DDoS攻击与检测

DDoS攻击与检测（精选十篇）

DDoS攻击与检测 篇1

第一次DDo S网络攻击发生在1996年,纽约市最大的互联网公司Panix的邮件、新闻、WEB服务器等同时遭到攻击。而随着计算机网络的发展,DDo S攻击技术朝着攻击范围广、隐蔽性强、简单有效的方向发展。网络规模的扩大同时使得僵尸网络扩大,分布式的攻击手段和IP地址伪造技术使得很难准确定位攻击者,大量DDo S攻击工具的出现降低了攻击的技术门槛。因此,近年来DDo S网络攻击事件屡见不鲜。

2 DDo S网络攻击简介

DDo S网络攻击是在Do S网络攻击的基础上演变而来的,通过控制大量傀儡机发送超大数据量的合理资源请求来侵占网络带宽资源、系统资源和应用资源,从而使合法用户无法获取服务响应。

DDOS网络攻击采用分布式的攻击手段,改变了传统的点对点的攻击方式,这就使得攻击方式变的没有规律,很难从一种协议或服务的类型方面区分攻击。攻击者通常会对攻击数据包和源IP地址经过伪装,这就导致很难对攻击者实施地址跟踪。

DDo S网络攻击原理是:攻击者通过特殊方式获取到多个网络主机的控制权,在主机上安装攻击软件将其作为傀儡机。攻击者制作攻击命令包,将攻击命令发送给傀儡机,然后控制傀儡机同时向目标主机发送资源请求,通过形成巨大的攻击流量阻塞网络或侵占资源来完成阻止目标主机的目的,其攻击原理如图1所示。

3 DDo S网络攻击常见的类型

3.1 基于ICMP的攻击

攻击者使用傀儡机向目标主机发送大量ICMP报文,进行洪水攻击消耗目标主机的带宽。这种类型的攻击使用hping等工具就能发起攻击,攻击方式简单,被攻击目标在网络边界直接过滤并丢弃ICMP数据包就可使攻击无效。Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。

3.2 UDP洪水攻击

UDP洪水攻击与ICMP攻击原理类似,而UDP是一种面向无连接的传输层协议,不需要验证其发送的数据报是否被正确接收就可以发送新的数据报,因此可以伪造大量的UDP数据包用于攻击目标主机,。但UDP洪水攻击完全依靠傀儡机本身的网络性能,通常对目标主机的带宽消耗并不算太大。Hping、LOIC就是典型的基于UDP攻击。

3.3 TCP SYN攻击

TCP SYN攻击是多台傀儡机向目的主机发送TCP SYN包,在收到被攻击主机的SYN ACK后不发送确认,这样被攻((转转下下页页))击主机打开大量半开连接,侵占系统资源而影响正常用户与目标主机建立连接。通常攻击者会对TCP SYN报文的源IP地址进行伪造,目标主机会将应答发送到伪造的IP地址上,即占用系统资源又隐藏了攻击来源。TCP SYN攻击发动简单,效果明显,是比较难防御的攻击之一。

3.4 HTTP洪水攻击

HTTP洪水攻击时攻击者利用大量傀儡机向Web主机发送超大数据量的HTTP请求,侵占主机资源,造成正常用户请求失败的攻击。HTTP协议是基于TCP协议的,需要三次成功握手才能建立连接,所以进行HTTP洪水攻击无法使用伪造源IP地址的方法来发动攻击。攻击者会使用HTTP代理隐藏攻击来源。HTTP洪水攻击的威胁也主要体现在宽带资源的消耗上,对系统资源消耗有限。

3.5 混合攻击

在实际的攻击案例中,一般攻击者并不关心使用哪种攻击方法,只要能达到瘫痪主机的目的,攻击者常会发动所有能发动的攻击手段展开攻击。目标主机则要同时面对不同协议,不同方法的网络攻击。相对于单种攻击方法,混合攻击具有更高的隐蔽性,能将攻击效果最大话。

4 DDo S攻击常见的检测防御方法

4.1 地址伪造机制的治理

伪造源IP地址使得定位攻击源变得非常困难,攻击者攻击风险变小,目标主机也难以使用源地址过滤的方法阻止攻击。目前已有的简单有效的缓解办法是互联网服务提供商在路由器上过滤数据包,将从外部接口进入内部网络的数据包,但源地址属于内部网络和有内部网络向外发送的数据包,但源地址不属于内部网络的数据包过滤掉。也可以使用单播反向路径转发缓解地址伪造技术,由路由器检查进入的源地址和源端口是否在路由表中,不在则过滤掉数据包。

4.2 稀释攻击流量

DDo S网络攻击的攻击来源分布非常广泛,攻击流量巨大。在面对超大流量的攻击时,首先要做的就是将流量进行稀释和分散。目前比较流行的方法是使用CDN和任播技术。CDN技术就是在互联网范围内广泛设置多个节点作为代理缓存,并将用户的访问请求导向最近的缓存节点,加速访问速度。任播技术是一种网络寻址和路由方法,一组提供特定服务的主机使用同一IP地址,访问请求会被路由到这一组主机的拓扑结构最近的一台上。

4.3 清洗攻击流量

流量清洗是指在全部的网络流量中区分正常流量和恶意流量,只将正常流量交付给目标主机主要包括的技术有:IP信誉检查、攻击特征匹配、速度检测和限制、代理和验证、协议完整性检验和客户端真实性检验。

4.4 攻击追踪

如果能够准确定位攻击源就能有效的解决攻击问题。通常可以使用蜜罐技术收集分析攻击者信息,假如能分析攻击者的准确位置则可以解决DDo S网络攻击的危害。

5 总结与建议

目前已有很多检测和防御方法能在一定程度上起到防御的效果,彻底杜绝DDo S网络攻击是非常困难的。除了上文所介绍的检测和防御方法外,还应在事前预防、事后追踪方面进行防御。a.及早发现漏洞,安装系统补丁,保护好管理员密码。b.利用防火墙等安全设备巩固网络安全,过滤伪造的数据包。c.保证充足的网络带宽,升级主机服务器CPU和内存,通过增加资源减小攻击到来的危害。d.安装专业DDo S网络攻击预防软件。e.反向追踪、定位攻击者,并且对攻击者进行处罚。

摘要：DDo S网络攻击已经成为互联网最大的威胁之一,因其攻击类型和攻击工具多样性,攻击成本低、难度小,彻底防御起来非常困难。文章对DDo S网络攻击的原理进行简单的介绍,并根据TCP/IP协议对攻击进行分类,总结目前已有的常用检测和防御措施。最后,文章给出了检测和预防DDo S网络攻击的建议。

关键词：DDoS网络攻击,检测,防御

参考文献

[1]李蓬.DDo S攻击原理及其防御机制的研究[J].通信技术,2010,04:96-97.

[2]王前,王磊,谢寿生.DDo S攻击和防御机制分类研究[J].计算机应用研究,2006,10:111-112.

[3]池水明,周苏杭.DDo S攻击和防御技术研究[J].信息网络安全,2012,5:28-29.

[4]鲍旭华,洪海,曹志华.破坏之王DDo S攻击与防范深度剖析[M].北京:机械工业出版社,2014,4:88-89,95-96.

[5]张乃斌.Hadoop DDo S攻击检测研究分析[D].北京:北京邮电大学,2014.3-4.

[6]郑显举,张敏,徐琳,龚茗茗.DDo S攻击原理及防御[J].成都电子机械高等专科学校学报,2007,2:27-28.

DDoS攻击与检测 篇2

四、怎么抵御DDOS?

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：

、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有0M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择00M的共享带宽，最好的当然是挂在000M的主干上了。但需要注意的是，主机上的网卡是000M的并不意味着它的网络带宽就是千兆的，若把它接在00M的交换机上，它的实际带宽不会超过00M，再就是接在00M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为0M，这点一定要搞清楚。

、升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒0万个SYN攻击包，服务器的配置至少应该为：P.G/DDR5M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给 入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

Win000和Win00作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约0000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!《强化TCP/IP堆栈安全》。

也许有的人会问，那我用的是Linux和FreeD怎么办?很简单，按照这篇文章去做吧!《SYNCookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施

DDOS攻击原理与防范 篇3

关键词 DDOS攻击 原理 防范

中图分类号：TP3 文献标识码：A

1 DDOS的概念与产生

DDOS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”。凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但DDOS和DOS有所不同，DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大了，因为目标对恶意攻击包的“消化能力”加强了不少。

2 DDOS的攻击原理

DDOS的攻击策略侧重于通过很多被攻击者入侵过或可间接利用的主机向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。一般来说，黑客进行DDOS攻击时会经过这样的步骤：

（1）搜集了解目标的情况

对于DDOS攻击者来说，攻击互联网上的某个站点时，搜集情报对DDOS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

（2）占领傀儡机

简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDOS攻击任务的帐号。对于一个DDOS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞等，都是黑客希望看到的扫描结果。随后就是尝试入侵了。

当黑客占领了一台傀儡机之后，除了留后门擦脚印这些基本工作之外，他会把DDOS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDOS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

（3）实际攻击

前面的准备做得好的话，实际攻击过程反而是比较简单的。黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令，这时候埋伏在攻击机中的DDOS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

3 DDOS的防范

目前对于DDOS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，DDOS攻击只能被减弱，无法被彻底消除。下面列出了对付它的一些常规方法：

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DDOS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（4）检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

参考文献

[1] 孔 哲，孟丽容.数据库连接策略优化方法[J].山东大学学报版，2003，33（6）：652-657.

[2] 贾 焰，王治英，韩伟红，等.分布式数据库技术[M].北京：国防工业出版社，2003.

[3] 孙曦，朱晓研，王育民.DDoS下的TCP洪流攻击及对策[J].网络安全技术与应用，2004（4）.

DDoS攻击与检测 篇4

软件定义网络(Software Defined Networking ,SDN)[1]是一种控制平面和数据平面解耦的、可实现网络编程的创新网络体系架构。 目前已有很多企业进行了SDN实践。但SDN带来了网络架构方面革新的同时, 也为安全防护体系带来了挑战, 例如拒绝服务攻击、 非法接入访问等。 本文就SDN构架下Do S/DDo S攻击检测给出一组解决办法,综合运用信息安全中异常检测和误用检测两种思想,提出一种基于SDN的防御体系。

1 相关工作

肖佩瑶等[2]提出基于路由的检测算法, 但当随机流发出时, 控制器为每个流做出转发路径分析, 下发流表项,影响了控制器的性能。

刘勇等[3]通过对攻击发生时网络流量变化特性进行分析,提出基于流量波动的检测算法。 但在传统网络构架下,分散而封闭的控制平面并不能实时阻断异常流量。

左青云等[4]对文献[5] 进行了改进, 在主成分分析法( Principal Components Analysis , PCA ) 分析时加入了异常流量特征熵,大幅降低了误报率。 但目前没有控制器提供IP对的查询API , 所以要大量查询流表项, 在检验算法中进行统计。 IP数量非常多时,算法用时将不可容忍。

本文针对上述文献的不足提出了改进办法, 在探索源地址验证方面, 通过控制器与Open Flow交换机的信息交互实现了源地址验证,总体设计更加简单。 通过将Do S/DDo S检测算法与SDN技术相结合应用于网络接入层, 增加了添加流表项功能, 可实时地对异常端口进行转发限制。 PCA是分析异常流量的一种重要方法,本文提出其针对链路流量异常的检测判断,算法用时大幅下降。

2 体系架构设计

面对形式越来越多的Do S/DDo S攻击, 以往仅通过单一方法检测攻击的方式已经无法达到良好的检测效果, 本文综合多项检测方法并形成防御体系, 其架构如图1 所示。 伪造源IP地址是最常用的手段,所以第一道防线为源IP防伪,IP防伪模块通过接收到的数据报文为每个交换机端口设置动态的IP绑定,防止伪造IP包攻击。 若傀儡机发送大量使用真实源IP的数据包,会被第二道防线 ——— 接入层异常检测所过滤,信息查询模块通过Open Flow协议获取到交换机统计信息, 接入层检测通过API获取到端口流量信息进行算法检验。 若异常则通过静态流表插入模块对交换机特定端口施行转发限制。只有攻击流量以趋近于正常的速度发送数据包会通过检测。 在第三道防线 ——— 链路流量异常检测中, 用API获取到的整个网络信息进行算法检验,做出异常判断。

3 Do S / DDo S攻击检测与防御方法

3 . 1 源IP防伪

3.1.1设计思想

在DDo S攻击中按攻击源地址分为真实源地址和伪造源地址, 伪造源地址会使得多种放大攻击成为可能,并使攻击定位变得困难。 在SDN构架下控制器对每台交换机统一管理, 可以利用此优势, 动态实现接口与IP的绑定。

3 . 1 . 2 设计描述

获取IP地址的途径有两种:使用DHCP服务或配置静态IP。首先在控制器启动时向交换机各端口插入将数据发往控制器的流表项,以保证对其监控,然后分别处理两种获取IP的方式。

( 1 ) DHCP : 客户端通过DHCP ACK获取到IP地址记为S, 删除发往控制器的流表项, 同时下发交换机目标端口仅允许S源地址通过的流表项。

( 2 ) 静态IP : 控制器中设置了两个域, 一个为端口控制域,存储已经被管控的端口;另一个是交换机连接域,存储交换机相连接的端口, 不对这部分端口进行绑定。当数据包从某一接入端口发送到控制器进行解析时,分析源地址S, 删除发往控制器流表项, 并下发此端口仅允许S源地址通过的流表项。

当客户端发送DHCP Release或交换机端口失去连接时,删除上述防伪流表项。 重新插入此端口发往控制器的流表项,恢复到初始状态。

3 . 2 接入层网络异常流量检测

3 . 2 . 1 设计思想

Do S / DDo S攻击时的流量特征是在一段时间内突然增大,且趋于平稳。 因此采用差分方差变化率为测量在接入层检测异常流量。 利用控制器提供的API下发异常端口的限制流表项,做到异常流量的防御。

3 . 2 . 2 差分方差优势与计算

流量波动性是衡量攻击的一个重要的指标, 概率论中方差描述了数据整体的波动性,而所需要的是数据相对的、 局部的波动情况, 所以差分方差能更好地反映流量的波动情况。 由于算法是动态检测的,所以各个统计量均依靠前一周期的计算结果。 假设在t时刻, 原始流量为C(t),流量的整体均值为(t)。 如式(1)所示:

Diffc ( t )为t时刻的差分值,如式(2):

t时刻的差分方差如式( 3 ) 所示:

使用隶属函数u(t) 来衡量t时刻流量是否异常, 如式(4)所示:

3 . 2 . 3 攻击判断与流表下发

根据隶属函数u(t)的值,做出是否执行算法的判断。若u(t)=0,则认为攻击未发生, 若u(t)=1, 则认为发生攻击,以上两种情况不执行算法。 当0<u(t)<1 时, 执行算法判定攻击。 定义常量c为阈值,代表能容忍的流量上限,变量s代表具有攻击特征的流量可以连续出现的周期数,变量a代表具有攻击特征的流量已经持续的周期数。 当u(t)持续大于0 时,每次执行算法都会使a增1,用当前周期与上一周期的差分方差比较,决定此周期攻击强度A(t)。 若A(t)≥A(t-1)与a≥s同时发生,则判定发生攻击, 通过控制器提供的API下发流表项, 阻断攻击流量;否则,暂不确定攻击是否发生,进入下一次循环判断。

3 . 3 链路异常流量检测

3 . 3 . 1 设计思想

如果傀儡机采用接近正常的发包速率, 就会让接入层检测模块陷入沉默,但攻击流量会在到达目标链路前逐渐汇集,因此采用了通过流量矩阵来统计网络流量的方法。 使用主成分分析法对数据进行处理,并且计算动态阈值,判断是否存在异常。 相比于IP流量对, 物理链路相对稳定,数据统计简单,不会出现大量误报,且执行速度大幅增加。

3 . 3 . 2 主成分分析法异常检测

流量矩阵:每个Open Flow交换机之间的链路流量称为SS对。 流量矩阵X为t×p维的矩阵,常量t是样本数量, 变量p为SS对数量,Xij表示第i个样本、 第j个SS对的流量大小。

对于t×p维流量矩阵X应用主成分分析方法计算特征值与特征向量,使前k个主成分特征值和达到所有主成分特征值和的85%,前k个主成分特征向量构成正常子空间s, 剩余的p-k个主成分特征向量则构成异常子空间s′。 将流量矩阵X向这两个子空间进行投影。 正常子空间s中的k个特征向量组成的矩阵记为P, 矩阵各列的平均值组成向量记为x。 设x在正常子空间的投影为模型流量x′ , 在异常子空间的投影为残差流量x″ ,如式(5)所示:

剩余的p-k个主成分特征值可以使用文献[6] 的方法计算动态阈值,如式(6)所示:

α 常取0 . 001 , Cα 为标准正态分布中1 - α 分位数。

h0为历史数据的相对权重,如式(7)所示:

θi如式(8)所示,λj为第j大特征值:

采用滑动窗口机制更新流量矩阵, 正常时模型流量与残差流量大致不变, 当出现异常时, 残差流量会发生巨大的变化,残差流量变化值如式(9)所示:

当 △d2>Qα时,则报警。

4 实验及结果分析

4 . 1 实验环境说明

实验使用mininet[7]进行模拟,floodlight控制器进行网络信息的获取与流表项的下发, 利用hping测试软件进行模拟攻击实验。 图2 为实验拓扑图,实验测试时长1 000 s , 具体测试详见表1 攻击说明。

4 . 2 测试结果说明

4 . 2 . 1 源IP防伪测试结果

源IP防伪属于功能检验, 防伪率100% , 图3 为统计结果。 在测试实验的200 s和800 s注入了伪造源IP的攻击流量, 攻击结果被实时体现出来。

4 . 2 . 2 接入层异常检测测试结果

接入层检测当收到不失一般性的流量攻击时, 会触发报警下发流表,结果如图4 所示。 图4(a)为该接入端口接收到的数据包数,图4(b)为此端口实际转发的数据包数。 在流量正常时,接收即转发,所以图4(a)与图4(b)无差别。 在第300 s与500 s时注入攻击流量,发生报警时,对端口进行限制,图4(b)中转发流量大幅下降,表明对攻击行为做出了防御动作,将异常流量封锁在网络外。

4 . 2 . 3 链路流量异常检测的测试结果

趋近正常速率发送数据包的主机会被接入层检测漏检,此时链路层流量检测就会起到作用,如图5 所示,为保证不过分消耗控制器资源, 每10 s执行一次算法。在400 s和650 s注入了DDo S攻击流量, 流量残差值的变化突然增大超过依靠上一个检测周期计算出的阈值,发生报警。 但攻击流量会造成流量矩阵的混乱,可能会发生可预知的误报,总误报率约5%。

5 总结

面对DDoS攻击，企业又能如何？ 篇5

以上例子表明，在过去的一年半，DDoS黑客活动的频率与手法不断提高，近期的个案显示不同规模的银行正面临不同形式的DDoS攻击，这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击，以及针对应用层和内容的攻击。而针对SSL加密网页资源和内容的拒绝服务（DoS）攻击更是变本加厉。在一些情况下，黑客会采用一种混合形式的攻击，用难以阻止的应用层方法，结合“低成本”、大批量，但可用简单的手段进行过滤及阻挡的攻击。

为了应对此等级别的恶意活动，首席信息官、首席信息安全官，以及他们的团队需要部署一个全盘抗击方案，采用一套全面的防御工具，结合公司内部署的安全技术和基于云端的清洗服务。此外，他们也需考虑执行情报收集和发布工作，支持一套全面的DoS缓解策略。

这里，我们针对上述企业类用户在制订抗击DDoS 策略时应考虑的问题，进行了汇总，希望对大家有所帮助。

采用数据清洗服务或类似的清洗供应商来应对大批量耗尽攻击

达到80 Gbps的DDoS攻击已经不稀奇，个别案例甚至高达300 Gbps。只有极少的组织机构可以有带宽来应付这种规模的攻击。当面对如此大规模的DDoS攻击，企业应首先考虑通过基于云的清洗供应商来管理其网络流量，协助除掉数据流中的恶意数据包。此等供应商拥有所需的工具及足够的带宽，所以可以作为抗击大批量耗尽攻击的第一道防线，使DDoS攻击止步于云端，而常规业务数据流则能顺利通过网络。

使用专门的DDoS攻击防御设备，对攻击进行识别、隔离与修复

有鉴于DDoS攻击日趋复杂，同时结合大批量和应用的攻击，企业需要采用一个综合多种抗击手法的方针。要有效抵御结合应用及“低而慢”攻击的多向量攻击，必需充分利用在公司部署的专用防御设备，防火墙和入侵防御系统在缓解DDoS攻击方面至关重要，DDoS安全防御设备构建一个额外的保护层，通过专用技术对DoS活动进行实时鉴别并阻截。管理员还可以通过设置此等公司内部安全方案，与云清洗服务供应商沟通，在遭受攻击时可自动地把攻击路由出去。

企业需要调整防火墙以处理大量的连接率

在遭受DDoS攻击时，防火墙将是关键的网络设备。管理员应该调整其防火墙设置，以识别和处理大批量耗尽和应用层攻击。此外，视乎防火墙的性能，有些保护功能可激活以阻止DDoS攻击数据包，在攻击过程中提高防火墙的性能。

制定一套保护应用的方法及策略，抵御DDoS攻击

安全技术可以有效抵御DDoS攻击，但是管理员也需要考虑调整Web服务器，修改自身负载均衡及内容分发策略，确保系统取得最佳的正常运作时间。此外，也可以考虑配置抵御多种登陆的攻击。另外一个防御机器策动、自动进行攻击的方法是在网页中增设服务细节选择，例如页面询问浏览者是否有兴趣取得低息率或新产品信息，用户需按下“接受”或者“不用，谢谢”按键后，方可继续进入后续页面。

此外，内容分析十分重要，这可以简便地确保没有大量PDF文件堵塞价值重大的主机服务器。

以上都是有些执行DDoS缓解策略的重要手段。企业必须与服务提供商及互联网服务提供商（ISPs）携手合作。ISP必须参与并支持此等抗击策略，因为DDoS攻击与银行等金融机构使用相同的网络，而ISP则支持这两种数据流。

情报收集和分发对抵御DDoS的重要性也日益增加，这需要调查公司内部网络的数据，以及在金融服务业其它公司的网络中的数据。

了解黑客身份、其攻击动机和手法等信息可以帮助管理人员准确预测并防范攻击。分辨DDoS攻击可以是根据协议（SYN、DNS、HTTP）、攻击数据包的来源，策动和控制攻击的网络、攻击在一天内的启动和结束时间等。目前，此等信息共享只限于业界友好间，正确的发展方向是构建自动化系统，不同机构可以登录一个方案，通过研究有关联的原始日志信息，掌握进行中或已结束攻击的蛛丝马迹，此等系统也可以用作分享攻击情报及分发相关保护。

基于AIS的DDoS攻击检测策略 篇6

网络中高新技术的发展始终是把双刃剑,好的方面在于它能给网络使用者带来操作上更多实用、方便、快捷的性能提高,不好的方面则是被利用来对网络进行破坏,以致引起若干的网络安全问题。根据CNCERT/CC发布的《2009年中国互联网网络安全报告》的监测反映:2009年,对境内互联网基础运行设施的攻击主要是分布式拒绝服务攻击DDoS(Distributed Denial of Service),导致网络性能下降,严重影响到网络承载的其他业务,针对日益复杂的网络安全问题,寻求更高效的解决方案迫在眉睫。

1 DDoS攻击概述

典型的DDoS攻击原理示意图如图1所示。

攻击者入侵有安全漏洞的主机并获取控制权,成为其控制机,然后再选择那些安全管理水平差的主机作为攻击僵尸,这样攻击者便通过控制机控制攻击僵尸向受害者发动攻击,使得原本单一的攻击变成了群体性质的攻击,给受害方的防御带来了很大难度。

常用的DDoS攻击工具如表1所示:

可见大部分的DDoS攻击是通过UDP、TCP、ICMP等来实现的。目前有很多技术纷纷应用在DDoS的防御系统上,有硬件的也有软件的,但随着攻击方式的多样性及不断演变,检测防御技术无论在理论还是应用上都存在一些不足,主要体现在防护种类不足、效率不高等方面。为此,寻求更多更有效的技术方法成了每一个安全维护人员的工作之重,本文介绍的就是从软件角度提出的一个检测策略。

2 人工免疫系统的基本原理

随着计算机科学技术的高速发展,对技术的智能化要求越来越高,人们往往会从复杂而有效的生物系统的运作原理中获取灵感,近年来提出了若干的学习系统,包括遗传算法(GA)[1]、人工神经网络(ANN)[2]、蚁群系统(Ant System)[3]、人工免疫系统(AIS)等,它们分别从自然进化过程、大脑神经系统、蚂蚁群体觅食、筑巢和生物免疫系统等活动启发而来。其中,生物免疫系统能够有效地区分有害抗原和自身组织,进而去除抗原保证生物体的健康,是一个复杂而高级的系统。将其运作原理数字化处理后针对特定应用而产生的计算模型就是我们俗称的AIS,从一定程度上具备了很强的学习、识别、记忆和特征提取能力。AIS中免疫算法是其核心算法,其基本架构如图2所示。

其中克隆选择是整个免疫系统运作的关键,它描述了免疫系统对抗原做出免疫响应的基本特征,抗体的产生、变异及消亡分别对应问题的解、优化及解的删除。整个过程依据复杂的生物免疫系统原理产生,因此也具备了其自适应、自学习及鲁棒性等优良特点。

对于我们要研究的DDoS攻击检测而言,AIS的运作原理给了我们很大启示,在以往众多的研究中我们发现许多技术在智能化、自适应、自学习方面的能力有所欠缺,一些核心的参数需要有经验的专家给予指导、修正,否则很难达到预期效果,这就如同一个自身免疫缺乏的生物体一样,必须得依靠外部给予的抗生素才能对抗随时随地的病菌,这样是很危险的。同理,对DDoS攻击乃至更多花样层出的网络入侵,去研究如何提高检测系统的自适应、自学习能力显得意义重大。

3 基于AIS的DDoS攻击检测策略

图3是基于AIS的DDoS攻击检测体系结构图。

当外网数据包到达时,提取数据包的特征向量,生成待定抗原,然后和抗体库中的细胞进行匹配,抗体库中有记忆细胞和未成熟细胞,其中记忆细胞是根据已有DDoS攻击数据包的特征向量产生的,而未成熟细胞则是已知或未知的DDoS特征向量经历变异后产生的新的抗体细胞,因此,抗原首先和记忆细胞进行匹配,如果匹配,则可直接认定为攻击数据,立即采取相应措施予以阻截,如果不匹配,则再和未成熟细胞进行匹配,因为是未成熟细胞,较之记忆细胞还有很多不确定因素,因此,给匹配程度(即亲和度)设定一个阀值,超过这个阀值,则认为该数据包高度危险,予以阻截,否则予以通行。其中,抗原、记忆细胞、未成熟细胞、亲和度、阀值、克隆选择算法及变异算法的设定都非常关键,直接影响着整个检测系统的性能。

其中克隆选择是整个AIS的核心,它反映了抗体群的随机转换过程[4]:

上述过程实际包含了两个步骤,即克隆和变异,解空间中的一个点a(k)A(k)分裂成了qi个相同的点a'i(k)A'(k),经过变异后获得新的抗体群。

用计算机的二进制编码,则抗体a Bl,其中Bl={0,1}l代表所有长度为l的二进制串组成的集合,抗体群A={a1,a2,,an}为抗体a的n元组。

定义:

其中:为qi维行向量。

一般取:

Nc>n是与克隆规模有关的设定值,Int(x)表示大于x的最小整数。克隆过后,种群变为:

其中:

对于上述克隆后的抗体种群,再随机选择变异点,以一定的变异率Pm进行变异[5]。

按照柏松分布选择交叉点,即

其中,X为交叉点数,这样经过点变异后生成新的变异个体b,从而更新抗体群。

上述检测策略已在基金项目入侵防御系统中使用,取得了较好效果。

4 结束语

目前DDoS攻击仍是网络基础设施的主要威胁,给网络的安全运营带来了极大危害,而且由于DDoS攻击源的隐蔽性及群体性,导致防御的难度日益增加。AIS是基于生物免疫系统的运作机理而建立的自动化智能系统,将其应用于检测DDoS攻击与其他技术方法相比而言体现了更为强大的自适应、自学习能力及系统鲁棒性。但由于生物免疫系统本身的复杂性,还有很多技术特征未被生物学专家识别和掌握,因此,基于此建立的AIS就有更多的技术难点有待改进和突破,这也将是本研究工作今后的研究重点。

参考文献

[1]肖人彬,王磊.人工免疫系统-原理、模型、分析及展望[J].计算机学报2002.12:1281-1293.

[2]D.Koller,M.Sahami,Hierarchically Classifying DocumentsUsing Very Few Words In Machine Learning[C]:Proceedingof the Fourteenth International Conference,MorganKaufmanm,1997,On page(s):284-292.

[3]周济,查建中,肖人彬.智能设计[M].北京:高等教育出版社,1998.

[4]焦李成,杜海峰.人工免疫系统进展与展望[J].电子学报2003.10:1540-1548.

DDoS攻击与检测 篇7

随着因特网的飞速发展和网络社会的到来, 黑客入侵事件也高速增长, 黑客的网路攻击和入侵行为对全球造成了极大的威胁, 其中DDo S攻击技术因其隐蔽性、高效性成为网络攻击者最青睐的攻击方式之一, 这种方式严重地威胁着Web服务器的安全。

1 DDo S攻击的工作原理

图一为DDo S攻击模型, DDo S攻击方一般可分为3层结构, 依次为根攻击者机器、攻击代理傀儡机群以及大量的攻击僵尸傀儡机。大量的攻击僵尸傀儡机受上层控制, 向受害目标机器发动直接攻击, 以使其陷入瘫痪或失去提供正常服务的能力。

在实施DDo S攻击时, 根攻击者常常通过下列步骤建立起其攻击网络:

1.1 建立攻击代理及攻击傀儡

利用扫描工具找出网络中大量具有安全漏洞的服务器, 获取这些服务器的控制权, 并在已入侵的服务器上安装攻击代理程序和攻击执行程序, 使得它们分别成为攻击代理和攻击僵尸傀儡。攻击代理机担任信息中转者的角色, 其上面运行特定的通讯转接程序将根攻击机传来的命令转送到攻击僵尸傀儡上。而攻击僵尸傀儡机则是攻击行动的直接执行者, 但它们并不直接参与和根攻击者机器的通讯联系, 而只是接受攻击代理发出的直接攻击指令而执行攻击。显然这样的攻击体系会导致很难从僵尸傀儡机上直接获得根攻击者的信息。

1.2 发动攻击

根攻击者通过攻击代理向攻击僵尸傀儡机发出攻击指令, 使所有的僵尸傀儡机可以立刻或在预定的时刻同时向受害机器发动攻击, 自己则立刻离线以逃避追踪。大量的攻击报文一方面会造成目标服务器系统及其网络资源被消耗殆尽, 同时也会阻塞受害目标所在网络中的网络设备, 从而达到使目标服务器不能进行正常的网络通讯的目的。

2 DDo S攻击及其预防

2.1 常见的DDo S攻击分类

我们可以根据多种途径来将DDo S攻击分类, 这里则将常见的DDo S攻击技术按照其所使用的通讯协议所在的层级作为分类依据来分别介绍。

(1) MAC层协议类

攻击者通过大量含有MA广播地址的报文来达到攻击目的。由于MAC层攻击只能在局域网络上使用, 限制了这类攻击对外部网络的破坏性, 而这类攻击也往往和其他层的攻击结合 (例如ICMP反射攻击) 来取得更强的攻击效果。

(2) IP层协议类

攻击者伪造IP表头信息, 包括伪造数据封包的源/目的地址, 甚至其他IP表头信息来进行欺骗迷惑。通过伪造源IP可以隐藏自己的位置和身份, 有的甚至会假冒合法IP用户来突破网关上对源IP合法性检查, 几乎所有DDo S攻击都会进行源IP地址欺骗来逃避追踪。

(3) 传输层协议类

SYN洪水攻击 (SYN Flood Attack) 就处于这一层, 这种攻击利用TCP协议3次握手启动连接过程的漏洞, 对受害系统发送具有伪造源地址的SYN分组, 让受害系统处于半连接状态, 等待对方送出ACK分组以完成3次握手。因为受害系统的半连接必须等收到对方的ACK分组或超时才会抛弃, 这可能导致两种后果:一是受害系统对半连接数目未作出限制, 则受害系统为了维护一个非常大的半连接列表而消耗非常多的资源;另一为受害系统对半连接数目作出限制, 这可以比较有效地避免受害系统被攻击崩溃, 但由于对半连接状态数目的限制, 当攻击者发出大量伪SYN分组时会逼使受害系统的半连接状态数目超过限制, 从而无法再处理其他正常使用者的要求。

(4) 应用层类

应用层的攻击是针对一些网站或服务器所提供的应用层服务, 攻击者可以通过无限制地请求服务来消耗服务器的计算或存储资源。由于向不同服务器申请服务的程序不同, 因此要实现这种攻击必须要针对不同的目标来开发不同的攻击工具, 这样也限制了其工具并不具有通用性。

2.2 DDo S攻击的预防

DDo S攻击的预防就是要尽量避免网络中的服务器被入侵控制成为僵尸服务器或代理机。首先要加强在路由器上过滤伪造IP地址的封包, 且要求在各个服务器上的管理员能够做到以下防范措施:

(1) 安装防火墙、反木马软件和防毒软件等防护工具。

(2) 经常查询最新的安全信息, 及时修补系统的Bug和漏洞。

(3) 经常留意本机与网络中的通讯是否有异常情况。

如能切实做到以上几点, 便可在一定程度上有效地防止本机器被攻击者利用。只要令攻击者难以控制大量攻击代理和攻击僵尸傀儡机, 便可有效阻止DDo S攻击的发生或降低其攻击规模。

但是, 以上这些均意味着要避免DDo S攻击的发生, 必须要求网络中的大量服务器及网络设备都做足安全措施并协同防御, 而现实情况中由于因特网中各个服务器及网络设备管理分散, 要做到各个设备统一工作是十分困难的, 所以攻击者总是可以找到具有安全漏洞的机器为其所用, 因此对DDo S攻击的预防往往较难取得理想效果。

2.3 目前对DDo S的防御状况

截至目前, 我们在面对DDo S攻击时, 想要完全防御还是比较困难的, 因为这种攻击的特点是它利用了TCP/IP通讯协议的漏洞来产生攻击, 不过即使它难于防范, 如果想要防止DDo S并不是绝对不可行的事情。

3 防范DDOS攻击的网络异常检测系统

3.1 系统的设计概念

本系统根据TCP/IP协议以及相关RFC对网络传输模型各层的定义, 将自流量中存取数据封包进行逐层解析和统计, 得出包括均值和方差在内的参数与各自正常值进行比较, 超出规定的范围即判定流量异常, 对其标记并在最终的数据封包发送控制模块中实施相对控制, 从而达到检测和防御大规模DDo S攻击的目的。

实验统计和研究分析表明, 因特网的正常流量总是呈现一定的分布规律, 其中包含某一特定位属性的数据封包在总流量里面所占的比率也有着相对固定的关系。绝大多数的DDo S攻击是以发送大量单一结构类型和格式的数据封包为其攻击手段。可见, 入侵检测系统如果能够及时地对流经数据封包进行有针对性的检测并对其加以控制, 将对发生的DDo S攻击起到防御的作用。

3.2 系统结构

本文设计的系统结构图如图二所示。从图中可以看出, 整体结构可以分为三个相对独立的子模块, 分别为多元统计模块、异常检测模块和发送控制模块, 以下就各个模块简要说明。

(1) 多元统计模块

本模块的具体功能是通过对接入流量的每一个因特网数据封包进行层层解析, 获得相对各表头位的内容, 按照预先定义的规则对位内容进行判断, 并将结果反应在用于记录统计的数据中。如此反复, 直到所有需要检查的位都统计完毕, 才将资料封包交由下一模块进行发送处理。在整个解析封包统计过程中, 还将根据异常检测模块的判断结果对资料封包进行标记, 如数据封包含有属于异常封包的位, 则标记该封包应进入相对的限速序列进行限速处理。

(2) 异常检测模块

本模块的功能是选择一定的时间间隔, 检查多元统计模块中得到的统计结果, 将前后两个结果进行纵向比较, 得出其均值、方差、标准差等描述参数, 对比离线训练得到的正常数据库中相对的值, 依照预先设定的限制值, 超出这个限制值则判定此位为异常位, 并将此异常信息回馈给多元统计模块, 并再根据异常信息标记处理数据封包。

(3) 发送控制模块

作为系统控制策略的最终执行者, 本模块采用漏桶算法进行发送序列控制[1]。经过多元统计模块的数据封包最终到达本模块等待发送, 发送序列控制逻辑检查每一个数据封包的标记位内容, 并根据相对内容判断该封包是否属于需要限速的异常封包, 如果是则将该封包放入具有不同的限定发送速率的序列中去, 如果不是则将其放入以正常速率发送的序列中去, 从而实现了对异常封包的限速处理。

4 结束语

本文主要设计了一种称为多元统计的系统, 涉及的具体工作是对进入系统的网络数据封包的各表头位进行封包解析、分析统计和异常标记。检测和控制系统均能在短时间内将攻击检测出来并予以控制, 基本上达到了一个较为全面的DDo S入侵检测与防御系统的功能要求。

参考文献

[1]时公涛, 孟相如, 刘志宏.基于IP网络服务质量的研究与实现[J].微电子学与计算机, 2005, 22 (12) :116-119.

[2]N.Ansari, A.Belenky.IP traceback with Deterministic Packet Marking[].IEEE.Communications Letters, 2003, (04) :162-164.

DDoS攻击与检测 篇8

现有小尺度网络模型通常采用Holder、Hurst等指数进行检测,Holder指数观测尺度狭窄、误报率高;Hurst指数能够在整体上对流量的自相似性进行刻画,具有较高的检测精度,但要求观测的时间尺度宽,不利于实时检测。本文提出的基于数据预处理的DDo S攻击检测方法在Hurst指数检测的基础上,通过提高流量间相关度,满足了Hurst指数定义对模型长相关程度的要求,从而能够更准确地对具有多分形特性的流量进行分析。

1 流量预处理

小尺度网络模型中包含的网络业务信息相比大尺度网络模型少但更为细致,因而也更易受流量的突发性影响。基于流量的DDo S攻击检测技术正是利用了流量突发性对统计特性造成的奇异点进行检测,因此为了降低误报率就需要降低正常流量发生时对小尺度模型统计特性的影响。最直接的方法就是增加小尺度模型各节点包含的信息量,增强其长相关性。参考文献[8]就可能影响流量性能的因素提出了假设,并认为均值和方差对多分形有较大影响。本文在参考文献[8]的基础上,提出采用滑动平均值来代替原有采样值的方法,在保证不丢失原有信息特性的前提下,将前后时间节点的特性包含进来,提高了节点中包含的信息量,使得小尺度网络模型的长相关性增强,同时降低了正常流量发生时对统计特性可能造成的影响。流量预处理方法如式(1)所示:

式中,t(n)为进行预处理前时间序列;g(n)为采用滑动平均变换后的时间序列;m为增加关联度的权系数,m值越大,经过预处理后的时间序列长相关性质越强。

2 DDo S攻击检测方法

2.1 数据预处理

利用式(1),将参数m设为100,从时间序列t(n)中取100个序列值(总时长为1 s的流量数据),作滑动平均计算得到序列g(n)。

2.2 小波分解

由于传统的模型和分析工具不适用多分形模型,本文利用小波分解法对小尺度网络模型进行分解获得网络流量的高频系数(或称细节系数),为求解Hurst指数提供基础。将g(n)分为i个子区域g′(n),i=1,2,…,n,如式(2)所示:

每次获得的新采样数据插入到序列末尾,这种序列构造方式减少了获取定长数据的等待时间,提高了构造速度。

第i个子区的j级分解低频系数(或称为近似系数)和j级分解高频系数(或称为细节系数)分别用aig(j,k)和dig(j,k)表示,如式(3)所示:

其中j为小波分解层数,k为小波的移动尺度,准jk为小波尺度函数,ψjk为小波函数。

参考文献[9,10]的研究表明,消失矩与小波分解求自相似参数Hurst的准确性有着密切关系。根据参考文献[9]中的研究结果,db小波(Daubechies)在求解Hurst值的过程中准确性普遍优于一般方法(如R/S)。因此本文选取db(3)作为小波消失矩,小波分解层数为j=10,小波移动尺度k=1。

小波分解过程中通常采用二进制伸缩的方式,如式(4)所示:

2.3 Hurst指数求解

参考文献[11]中的研究表明,利用小波高频系数dig(j,k)求解Hurst指数的方法主要有方差法、谱估计法和能量法等。本文选择方差法求解Hurst指数,如式(5)所示:

根据式(5)的定义对小波高频系数(或称细节系数)dig(j,k)做零值化处理,以达到均方误差最小的目的,如式(6)所示。

其中,dig(j,k)表示第j层小波分解细节系数的平均值。

经过小波变换分解和零值化处理后,通过对式(5)两边取对数进行线性拟合,如式(7)所示:

得到以j为自变量,以log2Var骔dig′(j,k)」,k=1,2,…,100为函数的直线,其斜率b=2H+1,即为Hurst指数。

2.4 Hurst指数阈值设定

对于小尺度网络模型而言,当平稳的DDo S攻击流量发生时,网络流量整体的波动性下降,突发性减弱,自相似性增强。经过本文提出的预处理方法处理,Hurst指数升高并趋于平稳。本文方法正是利用这一原理对DDo S攻击进行检测,并通过计算方差的方法来检测Hurst指数的平稳性。

本文提出,对经过预处理的流量采用Hurst指数方差平均值Var[H′]来量化其变化程度,如式(8)所示。

式中E为计算平均值的尺度大小,V为计算方差的尺度大小。E和V的选取将会对算法的检测延迟和误报率产生影响。取值越高,观测越准确,误报率越低,但也会造成检测延迟上升。相反则会降低检测延迟,提高误报率。在此本文将阈值设定为。

3 DDo S攻击检测实验

本文采用模拟攻击的方法对文中提出的网络异常检测算法进行测试。

3.1 数据来源

实验数据由正常的背景流量和模拟的攻击流量汇聚而成。

以北京工业大学某楼层的真实流量为正常流量样本,采用Wireshark截取上午10:30~11:17之间的全部流量。时间精度为1 ms,包括各类正常访问的数据包1 620 400个。分别汇聚为精度10 ms的BJUT-10流量和精度为1 s的BJUT-1000流量。

利用Sprient公司的Threat Ex2600作为攻击流量的产生工具,模拟了DDo S攻击中最经典的SYN-Flood攻击流量,并将攻击强度以1 000 threats/s的幅度逐渐增加。将攻击行为分为两次,分别在小背景流量和大背景流量下进行,小背景流量攻击发生在100 000 ms,大背景流量发生在200 000 ms。每次攻击持续180 s,其中流量上升阶段30 s,峰值攻击120 s,流量下降阶段30 s。测试环境如图1所示。

3.2 检测实验

通过第2.3节中所描述的检测算法对实验数据进行检测,Hurst值的结果如图2所示。

在框内的部分发生DDo S攻击(攻击发生于100 000 ms~117 998 ms及200 000 ms~217 998 ms之间),Hurst值在攻击发生时段明显趋于稳定。

经过方差处理后,在低流量背景情况下,Hurst指数方差值明显趋于0,比较容易检测出攻击。但是在高流量背景下(后一个框),攻击时Hurst方差值同正常流量的Hurst方差值大小并无明显区别,只能从趋势和前后节点数据关联性上看出一定特性。

用式(8)方法对Hurst指数进行方差和均值处理后,如图3、图4所示。从图中可以看出当DDo S攻击发生时,Hurst指数方差均值处于所设的阈值之下。

设定,在此条件下进行了多组数据检测实验。在此对参数概念定义如下:

定义1:误报率σ,攻击发生的次数为T,误报攻击的次数为t。误报率为误报攻击的次数与实际攻击发生次数的比值,即。

定义2:检测延迟T,即攻击被检测出的时间与攻击发生时间之间的延迟。

从实验结果可以得出,在利用BJUT-10流量模型进行异常检测时,当攻击流量达到背景流量36.90%时,攻击被检测出来,但检测完整性较差,仅为2.10%,检测延迟91.28 s。

当攻击增强而背景流量不变时,攻击的检测率提高,攻击检测完整性也相应提高;当攻击流量占到总流量91.36%时,检测率达到100%,检测完整性达到75.18%,检测延迟为26.1 s。

当攻击强度不变,背景流量发生变化时,在大流量背景下,检测的完整性较小流量背景下攻击的检测完整性和检测率差距较大,检测延迟明显降低。

4 与典型算法对比

为了验证本文算法的性能,采用相同的实验数据与典型检测方法进行了对比测试。

4.1 Holder指数检测法

本文重现了参考文献[6]中的Holder指数计算方法,并将关键实验参数设置为λ=0.9,s=10。

4.2 传统Hurst指数检测法

根据参考文献[6-7]中的Hurst指数检测法,因Hurst指数检测法只适用于大尺度的网络模型,即时间敏感度大于1s的网络模型,因此本文采用BJUT-1000流量进行模拟检测。采用db(3)小波分解,小波分解层数为j=10,小波移动尺度k=1,时间区间n=10。

4.3 性能比较

本文模拟的DDo S攻击包含了30 s攻击速率上升的过程,因此检测延迟在一定程度上反应了检测算法对攻击发生初期(0 s~30 s)的检测能力。

从图5可以看出本文方法在检测延迟上同Holder指数检测法性能相当。从算法误报率上看,本文方法误报率较Holder指数检测法有明显改善。因而本文方法在检测率和检测完整性上优于其他两种检测算法。如图6所示。

本文提出了一种基于多分形模型数据预处理的异常检测方法。利用小波分解的方法对网络流量进行分析。通过增加数据间相关性使得短相关的流量数据具备一定的长相关特性,而长相关数据的特性更加明显。同时使用Hurst指数方差平均值对攻击流量进行检测。相比于现有的实时检测算法,其误报率明显降低,并保持较低的检测延迟,提高了检测率和检测完整性。

摘要：利用小波分解网络流量的方法,提出了一种基于数据预处理的分布式拒绝服务DDoS攻击检测算法。通过对小尺度流量数据进行预处理,使得短相关的网络流量体现出长相关性并保持小尺度模型的时间敏感度,满足了Hurst指数刻画多分形模型的条件,解决了现有小尺度网络异常实时检测方法的缺陷,如Holder指数检测算法误报率高、VTP检测法检测率不足等问题。

关键词：拒绝服务攻击,自相似指数,多分形模型,小波分解,异常流量监测

参考文献

[1]JOSEPH L H,FAN Z,PEIWEZ S.Characterizing normaloperation of a Web Server:application to workload forecas-ting and problem detection[C].Proceedings of the ComputerMeasurement Grouy,1998.

[2]THOTTAN M,JI C Y.Statistical detection of enterprisenetwork problem[J].Journal of Network and Systems Man-agement,1999,7(1):27-45.

[3]曹敏,程东年,张建辉,等.基于自适应阈值的网络流量异常检测算法[J].计算机工程,2009,35(19):164-167.

[4]ABRY P,VEITCH D,Wavelet analysis of long-range de-pendence traffic[J].IEEE Trans on Information Theory,1998,44(1):2-15.

[5]任义龙,刘渊,一种基于Holder指数的DDoS攻击检测方法[J].计算机应用研究,2011,28(2):724-727.

[6]任义龙,刘渊.一种基于小波分析的DDoS攻击检测方法[J/OL].[2011-09-29].http://www.cnki.net/kcms/detail/11.2127.tp.20110929.1037.054.html.

[7]李金明,王汝传.基于VTP方法的DDoS攻击实时监测技术研究[J].电子学报,2007,35(4):791-796.

[8]胡俊,谭献海,覃宇飞.基于小波技术的网络流量分析与刻画[J].计算机应用,2007,27(11):2659-2665.

[9]任勋益,王汝传,祁正华.消失矩对小波分析求解自相似参数Hurst的影响研究[J],电子与信息学报,2007,29(9):2257-2261.

[10]任勋益,王汝传,王海艳.基于自相似检测DDoS攻击的小波分析方法[J].通信学报,2006,27(5):6-11.

DDoS攻击与检测 篇9

关键词：DDos检测,网络安全,数据挖掘

1 基于数据挖掘的DDos检测系统的设计

设计和建立了一个基于数据挖掘的DDos检测系统 (Data Mining Based on the Intrusion Detection System, 缩写为DMIDS) , 目的是利用数据挖掘技术在从数据中提取特征与规则方面的优势, 使DDos检测系统的实现不需要先验知识, 试图尽可能消除在DDos检测系统的建立过程中的手工编码和特定因素, 寻找从大量数据中自动进行分析、提取特征和模式、生成有意义的规则、并建立检测模型的方法;以及在需要时更新规则库的方法。规则库不断地更新以反映被监视系统当前的状态和新的攻击类型的出现。在DMIDS中, 同时利用了异常检测和滥用检测来检测网络攻击, 利用异常检测能够发现未知攻击的优点来发现新的、未知的攻击;利用滥用检测高效准确的优点来检测已知的攻击。

2 DMIDS的主要研究内容

DMIDS重点研究连续属性离散化、属性约简、频繁项集的生成、关联规则的产生、关联规则增量更新、特征提取、及利用数据挖掘的分类规则建立能识别正常行为和DDos行为的分类模型等。DMIDS的总体结构包括以下组件:传感器、数据接收器、数据库、数据挖掘器、特征提取器、规则库和检测器等, 如图1所示。DMIDS中的数据挖掘过程由三个主要的阶段组成:数据准备、挖掘、表述及分析, 如图2所示。

3 DMIDS信息处理流程

在本系统中, 信息处理一般经过以下几步: (1) 数据收集:截获系统或网络信息, 存入数据库; (2) 数据预处理:对收集到的数据进行数据消脏、数据选择等预处理, 并进行连续属性离散化、属性约简等, 为数据挖掘做准备; (3) 关联规则生成:运用关联规则挖掘算法从经过预处理的历史数据中挖掘出频繁项集, 生成有用的关联规则, 建立攻击模式和用户正常行为轮廓; (4) 特征提取:运用数据挖掘技术从当前用户行为数据中提取当前用户行为特征; (5) 利用分类算法建立检测模型; (6) DDos检测:包括协议分析、模式匹配或异常越界检查等, 根据DDos检测算法, 提取规则库中的相关规则对当前用户的行为特征进行检测, 将检测的结果交给响应模块; (7) DDos响应:根据检测的结果作出相应的行动, 如果属于DDos行为, 则系统作出报警, 并采取一定措施防止DDos, 留下DDos证据。

4 小结

针对目前基于知识工程的DDos检测系统存在的问题, 本文提出了一个基于数据挖掘的DDos检测系统, 采用数据挖掘技术有效地收集自己系统环境中的数据, 并从中提取特征、生成规则、并建立检测模型, 在需要时自动更新规则库。克服传统DDos检测系统的缺点, 准确地提取DDos模式和用户特征, 提高DDos检测系统的检测率、适应性和扩展性。S

参考文献

[1]赵海波, 李建华, 杨宇航.网络入侵智能化实时检测系统[J].上海交通大学学报, 1999 (36) 1:76-79.

[2]Anderson J P.Computer Security Threat Monitoring and Surveillance[J].Technical report, James P Anderson Co., Fort Washington, Pennsylvania, April1980.

DDoS攻击与检测 篇10

Web服务具有高度通用性、 集成性、 完全的平台及语言独立性等优点, 让其可以在电商与互联网应用中得到普遍的推广、 应用。 但伴随Web技术与云技术的日益发展, 网络上可以被访问的软硬件资源的可用性及安全性也越来越受到重视。 但Web访问只使用SOAP (简单对象访问协议) , 但此协议本身并不能起到任何的安全防范作用。 当前Web服务安全 (简称WS-Security) 只是一种在网页上应用安全的网络传输协议, 其标准只具有身份授权验证、 信息机密完整性等基本功能, 并无法完全防范如今泛滥于互联网上的各类攻击, 例如DDo S ( 即分布式拒绝服务攻击) 。 此类攻击主要有两种形式:一种是针对HTTP (即超文本传输协议) 的攻击, 而另一种是针对于XML (即可扩展标记语言) 的攻击。

当下众多研究学者也研究出了诸多防范Web服务攻击 (例如加密过度、 有效载荷过大等类型) 的方法, 其研究主要是针对基于流的可扩展标记语言解析器: SAX (用于处理XML事件驱动的推模型) , 以此替代原先的解析器DOM (即传统文档对象模型) 。 SAX解析器采用事件驱动原理, 通过线性遍历文档的方式, 在检索到特定字符时触发相关机制, 且不需要在其内存里保存文档, 因而运用广泛。 但该种方式只具有一定的自适应性, 遇到特殊的情况也难以处理。 因此提出一种新的处理侦测XML及HTTP攻击的快速自适应检测方式, 通过提取对WSDL (即网络服务描述语言) 的特征值来设计一个标准的请求样本来进行对XML与HTTP数据包头的内容来对数据攻击进行检测。 将此种设计与云网相结合, 就可以完成对云网服务的相关保护。

2 Web服务攻击

2.1 类型

此处提出了关于Web的防御系统, 主要与之有关的是超文本洪泛、 过大的可扩展语言、 过度加密、 强制性解析、 和网络服务Addressing欺骗等攻击。

2.2生成攻击的工具

为了对以上提出的各类漏洞进行测试, 可以专门设计一种生成攻击的工具。 它可以向Web发送预先设计的恶意Message, 产生不同类的攻击, 如图1 所示。 生成攻击的工具组成有两部分: 产生正常Request和Server端及把恶意可扩展语言的内容注入请求的APP。

此工具主要在Apache Axis上运行。 方法主要是对在Axi上运行的网页服务进行攻击测试, 若有大量CPU或内存消耗, 就可认为是攻击。

2.3 云网

基本云架构的组成由3 个方面: 即云服务提供商、 中介和其消费者。 其运行时, Users要与中介沟通以获得自身所需的Services。 因此如果其中介不能用, 则整个云系统都会对其Services产生致命后果。 为保护云架构, 首先需要在云中介部署防御系统, 如图2 所示。

DDo S系统分析Users的Request, 若APP的Request是恶意的, 则Refuse。 否则, 将Users的APP Request发给请其处理程序, 最后云中介对Request进行处理。

3 防御系统

其主要原理是为每一个网页服务或其相关操作的运行做配置。 它按高斯模型展示, 高斯模型是某种特征的Average值和标准偏差定义, 特点有内容的长度、 元素的数目、 Nesting depth、 最长element、 attributes及名称空间。

基于之前Request特点构造的Model, 用来检测网页服务的异常Request。 另外, 该系统的主要目标是覆盖超文本Request的限制, 简单对象访问协议动作与WS-Addressing的欺骗检测。 为了快速拦截Request, 应用Netty的超文本Proxy Server: Little Proxy, 某类高性能异步事件驱动Web App Frame。Request过滤过程可以分为3 个部分: (1) 通过网络服务描述语言的文档属性, 初步进行攻击过滤; (2) 只检查超文本Request的Header, 可快速对超文本、 简单对象访问动作及内容长度异常进行信息检查。 只有通过这些检测, 可扩展标记文本的内容才可以被解析和检查。 (3) 进行可扩展标记语言的内容检测, 融入简单对象访问协议的特征异常检测, 寻找其动作或WS-Addressing欺骗。 这个防御系统结构如图3 所示。

4 实验及分析

4.1 实验环境

组建实验环境, 在CRB中介里, 实验环境如图4 所示。

实验环境包含了两个集群控制器, 各自控制若干个控制节点。 防御系统从影响攻击的时间及时间的响应来进行评估。

4.2 影响攻击的分析

影响攻击的因素主要包含超文本标记协议的洪泛攻击以及过大的可扩展标记语言攻击, 第一种攻击是当CPU周期被阻塞时激活防御系统并将随后的请求占用CPU拒绝并将源地址列入黑名单以防止洪泛攻击。 第二种是遭遇过大的可扩展标记语言攻击时, 攻击生成间隙以1000ms来与第一种攻击区别。 第三种攻击是强制解析型, 其使用特点是恶意通过不同的源端口来报告堆栈的溢出错误。 第四种是过度加密攻击会在20s内使RAM用量即刻饱和, 使机器发生死机情况。 最后一种是欺骗型攻击。

5 结语

本防御系统是把抵御网络服务里DDo S攻击的程序嵌进云网中, 以此来对云服务、 中介及服务商的防护。 通过分析可以有效抵御以上的5 种攻击。 在以后的研究中可以考虑由数据共享的方式来改善分布式系统里的有效扩展性。 此外, 后续工作可以通过搜集数据并调整参数, 以此来加强系统性能。

参考文献

[1]魏春霞, 张琳琳, 赵楷.基于源地址伪造的Web服务Do S攻击防御方法[J].计算机工程与设计, 2014, 35 (9) :35-43.

[2]史长琼, 吴丹, 肖瑞强.能抵抗拒绝服务攻击且高效的RFID安全认证协议[J].计算机工程与应用.

[3]王风宇, 曹首峰, 肖军, 等.一种基于Web群体外联行为的应用层DDo S检测方法[J].软件学报, 2013, 24 (6) :1263-1273.

[4]黄伟, 何亨, 李涛, 曾朋, 董新华.基于SDS架构的多级DDo S防护机制[J].计算机工程与应用.

[5]王进, 阳小龙, 隆克平.基于大偏差统计模型的HttpFlood DDo S检测机制及性能分析[J].软件学报, 2013, 34 (5) :1272-1280.

[6]刘晴.DDo S攻击的背后蕴藏着更大的威胁[J].计算机与网络, 2014, (13) .