院，北京 (100876) E-mail: elma346摘要：随着互联网的发展，网络在人们的生活中发挥着越来越重要的作用。与此同时，网络安全也面临着前所未有的挑战。DDoS(分布式拒绝服务)是近年来网络上流行的，导致巨 大经济损失的攻击之一。建立有效的检测体制成为防御 DDoS 的重要目标。本文详细分析了 几种 DDoS 流量检测方法的优缺点。检测方法主要有基于协议特征分析的 DDoS 检测方法和 基于网络流量统计的 DDoS 检测方法。关键词：DoS；DDoS；检测 中图分类号：TP393.081.DDoS 基本概念和基

2、本原理要想理解 DDoS 的概念，就必须先介绍一下 DoS（拒绝服务），DoS 的英文全称是 Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看， DoS 算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的 正常运行，最终它会使你的部分 Internet 连接和网络系统失效。DoS 的攻击方式有很多种， 最基本的 DoS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法 得到服务，DoS 攻击的原理如图 1 所示。图 1 Dos 攻击原理DDoS，它的英文全称为 Distributed Denia

3、l of Service，它是一种基于 DoS 的特殊形式的 拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司， 搜索引擎和政府部门的站点1。从图 1 我们可以看出 DoS 攻击只要一台单机和一个 modem 就可实现，与之不同的是 DDoS 攻击是利用一批受控制的机器向一台机器发起攻击，这样来 势迅猛的攻击令人难以防备，因此具有较大的破坏性。DDoS 的攻击原理如图 2 所示。图 2 DDoS 的攻击原理- 5 -2.DDoS 攻击的历史及其危害DoS 攻击的历史最早可以追溯至 TCP/IP 协议族的诞生之始。由于 TCP/IP 设计的初衷是 尽最大努力(Be

4、st Effort)传送数据，而并未过多地考虑安全性的问题，这就给以该协议为基 础的 Internet 留下了安全隐患，但一直以来，以此手段为主的攻击由于规模和危害较小而为 人忽视。直到 2000 年 2 月，Yahoo，eBay，CNN 等多家大型网站相继遭受攻击瘫痪才使人 们逐渐认识了它，而此次攻击所采用的并不是简单的 DoS 攻击，而是它的分布式版本 DDoS。进入 21 世纪以来的短短几年内，DDoS 对 Internet 呈现出越来越严重的危害性，被公认 为是对 Internet 最大的威胁之一，同时也成为国内外网络安全领域研究的一个热点2。DDoS 在进行一次攻击之前往往要经过一段

5、较长时间的预备期以扫描和捕获足够多的傀儡机，如何 迅速、大量地获得这些傀儡机成为 DDoS 攻击成败与否的关键因素，DDoS 也由此发展为多 个不同类型的版本。其中危害最大的就是利用网络蠕虫传播机制的分布式拒绝服务攻击。3.DDoS 检测技术DDoS 检测方法可以分为 2 类：基于协议特征分析的 DDoS 检测和基于网络流量统计的 DDoS 检测。目前，DDoS 检测方法还存在以下几个问题：基于协议特征分析的 DDoS 检测 方法一般能够检测到具有明显异常流量协议特征的 DDoS 攻击类型，对于许多没有明显协议 区别特征的 DDoS 攻击类型则无效；基于网络流量统计的 DDoS 检测方法不能区

6、分正常的大 流量和 DDoS 攻击流量，将会导致合法用户流量被误判为攻击流量，误判发生后无法恢复正 常的大流量通信。3.1 基于协议特征分析的 DDoS 攻击检测(1)基于 SYN COOKIE 的 DDoS 检测技术服务器收到 TCP SYN 报文，不按通常做法那样为该连接分配一个缓冲区，而是只计算 生成 cookie（cookie 是保存客户机的相关信息，如：IP 地址、连接的域名（edu、com、net 等）或者使用的浏览器的类型），然后作为 SYN ACK 报文的 TCP 初始序列号，随该报文 返回。当服务器收到一个来自客户端的 TCP ACK 报文时，该报文的 TCP 确认号将带有这

7、个 cookie，系统将检查该报文的确认号(对应于 SYN ACK 报文的初始序列号加 1)是否含有相关 合法 cookie，即在服务器端再度计算 cookie 值，并与 ACK 报文确认号中的 cookie 对比，以 此来验证该 cookie 的合法性，确定客户端的源 IP 地址是否被修改，如果 cookie 合法，系统 将为此分配缓冲区，正式建立连接，否则丢弃该报文。该做法的关键是服务器端并不为此次连接存储任何信息，这属于无状态的握手。可以给 TCP SYN 报文流分配更多的带宽，从而合法的 TCP SYN 报文被接收的几率会有所提高，更 重要的是可以识别检测出非法 TCP SYN 报文，

8、并将其丢弃。(2) 基于 IP 地址变化的 DDoS 攻击检测技术 以下为三种网络流量状况：z正常流量状况表示没有DoS攻击行为或网络拥塞状况发生；z正常访问高峰表示大量合法用户同时访问目标系统，形成流量高峰；z发生DDoS攻击发生了典型的DDoS攻击或攻击者任意伪造IP地址的DoS攻击； 从以上流量状况可分析出，正常访问高峰和发生DDoS攻击状况下，单位时间内到达目 标系统的数量相差不大，因此无法从流量上区分是否发生了DDoS攻击；但是发生DDoS攻击状况下新出现IP的数量要远远大于正常访问高峰状况下新出现IP的数量，因此我们可以通过分析单位时间内新IP地址的数量的变化情况，来检测是否发生了

9、DDoS攻击。 目前，已经有相对成熟的算法检测出这种剧烈变化，其中比较著名的是 CUSUM 算法（Cumulative Sum，累积和算法）。CUSUM 算法的研究对象是正常状态下的期望为负值而 当出现异常状况后期望变为正值的随机序列。这种基于 CUSUM 算法的 DDoS 攻击检测技术 通过计算新 IP 地址数量的变化情况，可以较准确地检测出 DDoS 攻击。(3) 客户响应分析法 利用通信协议的拥塞控制机制来检测攻击，如TCP/UDP协议。服务器在忙时如果收到服务请求，将对该请求延迟响应，正常用户会据此判定网络出现拥塞，通过减小发送窗口大 小从而降低请求速率。攻击者作为一个非正常用户，使用

10、虚假IP发送数据包，不会收到响应 数据包，也就不会降低发送请求速率，因此通过用户的响应特征可以检测出攻击。上述方法能在一定程度上检测 DDoS 攻击，并且在实际应用中取得了好的应用效果。但 是随着网络应用的进一步普及，网络流量和服务进一步增加，网络黑客的攻击能力也不断提 高，DDoS 攻击对网络的危害进一步增大，上述检测方法也表现出其不足：首先这些方法当 DDoS 攻击比较小时，在单条链路上往往并不表现出异常，容易造成漏检；其次上述检测方 法大都是集中在受害者网络端的检测，由于 DDoS 攻击速度快、流量大，受害者在检测到攻 击后往往来不及做出有效的响应3。3.2 基于行为的网络流量统计的 D

11、DoS 攻击检测基于网络流量统计的DDoS检测基于区别正常异常流量的思想，通过进出受害者或攻击 者数据包流量显著的不平衡特性判断攻击流量，分为基于链路特征的流量统计的DDoS检测 和基于数学模型描述网络流量的DDoS检测。(1) 基于链路特征的流量统计的DDoS检测 基于链路特征的流量统计的DDoS检测共有两种方法：分别为基于单链路延迟特征的DDoS检测和基于多链路网络全局流量异常特征的DDoS攻击检测。基于单链路延迟特征的 DDoS检测首先采用并发多线程技术对网络进行端到端的性能测量（延迟），然后结合网络 拓扑，推出网络内部链路特征分布，最后将内部链路特征分布数据送往神经网络进行链路内 部特

12、征活动轮廓学习，给出每条链路的延迟活动轮廓，比较真实值和预测值之间的偏差，超 出阈值的链路作为异常链路被检测到。基于多链路网络全局流量异常特征的DDoS攻击检测 则是对运营商网络中的OD流（Origin-Destination）进行检测。首先研究全局网络流量矩阵， 其次通过将流量矩阵分解为正常和异常流量空间（可用K-L变换即一种坐标变换方法分解）， 然后分析异常空间流量的相关性来检测DDoS攻击。(2) 基于数学模型描述网络流量的DDoS检测 基于时间序列分析网络流量的DDoS检测通过拟合流连接密度FCD时间序列的自适应自回归模型（AAR）或自回归模型（AR）,可以将FCD时间序列变换为多维空

13、间的向量，识 别流量状态可转换为基于向量空间模型的分类问题，然后使用经过样本训练的支持向量机 (SVM)分类器进行攻击识别；充分考虑了报警的时间间隔及分布情况，提出一种报警可信度 评估算法对SVM分类结果进行二次处理，这样不需要了解攻击细节，能够有效区分正常的 流量增加与DDoS攻击所导致的流量增加。这种方法适于检测任何类型的DDoS攻击。(3) 基于流量分布分析的DDoS攻击检测方法 这种方法不是简单的根据流量的突变来检测网络状况，而是从分析攻击对流量分布的影响着手。首先对网络流量进行高频统计，在正常情况下，网络流量的分布是相对稳定的，高频统计结果总维持一个动态平衡4。然后对其相邻时刻进行相

14、似度分析，根据相似度的变化 来发现异常。即通过相似度分析及时发现和定位那些引起流量的剧增和骤减变化的IP，准确 定位到具体IP。优点：对流量内部结构很敏感，有效的发现大流量背景下，攻击流量并没有 引起整个网络流量显著变化的DDoS攻击，因此更适合大规模网络的异常检测。(4) 基于流量比率分析的DDoS检测方法 因特网上的业务大多数都是基于TCP协议，TCP协议定义每接收一个数据包就会返回一个数据包，因此可以认为通信双方以TCP协议传输的数据量是成比例的5。相对流向子网或主机的数据包数量而言，如果返回的数据包数量过少的话，这类数据包便被认为是恶意的(应 被丢弃)。依据这种特性，对通信双方的通信量

15、进行实时检测，一旦通信量出现不成比例的 情况就将其视为异常状态。可以利用进/出子网的数据包流量作为推断依据来检测攻击的方法。通过建立一个树状 数据结构保持对进/出子网数据包流量的跟踪，收集这些统计量来表示不对称的流量。根据 进/出子网的数据流方向可将此方法分为两种工作模式：攻击模式和被攻击模式，分别用于 识别进攻者的IP和被攻击者的IP。如图3所示。4.结论图3 两种工作模式DDoS 由于具有分布性，协作性，威力巨大，对网络安全构成了巨大的威胁。但由于人们很早就意识到了就该类攻击检测的重要性，所以近年来出现了大量的 DDoS 检测方法，对 维护网络安全做出了贡献。本文分析了 DDoS 的基本概

16、念和其攻击原理，讨论了基于协议特 征分析和基于网络流量统计的 DDoS 检测方法的原理，总结了关于 DDoS 流量检测的几种方 法，这些方法在对 DdoS 的检测上都发挥了重要作用。但是每种方法都有其自身的缺点和局 限性，都需要进一步的加以改进。本文对进一步认识 DDoS 攻击及其检测有很大的参考价值。参考文献1 David Moore, Geoffrey M Voelker, and Stefan Savage,Inferring Internet Denial-of-Service Activity, InProceedings of 10th USENIX Security Sympos

17、ium, Aug. 20012 Computer Crime Research Center. 2004 CSI/FBI Computer Crime and Security Survey, Available at:http:Hwww.crimeresearch.org/news/11.06.2004/423/3 J. Mirkovic, and P. Reiher, A Taxonomy of DDoS Attack and DDoS defense Mechanisms, ACM SIGCOMM Computer Communications Review, Volume 34, Nu

18、mber 2,April 2004.4 Anukool Lakhina, Mark Crovella, and Christophe Diot,Mining Anomalies Using Traffic FeatureDistributions,5 T. M. Gil, and M. Poletto, Multops: a data-structure for bandwidth attack detection, Proceedings of the 10thUSENIX Security Symposium, 2001.Research on DDoS Traffic Detection

19、 TechnologyLIU Xiao-JuanDepartment of Information and Communication, Beijing University of Posts andTelecommunication, Beijing (100876)AbstractWith the development of the Internet, network plays a more and more important role in peoples lives. At the same time, network security is also facing unprec

20、edented challenges. Distributed Denial ofService(DDoS) is one of the attacks which are popular and leading to great economic loss. It has become an important goal to establish an effective detection method. In this paper, it makes detailed analysis of several methods of DDoS traffic detection, including its advantages and disadvantages.Detection methods mainly based on the analysis of the characteristics of protocol and the statistics ofnetwork traffic.Keywords: DoS; DDoS; detection作者简介：刘晓娟（1981-），女，北京邮电大学信息通信学院硕士研究生，研究方向为网 络安全。