一种DDoS攻击的特征检测与算法.docVIP

一种DDoS攻击的特征检测与算法 　　【摘 要】分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法，无法适用于分布式拒绝服务攻击的检测。文章介绍了一种DDos检测技术，这种检测方法可以有效识别分布式拒绝服务攻击。 　　【关键词】拒绝服务攻击；攻击检测；网络安全 　　0.引言 　　拒绝服务攻击（Deny of Service，DoS）曾经使得世界上几家著名电子商务提供商的站点（如雅虎、eBay、亚马逊等）陷入瘫痪长达数小时甚至数天，造成了巨大的经济损失。 拒绝服务攻击非常容易发起，并不像其它攻击一样需要有一定技术基础。 　　拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石，它是按照在开放和彼此信任的群体中使用来设计的，在实现上力求效率，而没有考虑安全因素（如数据认证、完整性、必威体育官网网址性服务等）。例如，网络拥塞控制在TCP层实现，并且只能在终端结点实施控制，这就使得大量报文可以不受约束地到达终端结点；路由器可以只根据目的地址决定路由，用户可以任意改变源IP地址，造成地址欺骗攻击（IP Spoofing）容易实施，DoS攻击正是利用这个弱点，使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。 　　传统的拒绝服务攻击从一个攻击源攻击一个目标，可以很容易地根据流量来识别[2]。但近年来，拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式，即分布式拒绝服务攻击（Distributed Deny of Service，DDoS）。DDoS呈现的特征与正常的网络访问高峰非常相似，特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法，使得DDoS的攻击特征难以提取，攻击源的位置难以确定。本文将介绍一种可以有效识别DDoS攻击的算法，这种算法通过计算新IP地址数量的变化情况，能较准确地检测出DDoS攻击。 　　1.DDoS攻击检测技术 　　1.1 DDoS攻击特征的表示 　　收集每个时间片△n（n=1，2，3，…）内到达目标系统的IP地址，时间片大小相同，即△1=△2=…=△n。时间片的长短直接影响检测的灵敏度，时间片选择的越短，检测的灵敏度越高，但是计算的负荷也越高，因此，如何选择△n应有一个权衡的考虑。 　　设定Tn表示时间片△n（n=1，2，3，…）内出现的所有IP地址的集合，Dn表示时间片△n结束时刻白名单中的所有IP地址的集合。那么，Tn-Tn∩Dn就表示△n内新出现IP地址的数量，显然Tn-Tn∩Dn的大小与△n大小相关。为此，选择Xn=■用于表示不同时间片△n内新出现IP地址数量变化函数，即Xn表示时间片△n内新IP地址占IP地址总数的比值，这样Xn的值就不会受到△n大小的影响。 　　显然Xn（n=1，2，3，…）是一个随机序列。正常状况下（包括高峰流量状况下）Xn是一个轻微抖动的序列，当发生分布式拒绝服务攻击时，由于出现大量新IP地址，会引起Xn剧烈抖动（图1）。 　　图1 Xn在m时刻出现剧烈抖动 　　给定随机序列X■，假设在m时刻发生了DDoS攻击，则X■会呈现图3所示的趋势，即Xn在m时刻会陡然上升，X■的期望值会从α上升到α+h。由此，随机序列X■可以表示为： 　　Xn=α+？孜nI（nm）+（hηn）I（n≥m），其中： 　　？孜=？孜n■■，η=ηn■■，并且E（？孜n）=E（ηn）=0，h≠0，？孜，η即都是期望值为0的随机序列，I（x）是指示函数，即当x为真时I（x）等于1，否则等于0。 　　在网络正常状况下，当nm时，E（Xn）=E（α+？孜n）=α1，即正常状况下新出现IP地址所占的比例极小。 　　为此，令Zn=Xn-β，a=α-β0 　　则Zn表示为：Zn=a+？孜nI（nm）+（hηn）I（n≥m） 　　这样，Zn就符合了要求。 　　图2 Zn序列的抖动 　　令yn=Sn-■Sk，其中Sk=∑■■Zi，S0=0 　　为了计算方便，yn的递归表达式为：yn=（yn-1+Zn）+，y0=0 　　其中函数y=x+=x，x00，x≤0 　　yn可以明显反映出X■的变化情况（图4），在m时刻yn呈现上升趋势。因此，可以设定阈值N，当yn大于N时，就可认为发生了DDoS攻击。 　　2.结束语 　　本文探讨了拒绝服务攻击中最为难以防护的DDoS攻击的特征及检测算法，通过计算新IP地址数量的变化情况，能较准确地检测出DDoS攻击。 　　【参考文献】 　　[1]Jelena Mirkovic， Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http：///dd