基于cusum算法的DDOS攻擊檢測*

劉　淵　陳志文　殷明勇　李玲玉

(1.中國工程物理研究院計算機(jī)應(yīng)用研究所　綿陽　621900)(2.華中科技大學(xué)計算機(jī)學(xué)院　武漢　430074)

?

基于cusum算法的DDOS攻擊檢測*

劉淵陳志文殷明勇李玲玉

(1.中國工程物理研究院計算機(jī)應(yīng)用研究所綿陽621900)(2.華中科技大學(xué)計算機(jī)學(xué)院武漢430074)

摘要分布式拒絕服務(wù)攻擊(DDOS)被稱為“黑客的終極武器”,因為其攻擊手法簡單且攻擊效果好。攻擊者通過控制大量的傀儡機(jī)同時發(fā)送無用數(shù)據(jù)以消耗受害者的主機(jī)和網(wǎng)絡(luò)資源來達(dá)到攻擊的目的。而且,攻擊者為了逃避入侵檢測IDS和防火墻,采用了IP欺騙和仿造合法流量等手段,使得對DDOS的防范顯得越來越困難。DDOS攻擊對互聯(lián)網(wǎng)產(chǎn)生了重大的影響,該文用cusum算法計算新增IP地址數(shù)量或者數(shù)量包的個數(shù),其超過門限值,則判斷為DDOS攻擊。數(shù)據(jù)經(jīng)過yaf和silk收集過濾得來。

關(guān)鍵詞DDOS攻擊; cusum算法; IP地址; 檢測

Class NumberTP393.08

1DDOS簡介

安全的三要素為“保密性”、“完整性”和“可用性”。拒絕服務(wù)攻擊(Denial of Service，DOS)所針對的目標(biāo)是服務(wù)的“可用性”。這種攻擊方式利用目標(biāo)系統(tǒng)的網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗系統(tǒng)資源(主要是網(wǎng)絡(luò)資源),使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。

分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDOS)指攻擊者操縱多臺客戶端(稱為肉雞或傀儡機(jī)),聯(lián)合起來對一個或多個目標(biāo)發(fā)動流量攻擊(同時攻擊或按一定策略攻擊),由于控制的主機(jī)數(shù)量龐大,匯集到被攻擊目標(biāo)網(wǎng)絡(luò)的攻擊流量十分巨大,足以將Internet上任何網(wǎng)絡(luò)站點(diǎn)淹沒,造成被攻擊目標(biāo)停止網(wǎng)絡(luò)服務(wù)。

DDOS攻擊按照協(xié)議層次分為基于網(wǎng)絡(luò)傳輸協(xié)議攻擊和基于應(yīng)用層的攻擊。UDP FLOOD,SYN FLOOD,Ping/ICMP FLOOD等屬于傳輸協(xié)議的攻擊。而HTTP FLOOD,TCP連接耗盡攻擊、DNS FLOOD等都屬于基于應(yīng)用層的攻擊。

如圖1所示。

圖1　攻擊類型

2DDOS檢測

將cusum應(yīng)用于隨機(jī)序列{Zn}有兩個必要條件,一是隨機(jī)變量之間的依賴性隨著時間增長而下降,而是隨機(jī)變量的值是有限的。由于Zn是由因特網(wǎng)業(yè)務(wù)衍生的,而因特網(wǎng)長程依賴過程非常普遍,{Zn}的抽樣之間的依賴性會隨著間隔的增長而衰減,又由于0≤Xn≤1,Zn=Xn-β,其中β是有限的常數(shù),Zn的值也是有限的,因此檢測變量Zn可以很容易地滿足這兩個必要條件。

DDOS攻擊檢測系統(tǒng)有兩個關(guān)鍵的測量參數(shù),第一個是錯誤告警速率,第二個是檢測時間。然而,這兩個參數(shù)是相互矛盾的,很難再縮短檢測時間的同時降低錯誤告警速率,因此,必須要在這兩個標(biāo)準(zhǔn)之間進(jìn)行折衷。cusum在使檢測時間最小和降低錯誤告警速率方面可以說是最佳的。

根據(jù)前面的分析,檢測時間τN和變化發(fā)售的標(biāo)準(zhǔn)化檢測時間ρN可以定義為如下:

τN=inf{n:dN(·)=1}

(1)

其中inf代表下確界,m代表攻擊的開始時間。

攻擊過程ρN和實(shí)際增長的h的較低邊界之間的關(guān)系可以用下式來描述:

(2)

其中a(a<0)是正常運(yùn)轉(zhuǎn)中{Zn}的均值,{h-|a|}是當(dāng)攻擊發(fā)生時{Zn}均值較低邊界。

通過選擇最佳參數(shù)β和N就可以實(shí)現(xiàn)低告警速率和短檢測時間。β用來將{Xn}偏移到{Zn},在正常運(yùn)轉(zhuǎn)中它具有一個負(fù)的平均值a,選擇的β越大,在{Zn}中出現(xiàn)正值的可能性就越小,因此,測試統(tǒng)計yn累積到一個較大的值來顯示攻擊的可能性就越小。N是yn的攻擊門限,N可以由a和h來決定,而且β=α+|a|,從而,如果a(正常運(yùn)轉(zhuǎn)中{Zn}的均值)和h(攻擊中實(shí)際增長的低界)給定,那么β和N也確定了。

a和h可以根據(jù)網(wǎng)絡(luò)環(huán)境需要來設(shè)置(例如,當(dāng)在靠近主機(jī)的路由器時,可以簡單的選擇|a|=0.05,h=0.1)，根據(jù)a和h,可以確定β,Xn的上界和檢測門限N:首先,可以確定γ,它可以反過來用來估計ρN,接著,根據(jù)需要的檢測時間,就可以得到N。可以通過β=α+|a|來計算。

首先創(chuàng)建合法IP地址數(shù)據(jù)庫的,并通過增加新的合法IP地址和刪除過期IP地址的方法來保持?jǐn)?shù)據(jù)庫的更新。用一個hash表來記錄出現(xiàn)在當(dāng)前時間段內(nèi)的IP地址,每個hash表項包含兩個字段:IP包的數(shù)量和對于這些IP地址的最近包的時間,通過將hash表的當(dāng)前計數(shù)與數(shù)據(jù)庫相比較,就可以計算出在這一時間段中出現(xiàn)了多少新的IP地址。然后根據(jù)根據(jù)上面分析的計算,如果每一IP地址的數(shù)目大于某一門限值,就會設(shè)置警告來表明發(fā)生了DDOS攻擊。

3實(shí)驗及結(jié)果分析

本文采用以未受到攻擊的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)為背景流,同時用TFN發(fā)起SYN flooding攻擊,將他們的混合數(shù)據(jù)流作為實(shí)驗測試數(shù)據(jù),并且在數(shù)據(jù)庫中設(shè)置兩個IP地址為合法IP地址,其他地址為非法IP地址。進(jìn)行兩次攻擊,第一次多個IP地址發(fā)起訪問,第二次,幾個IP地址發(fā)起多個數(shù)據(jù)攻擊包。

本文的數(shù)據(jù)通過數(shù)據(jù)采集器端使用yaf和silk軟件進(jìn)行采集并分析。其中,yaf主要用來采集,將網(wǎng)絡(luò)流轉(zhuǎn)換為IPFIX流文件,交由silk工具轉(zhuǎn)變?yōu)樵碔P地址、目的IP地址、源端口、目的端口、協(xié)議五元組相同的數(shù)據(jù)包組成的silk流文件。可以用silk工具的rwfilter命令進(jìn)行參數(shù)過濾。本實(shí)驗中需要的數(shù)據(jù):其一,某一IP地址某一時段獲取到其IP數(shù)據(jù)包,其二,可以獲取到某一時間段內(nèi)出現(xiàn)的IP地址。

獲取到某一些間隔時段出現(xiàn)的IP地址,比對數(shù)據(jù)庫表中存在的合法IP,利用cusum算法,得到間隔時間內(nèi)的新IP個數(shù)占總數(shù)的百分比作為{Xn},在知道其未發(fā)生攻擊的情況,即Zn是小于零的,確定a和h,得到一個門限值N1和β1,在間隔時間內(nèi)新IP地址發(fā)送的數(shù)據(jù)包的個數(shù)占總量的百分比為{Xn},在知道其未發(fā)生攻擊的情況,即Zn是小于零的,確定a和h,得到一個門限值N2和β2。

發(fā)起兩次攻擊,每一次攻擊都利用上面的N1和β1,N2和β2,用cusum進(jìn)行計算出是否發(fā)生了攻擊。如果每一IP地址的數(shù)目大于某一門限值,就會設(shè)置警告來表明發(fā)生了DDOS攻擊,或者某一IP地址的發(fā)送包數(shù)目超過了門限值,則也認(rèn)為發(fā)起了DDOS攻擊。

在實(shí)驗過程中得到的E(Xn)幾次的期望模擬出來的圖2,可以看出在受到攻擊的時候,E(Xn)是比較高的,其他在未收到攻擊時E(Xn)=α?1。

圖2　期望值

4結(jié)語

為了規(guī)避DDOS造成的后果,盡早識別DDOS攻擊并采取相應(yīng)的對策是十分重要的。DDOS的檢測主要作用在于: 1) 監(jiān)視并檢測網(wǎng)絡(luò)安全狀況; 2) 識別出攻擊者; 3) 為以后防御DDOS攻擊提供重要的信息。因此,DDOS攻擊檢測是有必要的。

本文中用cusum算法來判斷當(dāng)前網(wǎng)絡(luò)是否出現(xiàn)DDOS攻擊。隨著網(wǎng)絡(luò)的發(fā)展,DDOS攻擊也日益呈現(xiàn)出復(fù)雜性、多變性、范圍廣、追蹤難等特征。但是每一種DDOS可能在有限工作條件和處理范圍內(nèi)有作用,缺乏稍微高效的檢測方案。此外,當(dāng)前檢測系統(tǒng)所面臨的高效檢測、高速網(wǎng)絡(luò)中攻擊檢測、特征模式的確認(rèn)、攻擊標(biāo)準(zhǔn)化描述語言等問題有待于進(jìn)一步研究。

參 考 文 獻(xiàn)

[1] J. D. Meier, Alex, Mackma. 《Improving Web Application Security》.

[2] TAKADA H H, HOFMANN U. Application and analyses of cumulative sum to detect highly distributed denial of service attacks using differnt attack traffic patterns[EB/OL].

[3] 陳偉,何炎祥,彭文靈.一種輕量級的拒絕服務(wù)攻擊檢測方法[J].計算機(jī)學(xué)報,2006,29(8):1392-1400.

CHEN Wei, HE Yanxiang, PENG Wenling. A light-weight detection method against DDoS attack[J]. Chinese Journal of Computer,2006,29(8):1392-1400.

[4] 嚴(yán)芬,黃皓,殷新春.基于CTPN的復(fù)合攻擊檢測方法研究[J].計算機(jī)學(xué)報,2006,29：1383-1391.

YAN Fen, HUANG Hao, YAN Xinchun. research. Composite CTP-based attack detection method[J]. Journal of Computers,2006,29：1383-1391.

[5] 孫知信,唐益慰,程媛.基于改進(jìn)CUSUM算法的路由器異常流量檢測[J].軟件學(xué)報,2005,16(12):2117-2123.

SUN Zhixin, TANG Yiwei, CHENG Yuan. Router anomaly traffic detection based on modified-CUSUM algorithms[J]. Journal of Software,2005,16(12):2117-2123.

[6] MOORE D, VOELKER G, SAVAGE S. Inferring internet denial of service activity[C]//Proceedings of USENIX SecuritySymposium,2001.

[7] WANG H, ZHANG D, SHIN K G. Detecting SYN flooding attacks[C]//Proceedings of the Annual Joint Conference of the IEEE Computer Society and Communications Society(INFOCOM). New York, NY, USA,2002:1530-1539.

[8] 林白,李鷗,趙樺.基于源端網(wǎng)絡(luò)的SYN Flooding攻擊雙粒度檢測[J].計算機(jī)工程,2005,31(10):132-134.

LIN Bai, LI Ou, ZHAO Hua. Double-granularity detection against SYN flooding attacks at source-end networks[J]. Computer Engineering,2005,31(10):132-134.

[9] 林白,李鷗,劉慶衛(wèi).基于序貫變化檢測的DDoS攻擊檢測方法[J].計算機(jī)工程,2005,31(9):135-137.

LIN Bai, LI Ou, LIU Qingwei. DDoS attacks detection based on sequential change detection[J]. Computer Engineering,2005,31(9):135-137.

[10] 賴海光.并行入侵檢測技術(shù)研究[D].南京:南京大學(xué)計算機(jī)科學(xué)與技術(shù)系博士學(xué)位論文,2006.

LAI Haiguang. Researches on Parallel Intrusion Detection Technology[D]. Nanjing: Department of Computer Science and Technology, Nanjing University,2006.

[11] BASSEVILLE M, NIKIFOROV I V. Detection of Abrupt Changes: Theory and Application[M]. New York： Prentice Hall,1993.

[12] Li L, LeeGInternational DDoS Attack Detection and Wavelets[C]//Proceedings of the Conference on Computer Communications and Networks(ICCCN’2003). Dallas, Texas, USA: IEEE Press,2003:421-427.

[13] BASS T, GRUBER D. A glimpse into the future of id[EB/OL]. (1999-11-16) [2007-04-20]. http://www.usenix.org/pub-lications/login/1999-9/features/future.htm.L

[14] ALTAHER A, RAMADSS S, ALMOMANI A. Real time nework anomaly detection using relative entropy[C]//Proc of the 8th International Conference on High- Capacity Optical Networks and Emerging Technologies.[S.l.]: IEEE Press,2011:258-260.

[15] http://www.cert.org.cn/UserFiles/File/2014.pdf.

[16] Ms ZADE A R, Dr PATIL S H. A survey on various defense mechanisms against application layer distributed denial of service attack[J]. International Journal on Computer Science and Engineering,2011,11(3):3558-3563.

[17] RANJAN S, SWANINATHAN R, UYSAL M, et al. DDoS-shield: DDoS-resilient scheduling to counter application layer attacks[J]. IEEE/ACM Trans on Networking,2009,17(1):26-39.

[18] GAVRILIS D, CHATZIS I, DERMATAS E. Flash crowd detection using decoy hyperlinks[C]//Proc of IEEE International Conference on Networking, Sensing and Control,2007:466-470.

[19] YATAHAI T, ISOHARA T, SASASE I. Detection of HTTP- GET flood attack based on analysis of page access behavior[C]//Proc of IEEE Pacific Rim Conference on Communications, Computers and Signal Processing,2007:232-235.

[20] URCI K W. Visualizing netflows for security at line speed: the SI FT tool suite[C/OL]//19thUsenix L arge Installation System Adm inistration Conference( LISA), San Diego, 2005. http://www.usenix.org/events/lisa05/tech/full_papers/yurcik/yurcik.pdf.

DDOS Attack Detection Based on Cusum Algorithm

LIU YuanCHEN ZhiwenYIN MingyongLI Lingyu

(1. Institute of Conputer Application, China Academy of Engineering Physics, Mianyang621900)(2. School of Computer Science, Huazhong University of Science and Technology, Wuhan430074)

AbstractDistributed denial of service(DDOS) attacks are called “hackers ultimate weapon ” because of their simple and good methods of attack attack effect. An attacker sends garbage at the same time by controlling a large number of puppet machine to consume the victim host and network resources to achieve the purpose of the attack. Moreover, in order to escape an attacker intrusion detection IDS and firewall, IP spoofing and imitation means legitimate traffic, etc. are used to make DDOS prevention becomes more and more difficult. DDOS attacks on the Internet have had a significant impact, cusum algorithm is used to calculate the number of IP addresses new number or the number of packets. If it exceeds the threshold value, it is judged DDOS attack. Data is collected by the tool which called yaf and silk.

Key WordsDDOS attacks, cusum algorithm, IP address, detection

* 收稿日期:2015年11月21日,修回日期:2015年12月30日

作者簡介:劉淵,男,碩士,高級工程師,研究方向:信息安全。陳志文,男,碩士,高級工程師,研究方向:網(wǎng)絡(luò)信息安全。殷明勇,男,碩士,工程師,研究方向:計算機(jī)網(wǎng)絡(luò)和信息安全。李玲玉,女,碩士,研究方向:計算機(jī)技術(shù)和信息安全。

中圖分類號TP393.08

DOI:10.3969/j.issn.1672-9722.2016.05.033