高效識別DDoS攻擊的檢測技術(shù)研究發(fā)布者：本站     時間：2020-05-02 16:05:00

1 引 言

DDoS［1］全名是 Distributed Denial of service ( 分布式拒絕服務(wù)攻擊) ，它是一種分布式的協(xié)同發(fā)起的拒絕服務(wù)攻擊，借助數(shù)百、甚至數(shù)萬臺被入侵后安裝了攻擊進(jìn)程的主機(jī)同時發(fā)起的集團(tuán)行為． 它是危害更大、更易于達(dá)到攻擊效果、更難以抵御和追蹤的一種拒絕服務(wù)攻擊． 在這種嚴(yán)峻的形勢下，對DDoS 攻擊的研究逐漸稱為熱點(diǎn)，大量的 DDoS 檢測和防御技術(shù)應(yīng)運(yùn)而生． 然而 DDoS 攻擊技術(shù)在不斷發(fā)展，呈現(xiàn)出一些新的發(fā)展趨勢，這對攻擊檢測和防御提出了更高的要求． 主要表現(xiàn)有: 攻擊方式不斷更新、隱蔽性越來越強(qiáng)、攻擊準(zhǔn)備時間縮短、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，漏洞會不斷產(chǎn)生、攻擊工具更加智能以及攻擊強(qiáng)度的不斷拉大這些都給檢測與防御造成很大的困難．根據(jù)防御策略防御可分為攻擊前，攻擊中，攻擊后的三個階段，防御技術(shù)可分為 4 大類［2］攻擊預(yù)防、攻擊檢測、攻擊源追蹤和攻擊緩解． DDoS 攻擊的檢測技術(shù)主要有異常檢測和誤用檢測兩大類． 如模式匹配［3］等． 本文研究重點(diǎn)在 DDoS 攻擊的檢測技術(shù)，怎樣及時高效的識別 DDoS 攻擊．傳統(tǒng)的 DDoS 檢測方法效率低下、系統(tǒng)開銷大、易產(chǎn)生單點(diǎn)失效且單點(diǎn)的異常檢測對分布式異常檢測處理能力弱． 基于協(xié)議特征分析的 DDoS 檢測方法不能檢測沒有明顯協(xié)議區(qū)別特征的 DDoS 攻擊，而基于網(wǎng)絡(luò)流量統(tǒng)計的 DDoS 檢測方法不能區(qū)分正常的大流量和 DDoS 的攻擊流量，可能會發(fā)生誤判且不可恢復(fù)． 由于存在這樣的問題迫切需要一種及時快速有效的檢測系統(tǒng)，盡早發(fā)現(xiàn)潛在的攻擊從而可以采取必要的措施來使損失降到最低．本文在現(xiàn)在有的檢測基礎(chǔ)上提出了一種新的檢測方法．我們通過在 P2P 骨干網(wǎng)的路由節(jié)點(diǎn)上部署 DDoS 檢測系統(tǒng)，在單點(diǎn)局部檢測的基礎(chǔ)上對檢測結(jié)果進(jìn)行信息融合，采用全局決策的方式來判斷是否產(chǎn)生了 DDoS 攻擊． 目前單點(diǎn)檢測存在的問題有準(zhǔn)確性不高，單點(diǎn)檢測閾值不好估算，計算量大，協(xié)同通信量大等問題，因此我們在單點(diǎn)檢測上基礎(chǔ)上修改了數(shù)據(jù)存儲結(jié)構(gòu)，采用了信息熵與子空間以及聚類算法的方式來提空檢測效率．本文的貢獻(xiàn)主要有: 突破傳統(tǒng)集中式單點(diǎn)檢測在分布式情況下的局限性，利用局部檢測節(jié)點(diǎn)對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并發(fā)現(xiàn)潛在的被攻擊目標(biāo)，再通過全網(wǎng)檢測節(jié)點(diǎn)信息的協(xié)同融合，實(shí)現(xiàn)在攻擊流量到達(dá)目標(biāo)之前發(fā)現(xiàn)攻擊行為的目的． 利用連續(xù)的概要矩陣存儲采集得到的數(shù)據(jù)，對網(wǎng)絡(luò)報文的目的 IP地址信息進(jìn)行壓縮存儲，即便于數(shù)據(jù)分析，采用信息熵的理論對網(wǎng)絡(luò)流量的變化進(jìn)行統(tǒng)計，然后用子空間與聚類方法相結(jié)合的方式來來確認(rèn)可疑的網(wǎng)絡(luò)行為． 優(yōu)化了存儲空間，可以實(shí)時進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，提高了單點(diǎn)檢測的準(zhǔn)確性與及時性．通過對本文中分布式協(xié)同 DDoS 協(xié)同檢測系統(tǒng)的功能進(jìn)行模擬仿真測試表明本系統(tǒng)可以滿足檢測率和假陽率的要求，與其它方案相比也具有很好的及時性與準(zhǔn)確性，能夠及時準(zhǔn)確的檢測到 DDoS 的攻擊．

2 相關(guān)研究

針對 DDoS 攻擊流量的大幅度增加特點(diǎn)利用流量變化來檢測 DDoS 是應(yīng)用最廣泛的方法． 由此可以將檢測策略分為基于正常流特征和異常流特征的檢測． 如文獻(xiàn)［4，5］提到的基于 IPv6 下對泛洪 DDoS 攻擊時發(fā)生時流量顯著變化的特點(diǎn)進(jìn)行檢測的方法．Jin［6］提出了一種利用協(xié)方差分析檢測 SYN flooding 攻擊的方法，它是通過對單位時間內(nèi)不同的 TCP 報文累積量化計算協(xié)方差矩陣來得出其變化情況從而判斷是否發(fā)生了攻擊．此外，基于熵的攻擊檢測方式也越來越受到關(guān)注，如: 文獻(xiàn)［7］提到的基于小波理論與信息相結(jié)合的方式進(jìn)行 DDoS攻擊的檢測方法以及 文獻(xiàn)［8］提到的應(yīng)用滑動窗口理論的目的 IP 熵計算方法來檢測 DDoS 攻擊． 但是存在存儲空間大、只是單點(diǎn)檢測沒有多個節(jié)點(diǎn)協(xié)同檢測的缺點(diǎn)．由此可見，僅通過攻擊流特征或者正常流特征難以準(zhǔn)確識別 DDoS 攻擊． 根據(jù)現(xiàn)在檢測方法的不足，提出了基于 DHT技術(shù)的協(xié)同分布式拒絕服務(wù)攻擊檢測系統(tǒng)，攻擊檢測平臺的工作內(nèi)容主要著眼為: 單個檢測點(diǎn)和全局協(xié)同判斷． 單點(diǎn)檢測描述了如何收集和壓縮大量的網(wǎng)絡(luò)信息，并從中判斷出可疑行為． 全局檢測主要介紹在分布式網(wǎng)絡(luò)中運(yùn)行 DHT 技術(shù)貯存信息的優(yōu)勢，并解釋為了使用網(wǎng)絡(luò)中單個檢測節(jié)點(diǎn)協(xié)同工作，是如何運(yùn)用 DHT 技術(shù)進(jìn)行信息共享從而做出全局決策的． 本文著重介紹了基于熵的聚類算法來分析流量特征的單點(diǎn)檢測技術(shù)．3 熵聚類的單點(diǎn)檢測技術(shù)。