基于AIS的DDoS攻擊檢測策略

吳 鵬，汪 健

（四川工程職業技術學院 計算機科學技術系，德陽 618000）

0 引言

網絡中高新技術的發展始終是把雙刃劍，好的方面在于它能給網絡使用者帶來操作上更多實用、方便、快捷的性能提高，不好的方面則是被利用來對網絡進行破壞，以致引起若干的網絡安全問題。根據CNCERT/CC發布的《2009年中國互聯網網絡安全報告》的監測反映：2009年，對境內互聯網基礎運行設施的攻擊主要是分布式拒絕服務攻擊DDoS (Distributed Denial of Service)，導致網絡性能下降，嚴重影響到網絡承載的其他業務，針對日益復雜的網絡安全問題，尋求更高效的解決方案迫在眉睫。

1 DDoS攻擊概述

圖1 DDoS攻擊原理示意圖

典型的DDoS攻擊原理示意圖如圖1所示。攻擊者入侵有安全漏洞的主機并獲取控制權，成為其控制機，然后再選擇那些安全管理水平差的主機作為攻擊僵尸，這樣攻擊者便通過控制機控制攻擊僵尸向受害者發動攻擊，使得原本單一的攻擊變成了群體性質的攻擊，給受害方的防御帶來了很大難度。

常用的DDoS攻擊工具如表1所示：

表1 常用的DDoS攻擊工具

可見大部分的DDoS攻擊是通過UDP、TCP、ICMP等來實現的。目前有很多技術紛紛應用在DDoS的防御系統上，有硬件的也有軟件的，但隨著攻擊方式的多樣性及不斷演變，檢測防御技術無論在理論還是應用上都存在一些不足，主要體現在防護種類不足、效率不高等方面。為此，尋求更多更有效的技術方法成了每一個安全維護人員的工作之重，本文介紹的就是從軟件角度提出的一個檢測策略。

2 人工免疫系統的基本原理

隨著計算機科學技術的高速發展，對技術的智能化要求越來越高，人們往往會從復雜而有效的生物系統的運作原理中獲取靈感，近年來提出了若干的學習系統，包括遺傳算法（GA）[1]、人工神經網絡（ANN）[2]、蟻群系統（Ant System）[3]、人工免疫系統（AIS）等,它們分別從自然進化過程、大腦神經系統、螞蟻群體覓食、筑巢和生物免疫系統等活動啟發而來。其中，生物免疫系統能夠有效地區分有害抗原和自身組織，進而去除抗原保證生物體的健康，是一個復雜而高級的系統。將其運作原理數字化處理后針對特定應用而產生的計算模型就是我們俗稱的AIS，從一定程度上具備了很強的學習、識別、記憶和特征提取能力。

AIS中免疫算法是其核心算法，其基本架構如圖2所示。

圖2 免疫算法基本架構

其中克隆選擇是整個免疫系統運作的關鍵，它描述了免疫系統對抗原做出免疫響應的基本特征，抗體的產生、變異及消亡分別對應問題的解、優化及解的刪除。整個過程依據復雜的生物免疫系統原理產生，因此也具備了其自適應、自學習及魯棒性等優良特點。

對于我們要研究的DDoS攻擊檢測而言，AIS的運作原理給了我們很大啟示，在以往眾多的研究中我們發現許多技術在智能化、自適應、自學習方面的能力有所欠缺，一些核心的參數需要有經驗的專家給予指導、修正，否則很難達到預期效果，這就如同一個自身免疫缺乏的生物體一樣，必須得依靠外部給予的抗生素才能對抗隨時隨地的病菌，這樣是很危險的。同理，對DDoS攻擊乃至更多花樣層出的網絡入侵，去研究如何提高檢測系統的自適應、自學習能力顯得意義重大。

3 基于AIS的DDoS攻擊檢測策略

圖3是基于AIS的DDoS攻擊檢測體系結構圖。

圖3 基于AIS的DDoS檢測體系

當外網數據包到達時，提取數據包的特征向量，生成待定抗原，然后和抗體庫中的細胞進行匹配，抗體庫中有記憶細胞和未成熟細胞，其中記憶細胞是根據已有DDoS攻擊數據包的特征向量產生的，而未成熟細胞則是已知或未知的DDoS特征向量經歷變異后產生的新的抗體細胞，因此，抗原首先和記憶細胞進行匹配，如果匹配，則可直接認定為攻擊數據，立即采取相應措施予以阻截，如果不匹配，則再和未成熟細胞進行匹配，因為是未成熟細胞，較之記憶細胞還有很多不確定因素，因此，給匹配程度（即親和度）設定一個閥值，超過這個閥值，則認為該數據包高度危險，予以阻截，否則予以通行。其中，抗原、記憶細胞、未成熟細胞、親和度、閥值、克隆選擇算法及變異算法的設定都非常關鍵，直接影響著整個檢測系統的性能。

其中克隆選擇是整個AIS的核心，它反映了抗體群的隨機轉換過程[4]：

上述過程實際包含了兩個步驟，即克隆和變異，解空間中的一個點分裂成了qi個相同的點， 經過變異后獲得新的抗體群bi

定義：

一般取：

Nc＞n是與克隆規模有關的設定值，Int (x)表示大于x的最小整數。克隆過后，種群變為：

其中：

對于上述克隆后的抗體種群，再隨機選擇變異點，以一定的變異率Pm進行變異[5]。

按照柏松分布選擇交叉點，即

其中，X為交叉點數，這樣經過點變異后生成新的變異個體b，從而更新抗體群。

上述檢測策略已在基金項目入侵防御系統中使用，取得了較好效果。

4 結束語

目前DDoS攻擊仍是網絡基礎設施的主要威脅，給網絡的安全運營帶來了極大危害，而且由于DDoS攻擊源的隱蔽性及群體性，導致防御的難度日益增加。AIS是基于生物免疫系統的運作機理而建立的自動化智能系統，將其應用于檢測DDoS攻擊與其他技術方法相比而言體現了更為強大的自適應、自學習能力及系統魯棒性。但由于生物免疫系統本身的復雜性，還有很多技術特征未被生物學專家識別和掌握，因此，基于此建立的AIS就有更多的技術難點有待改進和突破，這也將是本研究工作今后的研究重點。

[1] 肖人彬, 王磊. 人工免疫系統-原理、模型、分析及展望[J]. 計算機學報 2002.12: 1281-1293.

[2] D. Koller, M. Sahami, Hierarchically Classifying Documents Using Very Few Words In Machine Learning[C]: Proceeding of the Fourteenth International Conference, Morgan Kaufmanm,1997, On page(s): 284-292.

[3] 周濟, 查建中, 肖人彬. 智能設計[M]. 北京: 高等教育出版社, 1998.

[4] 焦李成, 杜海峰. 人工免疫系統進展與展望[J]. 電子學報2003. 10: 1540-1548.

[5] 楊進, 劉曉潔, 李濤. 人工免疫系統中變異算法研究[J].計算機工程, 2007.9: 37-39.