一種DDoS攻擊的特征檢測(cè)與算法

【摘 要】分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)安全的重大威脅之一。傳統(tǒng)的根據(jù)流量特征來(lái)檢測(cè)拒絕服務(wù)攻擊的方法，無(wú)法適用于分布式拒絕服務(wù)攻擊的檢測(cè)。文章介紹了一種DDos檢測(cè)技術(shù)，這種檢測(cè)方法可以有效識(shí)別分布式拒絕服務(wù)攻擊。

【關(guān)鍵詞】拒絕服務(wù)攻擊；攻擊檢測(cè)；網(wǎng)絡(luò)安全

0.引言

拒絕服務(wù)攻擊（Deny of Service，DoS）曾經(jīng)使得世界上幾家著名電子商務(wù)提供商的站點(diǎn)（如雅虎、eBay、亞馬遜等）陷入癱瘓長(zhǎng)達(dá)數(shù)小時(shí)甚至數(shù)天，造成了巨大的經(jīng)濟(jì)損失。拒絕服務(wù)攻擊非常容易發(fā)起，并不像其它攻擊一樣需要有一定技術(shù)基礎(chǔ)。

拒絕服務(wù)攻擊容易實(shí)施的根本原因是TCP/IP協(xié)議的脆弱性。TCP/IP協(xié)議是因特網(wǎng)的基石，它是按照在開(kāi)放和彼此信任的群體中使用來(lái)設(shè)計(jì)的，在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素（如數(shù)據(jù)認(rèn)證、完整性、保密性服務(wù)等）。例如，網(wǎng)絡(luò)擁塞控制在TCP層實(shí)現(xiàn)，并且只能在終端結(jié)點(diǎn)實(shí)施控制，這就使得大量報(bào)文可以不受約束地到達(dá)終端結(jié)點(diǎn)；路由器可以只根據(jù)目的地址決定路由，用戶可以任意改變?cè)碔P地址，造成地址欺騙攻擊（IP Spoofing）容易實(shí)施，DoS攻擊正是利用這個(gè)弱點(diǎn)，使得DoS攻擊的真實(shí)源頭難以追蹤、DoS攻擊報(bào)文的識(shí)別異常困難[1]。

傳統(tǒng)的拒絕服務(wù)攻擊從一個(gè)攻擊源攻擊一個(gè)目標(biāo)，可以很容易地根據(jù)流量來(lái)識(shí)別[2]。但近年來(lái)，拒絕服務(wù)攻擊已經(jīng)演變?yōu)橥瑫r(shí)從多個(gè)攻擊源攻擊一個(gè)目標(biāo)的形式，即分布式拒絕服務(wù)攻擊（Distributed Deny of Service，DDoS）。DDoS呈現(xiàn)的特征與正常的網(wǎng)絡(luò)訪問(wèn)高峰非常相似，特別是攻擊者采用偽造、隨機(jī)變化報(bào)文源IP地址、隨機(jī)變化攻擊報(bào)文內(nèi)容等辦法，使得DDoS的攻擊特征難以提取，攻擊源的位置難以確定。本文將介紹一種可以有效識(shí)別DDoS攻擊的算法，這種算法通過(guò)計(jì)算新IP地址數(shù)量的變化情況，能較準(zhǔn)確地檢測(cè)出DDoS攻擊。

1.DDoS攻擊檢測(cè)技術(shù)

1.1 DDoS攻擊特征的表示

收集每個(gè)時(shí)間片△n（n=1，2，3，…）內(nèi)到達(dá)目標(biāo)系統(tǒng)的IP地址，時(shí)間片大小相同，即△1=△2=…=△n。時(shí)間片的長(zhǎng)短直接影響檢測(cè)的靈敏度，時(shí)間片選擇的越短，檢測(cè)的靈敏度越高，但是計(jì)算的負(fù)荷也越高，因此，如何選擇△n應(yīng)有一個(gè)權(quán)衡的考慮。

設(shè)定Tn表示時(shí)間片△n（n=1，2，3，…）內(nèi)出現(xiàn)的所有IP地址的集合，Dn表示時(shí)間片△n結(jié)束時(shí)刻白名單中的所有IP地址的集合。那么，Tn-Tn∩Dn就表示△n內(nèi)新出現(xiàn)IP地址的數(shù)量，顯然Tn-Tn∩Dn的大小與△n大小相關(guān)。為此，選擇Xn=■用于表示不同時(shí)間片△n內(nèi)新出現(xiàn)IP地址數(shù)量變化函數(shù)，即Xn表示時(shí)間片△n內(nèi)新IP地址占IP地址總數(shù)的比值，這樣X(jué)n的值就不會(huì)受到△n大小的影響。

顯然Xn（n=1，2，3，…）是一個(gè)隨機(jī)序列。正常狀況下（包括高峰流量狀況下）Xn是一個(gè)輕微抖動(dòng)的序列，當(dāng)發(fā)生分布式拒絕服務(wù)攻擊時(shí)，由于出現(xiàn)大量新IP地址，會(huì)引起Xn劇烈抖動(dòng)（圖1）。

圖1 Xn在m時(shí)刻出現(xiàn)劇烈抖動(dòng)

給定隨機(jī)序列X■，假設(shè)在m時(shí)刻發(fā)生了DDoS攻擊，則X■會(huì)呈現(xiàn)圖3所示的趨勢(shì)，即Xn在m時(shí)刻會(huì)陡然上升，X■的期望值會(huì)從α上升到α+h。由此，隨機(jī)序列X■可以表示為：

Xn=α+？孜nI（n

？孜=？孜n■■，η=ηn■■，并且E（？孜n）=E（ηn）=0，h≠0，？孜，η即都是期望值為0的隨機(jī)序列，I（x）是指示函數(shù)，即當(dāng)x為真時(shí)I（x）等于1，否則等于0。

在網(wǎng)絡(luò)正常狀況下，當(dāng)n

為此，令Zn=Xn-β，a=α-β<0

則Zn表示為：Zn=a+？孜nI（n

這樣，Zn就符合了要求。

圖2 Zn序列的抖動(dòng)

令yn=Sn-■Sk，其中Sk=∑■■Zi，S0=0

為了計(jì)算方便，yn的遞歸表達(dá)式為：yn=（yn-1+Zn）+，y0=0

其中函數(shù)y=x+=x，x>00，x≤0

yn可以明顯反映出X■的變化情況（圖4），在m時(shí)刻yn呈現(xiàn)上升趨勢(shì)。因此，可以設(shè)定閾值N，當(dāng)yn大于N時(shí)，就可認(rèn)為發(fā)生了DDoS攻擊。

2.結(jié)束語(yǔ)

本文探討了拒絕服務(wù)攻擊中最為難以防護(hù)的DDoS攻擊的特征及檢測(cè)算法，通過(guò)計(jì)算新IP地址數(shù)量的變化情況，能較準(zhǔn)確地檢測(cè)出DDoS攻擊。

【參考文獻(xiàn)】

[1]Jelena Mirkovic， Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http：//www.lasr.cs.ucla.edu/ddos/，2002.

[2]Michael Glenn.A Summary of DoS/DDoS Prevention， Monitoring and Mitigation Techniques in a Service Provider Environment[EB/OL].http：//www.sans.org/reading_

room/whitepapers/ intrusion/，2003.

[3]R.Needham，Denial of Service ：An Example[C].Communications of ACM volume 37， November 1994.

[4]Dittrich， Dave.Distributed Denial of Service （DDoS） Attacks/tools[EB/OL].http：//staff.washington.edu/dittrich/misc/ddos/，2003.

[5]Tao Peng，Christopher Leckie，Kotagiri Ramamohanarao.Proactively detecting dist

ributed denial of service attacks using source IP address monitoring[C].Third Intern

ational IFIP-TC6 Networking Conference.Berlin：Springer，2004.771-782.