物聯網分布式拒絕服務攻擊流量檢測研究概述

韓長江，丁俊芳

（武警后勤學院，天津 300162）

0 引 言

物聯網的急速發展推動了全球信息化的進程。據研究機構預估，物聯網設備的數量預計將從2017年的80億增長到2020年的200億。遺憾的是，開發人員在設計IoT設備時很少考慮安全策略問題，導致物聯網成為黑客攻擊的重災區，其中以DDoS最難防御。DDoS攻擊的主要目的是耗盡特定主機的計算資源或帶寬資源，使其無法為正常用戶提供服務。

1 DDoS簡介

DoS（拒絕服務攻擊）作為DDoS的前身，通過消耗資源進行帶寬壓制，但這種攻擊方式已被淘汰。黑客們借助數量眾多的僵尸主機同時對特定目標發起分布式DoS攻擊，即為DDoS攻擊。DDoS破壞性更強，范圍更廣，防御難度更大。

DDoS的攻擊模型簡介。黑客通過系統或程序等的漏洞控制僵尸主機，通過攻擊控制機操控傀儡機對目標主機發送大量的垃圾服務請求，進而消耗目標主機的帶寬或計算能力，導致目標主機的帶寬消耗殆盡或計算過載。由于物聯網設備的大量興起，目前僵尸主機中物聯網設備已經占據了相當大的比例。

2 DDoS的攻擊方式

2.1 DDoS攻擊分類簡介

根據攻擊手段的不同，DDoS 可分為三類。一是帶寬耗盡型攻擊。使用海量數據堵塞IDC入口，使目標主機的硬件防御系統和快速高效應急流程失效，典型代表是ICMP Flood，現已不常見。二是漏洞碰撞式攻擊。以技術取勝，攻擊源在數分鐘內僅發一個數據包，就可以使目標主機拒絕服務。此攻擊是利用技術漏洞作為攻擊點，如Slowloris方式。三是混合攻擊，即將上述兩種攻擊手段混合使用，既利用了系統設計的缺陷，又具備了DDoS流量要求。圖1為SYN流[1]攻擊，是當前的主流攻擊方式。

2.2 典型DDoS攻擊介紹

典型的DDoS攻擊包括SYN流、UDP攻擊、HTTP Flood攻擊以及慢速連接攻擊等。SYN Flood是目前最經典的DDoS攻擊方式。TCP協議中，開發人員設計了三次握手機制，SYN Flood利用TCP三次握手協議中存在的缺陷，以很小的資源消耗使目標服務器陷入低效循環。另一種攻擊手段是DNS Query Flood，指攻擊者操縱數量眾多的僵尸主機，對目標發起數量巨大的查詢請求。HTTP Flood攻擊攻擊者不需要大批量的僵尸主機，只需通過端口掃描軟件尋找匿名的HTTP代理，然后通過匿名代理對目標主機發起非法HTTP請求。

3 DDoS惡意流量監測研究現狀

隨著硬件技術的急速發展，物聯網DDoS攻擊出現的次數呈指數型增長。目前，學界針對物聯網DDoS惡意流量檢測的主要方法是實時網絡監控。當物聯網僵尸設備發起DDoS攻擊時，即啟動攻擊流量清洗設備，屏蔽DDoS攻擊源的主機IP，避免網絡侵害，達到防御的目的。此過程可以概括為以下幾點：一是在邊緣節點或霧節點等中繼節點上利用檢測算法確定源頭IP地址是否合法，并建立黑名單共享機制；二是基于信息論、大數據統計等方法，根據網絡數據流量的變化實時監測網絡；三是在中繼節點（路由器等）中建立映射表，通過對比來確定當前網絡是否有DDoS攻擊行為。下面對幾種典型的檢測方法進行介紹。

3.1 基于機器學習的DDoS檢測方法

YEGN V等提出了一種網絡入侵檢測方法。該方法基于支持向量機算法，誤報率較低，但系統訓練模型單一，沒有涵蓋普通網絡流量數據集，應變能力較弱。

李傳煌等人[2]曾將機器學習與DDoS檢測手段相匹配，使用神經網絡方法直接對網絡流量進行檢測，具有較高的精確度。

劉玉潔[3]等人提出了一種基于反饋神經網絡的入侵檢測系統，使用一種基于Jordan神經網絡的算法，借助反饋神經網絡提取描述攻擊模式的特征并進行規則推導，然后用神經網絡建立的規則集進行入侵檢測，證明了反饋神經網絡在入侵檢測領域的出色表現。

楊天奇等人[4]描述了一種基于最小二乘估計（LS）模型的入侵檢測算法，利用神經網絡的特點，具有從先前觀測到的行為進行概括進而判斷將來可能發生的行為的能力。

Doshi R等人基于物聯網設備的網絡流量與普通網絡流量的區別，選擇使用人工神經網絡對物聯網惡意流量進行識別。實驗中使用了5種算法進行了測試，即K近鄰、支持向量機、決策樹、隨機森林和人工神經網絡，結果表明人工神經網絡的識別率高于其他算法。

3.2 基于軟件定義網絡（SDN）的檢測方法

肖甫等人[5]提出了一種在SDN環境下基于KNN算法的模塊化DDoS攻擊檢測方法，選取SDN網絡的5個關鍵流量特征，采用優化的KNN算法對選取的流量特征進行流量異常檢測，結果表明該方案在識別率和誤報率方面更優秀。

李傳煌等人[6]提出了一種基于SDN的深度學習混合模型的DDoS攻擊檢測方法——DCNN-DSAE。該方法在構建深度學習模型時，輸入特征除了從數據平面提取的21個不同類型的字段外，同時設計了能夠區分流類型的5個額外流表特征。結果表明，該方法具有較高的精確度。

夏彬等人[7]提出了一種SDN中基于Renyi熵的DDoS攻擊檢測和回溯算法。與同類算法相比，該算法利用SDN的集中性控制簡化了統計信息的采集過程，通過計算網絡中的Renyi熵，可以高效檢測出DDoS攻擊且消耗較少的系統資源，并且盡可能回溯攻擊源頭。

Mousavi等[8]提出了一種基于SDN控制器通過計算熵值檢測DDoS攻擊的入侵檢測系統。該入侵檢測系統的檢測精度取決于熵的閾值，然而閾值的選擇是通過調整參數大小的實驗得到的，無法確保可靠性。

3.3 基于異常檢測的DDoS檢測方法

Jadidi等提出了一種基于網絡數據流的異常檢測系統，主要采用基于多層感知器和重力的搜索算法。該系統對多向量組合攻擊類型的數據流區分度識別率不高。

Trung等人結合硬檢測閾值和模糊推理系統，根據正常和攻擊狀態下的實際流量特征檢測DDoS攻擊，但只考慮了分布時間、每個流的數據分組數量及分配到服務器的流量等幾個特征，特征信息量不足。

郝志宇等人[9]提出了一種基于相似度的DDoS異常檢測系統，使用相似度作為測度，通過與正常情況時的比較，可以及時準確地發現DDoS攻擊引起的異常。這種方案無法應對多向量DDoS攻擊，且應變能力較差。

4 結 論

今后DDoS攻擊和防御仍然會處于相持狀態，建立高效全面的防御體系仍是科研人員關注的重點領域。同時，以霧計算、云計算、軟件定義網絡以及大數據技術等為代表的新興技術，為DDoS防御體系的構建帶來了新的機遇。目前，基于霧計算平臺和區塊鏈以太坊智能合約機制的DDoS檢測技術出現。霧計算平臺是介于云計算和邊緣計算之間的計算機制，由于其能夠有效解決邊緣結算設備計算能力薄弱和云計算帶寬消耗過大等問題，得到了學者的廣泛重視。未來需要詳盡測試及優化方案的大規模部署及部署的性能問題，從而提高方案的大規模可用性。