改進TOPSIS法的DDoS防御措施評估

齊玉東,李程瑜,王曉虹,范趙鵬

(1海軍航空大學, 山東 煙臺 264001； 2.解放軍第107醫院， 山東 煙臺 264001)

分布式拒絕服務攻擊[1](Distributed Denial of Service Attack)作為一種影響范圍較廣、威脅較大的網絡攻擊行為，對網絡的可用性帶來極大的危害。考慮到DDoS攻擊影響范圍廣，危害性大，有必要采取措施對DDoS攻擊進行防護[2]。為了有效評估DDoS防御措施以防御DDoS攻擊，國內外眾多科研人員和機構開展了大量的研究。文獻[3]提出一種應對DDoS攻擊防范機制的評估分類標準，指出在評估防御機制中應用的一些標準參數，但缺乏具體實驗比較。文獻[4]提出DDoS防御機制評估框架，但該方法需要一個嚴格假設才能清楚區分攻擊包和合法包，在實際的網絡攻防對抗中難以做到。文獻[5]基于OPNET對賽博網絡防御進行建模仿真，搭建典型的DDoS網絡攻防場景，通過仿真結果測試采取的網絡防御措施可以達到的效果，但缺乏對防御措施效果的綜合評估。文獻[6]提出一種基于不完全信息靜態博弈的DDoS防御措施評估方法，對兩種防御措施進行定量評估，但該評估方法只針對一個評估指標對防御措施進行評估，比較片面。當前DDoS防御措施評估存在的問題主要為：缺乏標準評估數據、缺乏綜合多個指標的評估方法等，本文就這兩個問題提出解決方法。

1 TOPSIS法的改進與評估流程

1.1 傳統TOPSIS法的缺陷和改進措施

傳統的TOPSIS[7]法通過計算與正負理想解的歐式距離來體現評估方案與正負理想解的相對貼近度，但在多個評估方案中，與正理想解更近的方案或許與負理想解也更近，因而得到的評估結果不能真正的反應待評估方案之間的優劣性，這就是使用歐式距離的缺陷。假設有4個待評估方案，每個方案有兩個評估指標x和y，如圖1所示，點A(xa，ya)，B(xb，yb)，C(xc，yc)，D(xd，yd)分別為4個待評估方案的樣本點，E(x+，y+)，F(x-，y-)分別為正負理想解點。其中，AB之間的連線和CD之間的連線都與EF之間的連線垂直。

圖1 評估點坐標

為了彌補傳統TOPSIS法中采用歐式距離存在的缺陷，本文采用垂面距離代替歐式距離，通過正交投影法計算垂面距離對評估方案進行優劣排序。如圖1所示，以直線EF為法線，分別作過直線AB和直線CD的平面o和p，直線AB和直線CD月法線在各自平面的交點為M和N。評估方案A和B到正理想解的垂面距離為dME，到負理想解的垂面距離為dNF，因此，可以看出A和B到正負理想解的貼近度相同，所以評估方案A和B排序相同，具有同等優劣性，同理可得評估方案C和D也具有相同的優劣性。因此，采用垂面距離代替歐式距離，解決了傳統TOPSIS法可能會導致待評估方案優劣排序模糊不清的缺陷。

1.2 改進TOPSIS法評估流程

1) 構建標準評估矩陣。采用向比重法對指標數據進行歸一化處理以消除量綱尺度不同所帶來的影響，公式為

其中xij為第i個評估方案的第j個評估指標值，由此得到標準評估矩陣Y。

Y=[yij]m×n

2) 確定指標權重。本文采用變異系數法[8]確定指標權重，將評估指標數據的變異程度作為權重確定依據。當指標數據變化范圍較大時，說明該指標對防御措施優劣排序影響較大，相應其權重也較大，反之則較小，因此變異系數法賦權具有客觀性和動態性，其主要步驟為

計算第j個指標的平均值：

計算第j個指標的均方差：

計算第j個指標的變異系數：

計算第j個指標的權重：

3) 評估矩陣加權處理。確定完評估指標權重后對評估矩陣Y進行加權處理，得到加權評估矩陣Z。

Z=[zij]m×n=[yij]m×n·diag(wj)n×n

其中wj表示第j個指標的權重值，所有指標權重值總和為1。

4) 確定正、負理想解。正理想解是假設的最優樣本，每項指標都取加權評估矩陣中最優值；相反，負理想解是假設的最差樣本，每項指標都取加權評估矩陣中最差值，求解公式如下：

其中J1為效益型指標，J2為成本性指標。

5) 計算垂面距離并排序。為簡便計算，將正理想解平移到坐標原點，得到平移后的評估矩陣R：

R=[rij]m×n

評估方案i到正理想解的垂面距離的計算公式為

di=|(u-v)·(u-Ri)|=|v·Ri|

其中，u、v為平移之后的正負理想型，u為零向量，Ri為平移后評估矩陣R的第i行向量。

計算評估方案與正理想型的垂面距離di后，根據di大小進行排序，di值越小，表明該方案越接近正理想解，方案越優，反之越差。

2 基于OMNET++的DDoS攻防仿真建模

OMNET++[9]作為一款面向對象的網絡離散事件模擬器，提供了一種基于模塊(組件)化的仿真體系結構，定義好的模塊可以重復利用，并以各種方式進行組合，構成所需要的仿真網絡模型。

一個完整地OMNET++模型包括：

1) NED語言拓撲描述(.ned文件)。仿真網絡模型拓撲結構通過NED語言使用參數、模塊、門等進行描述。

2) 簡單模塊源文件(.h或.cc文件)。簡單模塊作為仿真網絡模型中最基本的活動單元，是由C++編程實現，簡單模塊可以通過端口進行連接，構成復合模塊，復合模塊也可通過定義接口模塊調用不同的簡單模塊。

3) 仿真配置文件(omnetpp.ini)。仿真配置文件中包括仿真模型參數值以及控制仿真運行參數值。

本文主要基于OMNET++中的INET框架，對DDoS攻防進行建模，并構建DDoS攻防仿真網絡模型。

2.1 SYN Flood攻擊建模

在INET框架[10]中，主機模塊通過ITCPApp接口模塊來調用TCPSessionApp簡單模塊發送建立TCP連接請求并完成TCP協議中3次握手的操作[58]。本文在研究過程中在TCPSessionApp簡單模塊的基礎上對其源文件進行改進，并進行重新編譯，開發出TCPSynFlood簡單模塊。主機模塊通過ITCPApp接口模塊調用TCPSynFlood簡單模塊時，只向服務器發送SYN包而不對服務器發來的SYN+ACK包給予回應。將調用TCPSynFlood簡單模塊的主機定義為SYN Flood攻擊主機模塊，將調用TCPSessionApp簡單模塊的主機定義為正常主機模塊。

攻擊模塊TCPSynFlood所對應的TCPSynFlood.h/TCPSynFlood.cc是實現該攻擊模塊的C++源文件。TCPSynFlood攻擊模塊主要實現以下功能：

1) 初始化階段：調用void TCPSynFloodApp::initialize()函數對模塊進行初始化，創建多個socket對象，并將socket對象存入socketVector中。

2) 攻擊開始階段：調用void TCPSynFloodApp::connect()函數發送TCP連接請求，此時TCP層會自動發送SYN包請求建立連接。

3) 攻擊持續階段：攻擊模塊在接收到服務器端發送到的SYN+ACK包后不予回應，而是不斷循環調用void TCPSynFloodApp::connect()函數發送TCP連接請求，直到socketVector中的socket對象都發生連接請求。

2.2 DDoS防御建模

對DDoS攻擊進行防御的手段主要包括對攻擊源頭的治理和對攻擊的流量緩解兩方面。對攻擊源頭進行治理可以采取切斷攻擊源頭的措施，從理論上來說是對抗DDoS攻擊最有效的方法；對服務端進行系統優化可以對攻擊流量進行緩解，比如增大TCP連接隊列長度。

在INET框架中，主機模塊通過ITCPApp接口模塊來調用TCPSinkApp簡單模塊接收TCP連接請求并完成TCP協議中3次握手的操作，將調用TCPSinkApp簡單模塊的主機定義為服務端主機模塊。本文分別對阻斷攻擊源頭和增大服務端TCP連接隊列長度兩種防御措施在服務器模塊中進行建模。

服務器模塊在調用TCPSinkApp簡單模塊接收TCP連接請求之前需要調用TCP模塊對發來的SYN包進行監聽過濾，TCP模塊又通過調用TCPConnection::processSegmentInListen()函數完成這一過程，該函數在TCPConnectionRcvSegment.cc源文件中進行定義，本文對其進行改進來完成兩種防御措施的建模。

1) 攻擊源黑名單

定義String型變量Client，用來存儲黑名單IP地址，并在接收到SYN包時首先對SYN包源地址進行判斷，若該SYN源地址與黑名單IP地址列表中某地址相匹配，則丟棄該SYN包，同時不會對該源地址發送SYN+ACK包。

定義bool型變量isblacklist，用來控制攻擊源黑名單功能是否啟用，變量值為true攻擊源黑名單功能啟用，變量值為false。

2) 增加服務器TCP連接隊列長度

增加服務器TCP連接隊列長度連接隊列長度通過修改TCP連接隊列最大長度backlog常量實現，在接收到SYN包前首先通過getTcpAppConnMapLen()函數獲取當前TCP連接隊列長度，并與backlog值進行比較，如果小于backlog值，則接收SYN包，如果大于backlog值，則丟棄該SYN包。

2.3 DDoS攻防[11]仿真建模

本文建立的DDoS攻防仿真網絡整個網絡拓撲如圖2所示，包括80臺攻擊主機client_ddos，5部路由器router，1臺正常主機client和1臺服務器server。仿真網絡運行時，正常主機會向服務器發送SYN包請求建立TCP連接并嘗試完成3次握手操作，當TCP連接成功建立后不進行數據傳輸，而是直接銷毀該連接；攻擊主機向服務器發送SYN包且對服務器發來的SYN+ACK包不予回應，這樣就會占用服務器TCP連接隊列，影響正常主機與服務器之間TCP 3次握手操作。每臺主機等時間間隔發送20個SYN包請求與服務器建立TCP連接，當所有主機的SYN包處理完畢之后，仿真網絡結束運行。

設置正常主機和攻擊主機向服務器發送SYN包的時間間隔為100 s，設置服務器TCP連接隊列長度參數backlog為600。調整攻擊源黑名單個數和修改服務器TCP連接隊列長度以實現不同防御措施的部署。

圖2 DDoS攻防仿真網絡拓撲

3 防御措施評估與結果分析

為評估不同防御措施的優劣，本文基于DDoS攻防仿真網絡從正常主機的角度出發定義了兩個防御措施評估指標。

定義1 正常主機TCP連接成功率

正常主機TCP連接成功率是指一次仿真實驗中正常客戶端主機與服務器端成功建立TCP連接數與請求的TCP連接數的比值，公式為

定義2 正常主機TCP連接平均等待時間

正常主機TCP連接平均等待時間是指在一次仿真實驗中正常客戶端主機與服務器端成功建立TCP請求時刻與請求建立TCP連接時刻的平均時間差,公式為

保持服務器TCP連接隊列長度不變，分別將10臺、20臺、30臺攻擊主機加入黑名單攔截地址列表進行仿真，然后保持80臺攻擊主機不變，將TCP連接隊列長度分別增加到700、800進行仿真，分別采集兩個評估指標數據，得到仿真實驗數據如圖3所示。

對仿真數據進行歸一化處理得到標準評估矩陣Y：

對歸一化后的數據采用變異系數法求得權重為w=(0.67,0.33)，對評估矩陣Y進行加權處理得到帶權評估矩陣Z：

正常主機TCP連接成功率P是收益型指標；正常主機TCP連接平均等待時間T是成本型指標，因此：

正理想型Z+={0.422 3, 0.118 3}

負理想型Z-={0.129 9, 0.187 8}

圖3 仿真實驗數據

將正理想解平移到坐標原點，得到平移后的評估矩陣R：

計算每個防御措施到正理想型的垂面距離，進而進行排序，得措施優劣排名，如表1所示。

表1 垂面距離di及排名

由表1可知，在5種防御措施中，要優先考慮將服務器TCP連接隊列長度增加到800防御措施。

在攻擊源黑名單防御措施中，阻斷30臺攻擊主機防御措施最優；在增大服務器TCP連接隊列長度防御措施中，將隊列長度增大到800防御措施最優。但只比較評估指標仿真數據，這兩個局部最優的防御措施相比各有優劣，前者正常主機TCP連接平均等待時間指標更優，后者正常主機TCP連接成功率指標更優，但最終評估結果是將隊列長度增大到800防御措施最優，其主要原因是兩個評估指標的權重不同，本文采用變異系數法客觀賦權，指標數據變化較大的指標權重會較大，正常主機TCP連接成功率指標數據變化較明顯，因此其權重較大，在最終評估結果中該指標占決定作用，所以將隊列長度增大到800防御措施是最優的，在選擇防御措施時要優先考慮。

采用文獻[12]中TOPSIS法計算防御措施與正理想解的相對貼近度，得到的排序結果如表2所示。

表2 相對貼近度Ti及排名

將本文改進的TOPSIS法與文獻[12]中TOPSIS法的評估結果按照下式進行量綱一化比較，比較結果如表3所示。

表3 改進TOPSIS方法與傳統的TOPSIS方法比較

由表3可知，文獻[12-13]TOPSIS法與本文改進的TOPSIS法得到的防御措施優劣排序一致，證明改進后的TOPSIS法具有可行性，而且本文改進后的TOPSIS法與文獻[11]中TOPSIS法相比得到的最優防御措施和次優防御措施之間的評估數值相差更大，表明本文方法能更明顯的區分防御措施之間的優劣程度，突顯出最佳防御措施的優越性。

4 結論

1) 針對DDoS攻防評估缺乏標準數據集和綜合多指標評估方法的問題，本文通過OMNET++仿真軟件對DDoS攻防網絡進行了仿真，采集了原始仿真數據，保證了評估指標數據來源的可靠性。

2) 改進了傳統的TOPSIS法對防御措施進行多指標評估，得出防御措施優劣排名以指導防御措施的選取，而且改進后的TOPSIS法與傳統TOPSIS法相比，會更明顯的區分防御措施之間的優劣程度。

3) 下一步研究工作主要是構建多角度多指標的防御措施評估指標體系，使評估更加全面具體，結果更加有說服力；同時從攻防角度出發，引入防御成本概念，針對不同攻擊強度評估出最經濟最有效的防御措施。