DDoS攻擊檢測綜述

張興銳 高小明 李家興

摘 要： 隨著網絡業務與用戶數不斷增多，網絡安全問題日益突出。DDoS攻擊作為一種嚴重威脅網絡安全的攻擊方式，給網絡帶來了極大的危害。本文對近年的DDoS攻擊檢測技術進行了收集比較，分析了各類檢測方法的運用場景和其各自的優缺點。最后指出， DDoS攻擊防御不僅需要技術上的提升，也需要普通用戶提高網絡安全意識。

關鍵詞： DDoS攻擊檢測；基于位置檢測；時間序列；機器學習

1 引言

隨著計算機技術的持續發展，上網的用戶數量在不斷增多，網絡安全也越來越受到重視。分布式拒絕服務（DDoS）攻擊是當前非常普遍且嚴重威脅網絡安全的一種攻擊方式，給人們和社會經濟帶來了重大損失。據 統計，2000年2月，包括雅虎、CNN、亞馬遜、e-Bay、ZDNet等網站均遭受到了DDOS攻擊，并致使部分網站癱瘓。2018年2月，著名面向開源及軟件項目的托管平臺Github遭遇了可能是迄今為止最大的 DDoS 攻擊，最高訪問量為 1.35Tbps，導致其經歷了兩次間歇性不可訪問。多次的攻擊事件表明，對DDoS攻擊的檢測和防御研究具有重要的理論意義和實際研究。

2 DDoS攻擊簡介

2.1 分布式拒絕服務攻擊

拒絕服務攻擊（DoS）也稱洪水攻擊，從廣義的角度上講，任何通過合法方式使目標電腦的網絡或系統資源耗盡，從而無法向用戶提供正常服務的攻擊方式均屬于DoS攻擊范疇。DDoS攻擊是攻擊者利用大量傀儡計算機對攻擊目標發動大量的正常或非正常請求，從而耗盡目標主機資源，最后使受攻擊主機無法正常運行或提供服務。

2.2 DDoS攻擊分類

DDoS攻擊大體可分為兩類：資源耗盡型攻擊和帶寬攻擊。

2.2.1 資源耗盡型攻擊

資源耗盡型攻擊是利用協議和系統漏洞進行攻擊。常見的攻擊方式包括TCP SYN攻擊、PUSH ACK等。下面以SYN為例進行說明：攻擊者利用TCP的三次握手機制，向受害主機發送大量的TCP-SYN分組。受害主機收到請求后需要對各個SYN進行ACK應答，但是攻擊者常常采用了偽源地址進行攻擊，所以受害主機的ACK分組自然得不到應答，受害主機將保持這樣的半開狀態直到握手完成或者計時器超時為止（一般來說，這個超時設定時間是分鐘數量級別的，但隨著操作系統的不同而不同，大約在30秒到2分鐘），受害主機在未收到請求主機的ACK報文情況下會不斷的發送SYN-ACK給偽地址主機直到超時后才會丟棄本次連接。上述過程描述了單個攻擊報文到達時，受害主機通常會進行的操作，當大量的攻擊報文同時到達時，受害主機就會因為維持了大量的半開連接而導致主機的CPU和內存耗盡進而無法向正常用戶提供服務。

2.2.2 帶寬耗盡型攻擊

帶寬耗盡型攻擊又分為直接型洪流攻擊和反射性洪流攻擊。

直接洪流攻擊是攻擊者向受害主機發送大量的無用數據包（如TCP洪流攻擊、UDP風暴攻擊和ICMP洪流攻擊）從而占用受害主機的大量網絡帶寬，進而讓受害者無法響應合法的數據包。

反射攻擊是一種間接攻擊，攻擊者將攻擊分組的源地址設置為受害主機的地址，并將這些攻擊分組廣播到網絡中，由于網絡中的路由設備并不知道這些分組是經過偽裝的攻擊分組，它們均將這些分組的響應分組發往受害主機，大量的回應消息會占用受害者的大量帶寬，從而使受害主機無法響應正常用戶請求。這些網絡中的路由器被稱為反射節點。

3 DDoS檢測方法

3.1 按照檢測位置分類

在DDoS檢測防護方面，我們根據其部署的位置，分為基于源端網絡的檢測、基于中間網絡檢測和基于目的端網絡檢測。

3.1.1 基于源端網絡檢測

基于源端網絡的檢測是把DDoS檢測算法部署在發出攻擊數據包的主機附近。由于大部分DDoS攻擊中，攻擊者都會通過偽源IP進行攻擊，據此，文獻[1] 利用了Patricia樹的匯聚方法檢測DDoS攻擊。文獻[2]通過檢測所有進出本機的數據幀（去掉廣播和組播數據幀）相應的源端IP和目的IP，如果兩者中沒有本機的IP地址，則說明存在偽源IP的數據包，那么該數據幀很有可能是偽造的DDoS攻擊流。文獻[3]利用布隆過濾器結構對出入不同接口的數量進行簡單計算，然后用無參數Cumulative Sum方法進行檢測。

基于源端網絡的檢測是最為理想的一種檢測方法，其優點主要有：1.可在源端一直攻擊數據包，有效地降低了因攻擊數據流而造成的網絡資源浪費。2.由于這類檢測方法部署在攻擊源網絡，所以較容易地追蹤攻擊源，同時也能夠減少對于合法數據流的誤丟棄。

3.1.2 基于中間網絡的檢測

基于中間網絡的DDoS攻擊檢測是指將攻擊DDoS檢測算法部署在整個攻擊網絡的中間部分。文獻[4]首先對網絡中的路由器以時間△t對網絡流F進行采樣；然后分別計算出源地址、目的地址、目的端口均相同的數據包的時間序列。當時間間隔足夠大時，計算自相關系數 其中ai為k個△t時間內a的序列。a為a的數學期望；βk為自相關系數。當計算得到自相關系數不為0時，可以認為發生了DDoS。

3.1.3 目的端網絡檢測

基于目的端網絡檢測技術是把DDoS檢測算法部署在被攻擊者主機附近。文獻[5]提出了一種用于受害機所在網絡的DDoS預防方案。該方案表明可在每個可能遭受攻擊的服務器的上游路由器中設置流量閾值，將超過閾值的流量包進行丟棄或者路由到其他服務器。文獻[6]利用數據包從源端到達目的端所需要的跳數是固定的這一特征，建立一張源地址和跳數相對應的表。由于偽造地址和正常源地址數據包包頭中的TTL值是不同的，所以通過查表可以找到經過偽造的數據包。

基于目的端網絡的檢測方法是目前應用最多的攻擊檢測方法。其優點主要在于：檢測算法部署在被攻擊一側，可以容易根據服務器性能異常降低或不正常的高流量等指標確定是否發生了攻擊。

3.1.4 三種部署位置檢測各項指標的比較

三種部署位置的比較如下表1：

表1 三種部署位置各項指標比較

3.2按照檢測算法分類

3.2.1基于時間序列的檢測

傳統的檢測方法主要有特征匹配、源IP地址追蹤和計算TCP包的標志位比率等方法等。但是這類方法沒有考慮時間因素與攻擊之間的關聯。文獻[7]利用自回歸模型分析網絡流量序列的變化，通過比較參考滑動窗口和測試滑動窗口的似然率變化來檢測不同時間點的攻擊流量。另外，在DDoS網絡攻擊中，由于流量常在某個時間段內發生突變以至于超過某個限定值，所以閾值檢測是一種非常常用的方法，文獻[8]提出了一種指數加權移動平均算法EWMA，對網絡流量的歷史數據分配不同的權值，以表示近期數值影響較遠期數值影響更大一些。基本公式為：st=axt+（1-a）st-1，其中st表示第t期的流量平滑值，a表示平滑系數，x表示第t的實際流量觀察值。相較于靜態閾值檢測，文獻[9]提供的方法不需要過多人為干預，靈活性高。提出一種綜合反映DDoS攻擊特征的IP流特征的檢測算法（包括DDoS攻擊流的非對稱性、突發性、源IP地址分布和目標IP地址集中性），其基本思想在于采用IP流特性觀察值來預測未來值，當檢測到實際觀察值與預測值相差較遠就認為發生了DDoS攻擊。

3.2.2基于機器學習的檢測

隨著人工智能的火熱，機器學習引起了人們的廣泛關注。目前將機器學習運用到DDoS檢測中已取得不錯成果。文獻[10]通過提取網絡流量數據包的多個屬性（如IP協議字段、數據包的大小），依據這些屬性運用貝葉斯分類算法對這些數據包進行分類，在按照抽樣數據庫中的數據計算每一類數據包的分值，生成一張分值表，接著用這些分值表對正常庫和異常庫中的數據包進行打分，計算正常流量和異常流量的分值特征：均值和標準差。最后將所得分數映射成09的危險等級。由于支持向量機具有良好的泛化性能，可以有效克服傳統學習機的“維數災難”和“過學習”問題，因此可以將SVM運用到DDoS檢測中， 文獻[11]采用多類支持向量機進行攻擊識別，選取了單邊連接密度、IP流的平均長度、IP包的流入流出比、IP流長度的熵、協議熵和協議比例6個特征進行學習，并將訓練數據分成4類：正常，輕度，中度和重度，從而實現對攻擊的分類檢測。

4 結語

本文對DDoS近年來常用的DDoS檢測方法進行歸類整理。雖然這些方法能在一定程度上對DDoS進行檢測防范，但是DDoS攻擊仍網絡安全的難題，伴隨著DDoS攻擊流量愈發升高（當前DDoS攻擊所造成的流量峰值已達到TB級別），對DDoS進行有效防范已是刻不容緩。對DDoS進行防御需要人們的共同努力，既需要普通用戶群提高自身安全意識，防止攻擊者利用網絡漏洞控制主機而變為“傀儡機”，也需要網絡管理員進行網絡流量監控分析。總之，要對DDoS攻擊進行有效防范不僅需要檢測方式的不斷升級還需要各界人員付諸努力。

參考文獻

[1] 李霞， 謝康林， 白英彩. 基于速率限制的源端網絡 DDoS 防御[J]. 微型電腦應用， 2005， 21（8）： 43-47.

[2] 鐘金. 基于源端的 DDoS 攻擊檢測與防御技術的研究[D]. 南京師范大學， 2006.

[3] 王佳佳. 基于變點計算的源端 DDoS 攻擊檢測方法[J]. 泰州職業技術學院學報， 2013， 13（4）： 64-67.

[4] 嚴芬，王佳佳，趙金鳳，殷新春.DDoS攻擊檢測綜述[J].計算機應用研究，2008（04）：966-969.

[5] Yau D K Y， Lui J C S， Liang F， et al. Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles[J]. IEEE/ACM Transactions on Networking， 2005， 13（1）： 29-42.

[6] Filtering H C. An Effective Defense Against Spoofed DDoS Traffic （Cheng Jin， Haining Wang， Haining Wang， Kang G. Shin）[J].

[7] 李更生. 基于時間序列分析的 Web 服務器 DDoS 攻擊檢測[J]. 計算機工程與應用， 2007， 43（7）： 135-138.

[8] 趙云成. 基于流量突變及數據挖掘的 DDOS 攻擊檢測與防范方法研究[D]. 吉林大學， 2009.

[9] 程杰仁，殷建平，劉運，劉湘輝，蔡志平.基于攻擊特征的ARMA預測模型的DDoS攻擊檢測方法[J].計算機工程與科學，2010，32（04）：1-4+28.

[10] 羅建， 李艷梅. 基于 Bayes 分類器的 DoS/DDoS 攻擊防御技術[J]. 航空計算技術， 2010， 40（2）： 127-129.

[11] 徐圖， 羅瑜， 何大可. 多類支持向量機的 DDoS 攻擊檢測的方法[J]. 電子科技大學學報， 2008， 37（2）： 274-277.

作者簡介：張興銳（1996-），男，漢族，重慶，本科。

高小明（1995-），男，漢族，重慶，本科。

李家興（1997-），男，漢族，重慶，本科。