基于統計特征的SYN Flood檢測方法

劉云+何翼

摘 要：SYN Flood是當前最流行的拒絕服務（DoS）與分布式拒絕服務（DDoS）攻擊方式。從構造一個SYN攻擊報文的角度分析，SYN Flood攻擊會引起網絡中基于IP地址、標志位、端口號、序列號的統計特征異常，因此提出一種基于統計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列中獲取半連接信息，從全連接隊列中獲取IP地址存入BloomFilter中，再分別提取其統計特征，最后使用LMBP神經網絡得到檢測結果。實驗結果表明該算法與其他算法相比具有更好的檢測效果。

關鍵詞：SYNFlood檢測；統計特征；BloomFilter；LMBP神經網絡

中圖分類號：TP393 文獻標識碼：A

Abstract：As the most popular attack method of denial of service （DoS） and distributed denial of service （DDoS），SYN Flood attack will cause some statistical properties abnormalities in the IP address，the TCP flag，the port number and the serial number from the perspective of constructing a SYN packet.Therefore，a SYN Flood attack detection method is proposed in this paper.Firstly，the method acquires half connection information from the half-connection queue，obtains IP addresses from the whole connection queue and puts them in Bloom Filter，then individually extracts statistical properties based on IP addresses，and finally determines whether SYN Flood attack happens by using LMBP neural networks.Experimental results show that the method could improve the effectiveness of detection.

Keywords：SYN flood detection；statistical properties；bloom filter；LMBP neural network

1 引言（Introduction）

SYN Flood是當前最流行的拒絕服務（DoS）與分布式拒絕服務（DDoS）攻擊方式之一，也是一種非常流行的利用協議漏洞的資源匱乏型攻擊，它對網絡破壞力驚人[1]。因SYN Flood攻擊技術操作方便、容易達到目的、更難于防范和追查，越來越成為黑客最常使用的網絡攻擊方式之一[2]。它主要利用TCP協議三次握手缺陷和IP欺騙技術，向目標服務器發送大量帶有偽造IP地址的SYN報文，使目標服務器的TCP半連接隊列被迅速占滿而不能及時釋放，造成無法建立正常的TCP連接，從而導致拒絕服務。

由于完整的TCP連接包括連接的建立和終止兩個過程，在這些過程中SYN報文、ACK報文、SYN/ACK報文、FIN報文、RST報文的數量具有一定對稱性。目前，針對SYN Flood攻擊的檢測技術主要根據這種對稱性是否被破壞，以判斷網絡中是否存在SYN Flood攻擊[3]。另外，提出一種基于重尾特性的SYN Flood檢測方法，該方法將SYN報文的比重與流量的重尾特性相結合提高檢測的正確率[4]。在攻擊者發動SYNFlood攻擊時，如果有意傳送對等的SYN/ACK報文、ACK報文、RST報文、FIN報文、FIN/ACK報文，上述檢測方法將失去作用。

2 SYNFlood攻擊特征分析（SYN flood attack feature

analysis）

本文從構造一個SYN攻擊報文的角度分析，SYN Flood攻擊會引起網絡中基于IP地址、標志位、端口號、序列號的統計特征異常。據此，提出一種基于統計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列中獲取半連接信息，從全連接隊列中獲取IP地址存儲到BloomFilter中，再分別提取基于IP地址、標志位、端口號、序列號的統計特征，最后使用LMBP算法得到檢測結果。

根據SYN Flood攻擊原理得知，攻擊端在發動攻擊使需要大量構造SYN報文，而構造一個完整的SYN攻擊報文不僅需要在網絡層偽造IP地址，而且在傳輸層偽造源端口號、目的端口號、序列號[5]。為了快速檢測出SYN Flood攻擊和新型防檢測的攻擊形式，本文將從IP地址、TCP半連接隊列、端口號、序列號、標志位五個角度進行特征分析。

（1）IP地址

數據顯示，在正常網絡中大約82.9%IP地址出現過；當網絡中存在SYN Flood攻擊時，只有0.6%—14%的IP地址是從前出現過。這是SYN Flood攻擊帶給IP地址的第一個統計特征。另外，當SYN攻擊報文中IP地址為固定值時，IP地址的統計特征將呈現聚集趨勢；當SYN攻擊報文中IP地址為隨機值時，這時IP地址的統計特征呈現發散趨勢。這是SYN Flood攻擊帶給IP地址的第二個統計特征。

（2）端口號

當構造SYN攻擊報文時，源端口號/目的端口號為固定值時，使得源端口號/目的端口號統計特征呈現聚集趨勢；當構造SYN攻擊報文時，源端口號/目的端口號為隨機值時，使得源端口號/目的端口號統計特征呈現發散趨勢。

（3）序列號

與端口號相似，當構造SYN攻擊報文時，報文的序列號也存在固定值和隨機值，也會導致序列號的統計特征也呈現聚集或發散趨勢。

（4）標志位

根據TCP/IP協議，與TCP連接相關的標志位主要為ACK、RST、SYN、FIN。在TCP連接正常建立和終止過程中，網絡中這些標志位的報文數量存在一定對稱性。然而，當網絡中存在SYNFlood攻擊時，這種數量上的對稱性將遭到破壞。

需要注意的是當惡意攻擊者在大量發送SYN報文的同時，向目標服務器發送相應數量的SYN/ACK報文、ACK報文、RST報文、FIN報文、FIN/ACK報文時，會促使目前大多數SYN Flood檢測技術失去作用。針對這種新型防檢測的SYN Flood攻擊，需要嚴格按照報文的源地址和目的地址進行報文統計分析。

（5）TCP半連接隊列

由SYN Flood攻擊原理可以看出，攻擊的最終目的是耗盡TCP半連接隊列，從而導致拒絕服務。因此，TCP半連接隊列是SYN Flood攻擊最根本目標，也能最直接、準確反應出SYN Flood攻擊的存在。

3 基于統計特征的檢測算法（Detection algorithm

based on statistical features）

該算法主要分為獲取TCP連接信息、提取統計特征、檢測攻擊三個部分。第一部分主要從半連接隊列和全連接隊列中獲取所需的連接信息。第二部分根據第一部分的連接信息，提取半連接隊列長度、IP地址、標志位、源端口號、目的端口號、序列號的統計特征。第三部分，根據第二部分的統計特征，通過BP神經網絡判斷網絡中是否存在SYN Flood攻擊。

3.1 獲取TCP連接信息

為了根據上述統計特征快速檢測到SYN Flood，需要從半連接隊列提取半連接信息，從全連接隊列中提取已經建立連接的IP地址庫。本文分別采用以下兩種策略提取連接信息。

（1）基于集合方式提取半連接信息

為了避免頻繁訪問半連接隊列造成消耗過多的CPU和內存資源，本文采用周期性提取半連接隊列中信息。同時，為了方便對半連接隊列的快速處理，每間隔時間t將半連接隊列中狀態信息提取到狀態集合Sett中，其中集合定義如下：

4 實驗與結果（Experiment and results）

為了最大限度模仿互聯網環境和檢測本文方法的有效性，選擇貴陽學院論壇作為實驗對象，該論壇運行于Linux服務器上，面向全校師生開放，具有很高的訪問量。

4.1 獲取樣本數據

由于BP神經網絡在應用于檢測之前必須學習，因此需要采集一定數量的半連接信息和全連接信息用于訓練模型。

（1）獲取半連接信息樣本

為了采集無SYN Flood攻擊的網絡流量數據，收集了該論壇24小時的正常流量信息。在服務器上每間隔5分鐘從半連接隊列提取一次半連接信息存入MySQL數據庫中。這樣共采集到288條無SYN Flood攻擊的樣本數據。

為了獲取帶有SYN Flood攻擊的網絡流量數據，首先分別采用固定和隨機的IP地址、端口、序列號組裝SYN攻擊報文，再采用不同的速率向服務器發送這些攻擊報文，最后在論壇服務器采集半連接信息。與采集無SYN Flood攻擊的流量一樣，在服務器上每間隔5分鐘從半連接隊列中提取一次半連接信息存入MySQL數據庫中，持續12小時，共得到144條含SYN Flood攻擊的樣本數據。

（2）獲取全連接信息樣本

Netfilter是從Linux2.4版本之后提供的一個通用防火墻框架，該框架在報文流經的幾個關鍵點定義了大量HOOK，以方便用戶注冊鉤子函數，實現對報文的自定義處理。NF_IP_LOCAL_IN是Netfilter在報文流入防火墻網絡層處定義的HOOK。在NF_IP_LOCAL_IN處可以增加自定義處理，判斷報文的類型，若是ACK報文則提取IP地址存入BloomFilter中。為了保證全連接信息與半連接信息同步匹配，在采集半連接信息的同時，將BloomFilter瞬時狀態存入的MySQL數據庫中。

4.2 實驗結果與分析

本文選取2/3無SYN Flood攻擊的樣本和存在SYN Flood攻擊的樣本作為訓練數據，剩余的1/3樣本用于驗證本文方法的有效性。訓練中將LMBP神經網絡的輸出resultt分為兩類：區間[0，0.5]為正常態，即不存在SYN Flood攻擊；區間（0.5，1]為攻擊態，即存在SYN Flood攻擊。

為了驗證本文方法的有效性，本文選擇檢測的誤報率和漏報率作為評價標準，并與基于TCP緩存的檢測方法[6]、基于狀態防火墻的檢測[7]、基于輕量級檢測和混合連接策略的SYN Flood防御方法[8]，各種方法的檢測結果如表1所示。

通過表1可以看出，本文檢測方法相對于其他兩種方法無論是在誤報率還是在漏報率方面均有不同程度的降低。通過以上實驗結果可以看出，本文提出的檢測方法相對于已有的SYN Flood攻擊檢測方法具有更好的檢測效果。

5 結論（Conclusion）

針對分布式SYN Flood攻擊會引起網絡中基于IP地址、標志位、端口號、序列號的統計特征發生異常。本文提出一種基于統計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列和全連接隊列中獲取連接信息，再分別提取基于IP地址、標志位、端口號、序列號的統計特征，最后使用LMBP算法得到檢測結果。實驗結果表明該算法具有較好的檢測效果。下一步的工作是研究如何將此檢測方法與防御策略結合適用，以提高防御效果。

參考文獻（References）

[1] MING Yu.An Adaptive Method for Source-End Detection of Pulsing Dos Attacks[J].International Journal of Security and Its Applications，2013，7（5）：279-288.

[2] MITKO B.Analysis of the SYN Flood Dos Attack[J].I.J.Computer Network and Information Security，2013，8（1）：1-11.

[3] Behrouz A.Forouzan.TCP/IP Protocol Suite，Fourth Edition[M].Beijing：Tsinghua University Press，2014.

[4] 許曉東，楊海亮，朱士瑞.基于重尾特征的SYN洪流檢測方法[J].計算機工程，2008，34（22）：179-181.

[5] 陶建喜，等.非對稱路由環境下SYN flood攻擊防御方法[J].通信學報，2013，8（34）：285-291.

[6] 胡鴻，袁津生，郭敏哲.基于TCP緩存的DDoS攻擊檢測算法[J].計算機工程，2009，35（16）：112-114.

[7] 劉云.基于Linux平臺的新的SYN Flood防御模型研究[J].計算機科學，2013，11A：210-213.

[8] 劉云.基于輕量級檢測和混合連接策略的SYN Flood防御方法[J].計算機應用與軟件，2016，11（33）：310-313.

作者簡介：

劉 云（1981-），女，碩士，副教授.研究領域；網絡安全.

何 翼（1981-），女，碩士，副教授.研究領域：無線傳感網絡.