文档详情

一种DDoS攻击特征检测与算法.doc

发布:2017-06-07约2.31千字共4页下载文档
文本预览下载声明
一种DDoS攻击的特征检测与算法   【摘 要】分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法,无法适用于分布式拒绝服务攻击的检测。文章介绍了一种DDos检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。 【关键词】拒绝服务攻击;攻击检测;网络安全 0.引言 拒绝服务攻击(Deny of Service,DoS)曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚马逊等)陷入瘫痪长达数小时甚至数天,造成了巨大的经济损失。 拒绝服务攻击非常容易发起,并不像其它攻击一样需要有一定技术基础。 拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石,它是按照在开放和彼此信任的群体中使用来设计的,在实现上力求效率,而没有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实现,并且只能在终端结点实施控制,这就使得大量报文可以不受约束地到达终端结点;路由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IP Spoofing)容易实施,DoS攻击正是利用这个弱点,使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。 传统的拒绝服务攻击从一个攻击源攻击一个目标,可以很容易地根据流量来识别[2]。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式拒绝服务攻击(Distributed Deny of Service,DDoS)。DDoS呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法,使得DDoS的攻击特征难以提取,攻击源的位置难以确定。本文将介绍一种可以有效识别DDoS攻击的算法,这种算法通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。 1.DDoS攻击检测技术 1.1 DDoS攻击特征的表示 收集每个时间片△n(n=1,2,3,…)内到达目标系统的IP地址,时间片大小相同,即△1=△2=…=△n。时间片的长短直接影响检测的灵敏度,时间片选择的越短,检测的灵敏度越高,但是计算的负荷也越高,因此,如何选择△n应有一个权衡的考虑。 设定Tn表示时间片△n(n=1,2,3,…)内出现的所有IP地址的集合,Dn表示时间片△n结束时刻白名单中的所有IP地址的集合。那么,Tn-Tn∩Dn就表示△n内新出现IP地址的数量,显然Tn-Tn∩Dn的大小与△n大小相关。为此,选择Xn=■用于表示不同时间片△n内新出现IP地址数量变化函数,即Xn表示时间片△n内新IP地址占IP地址总数的比值,这样Xn的值就不会受到△n大小的影响。 显然Xn(n=1,2,3,…)是一个随机序列。正常状况下(包括高峰流量状况下)Xn是一个轻微抖动的序列,当发生分布式拒绝服务攻击时,由于出现大量新IP地址,会引起Xn剧烈抖动(图1)。 图1 Xn在m时刻出现剧烈抖动 给定随机序列X■,假设在m时刻发生了DDoS攻击,则X■会呈现图3所示的趋势,即Xn在m时刻会陡然上升,X■的期望值会从α上升到α+h。由此,随机序列X■可以表示为: Xn=α+?孜nI(n00,x≤0 yn可以明显反映出X■的变化情况(图4),在m时刻yn呈现上升趋势。因此,可以设定阈值N,当yn大于N时,就可认为发生了DDoS攻击。 2.结束语 本文探讨了拒绝服务攻击中最为难以防护的DDoS攻击的特征及检测算法,通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。 【参考文献】 [1]Jelena Mirkovic, Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http:///ddos/,2002. [2]Michael Glenn.A Summary of DoS/DDoS Prevention, Monitoring and Mitigation Techniques in a Service Provider Environment[EB/OL].http:///reading_ room/whitepapers/ intrusion/,2003. [3]R.Needham,Denial of Service :An Example[C].Communications of ACM volume 37, November 1994. [4]Dittrich, Dave.Distributed Denial of
显示全部
相似文档