一种DDoS攻击特征检测与算法.doc

一种DDoS攻击的特征检测与算法 　　【摘 要】分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法，无法适用于分布式拒绝服务攻击的检测。文章介绍了一种DDos检测技术，这种检测方法可以有效识别分布式拒绝服务攻击。 【关键词】拒绝服务攻击；攻击检测；网络安全 0.引言 拒绝服务攻击（Deny of Service，DoS）曾经使得世界上几家著名电子商务提供商的站点（如雅虎、eBay、亚马逊等）陷入瘫痪长达数小时甚至数天，造成了巨大的经济损失。 拒绝服务攻击非常容易发起，并不像其它攻击一样需要有一定技术基础。 拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石，它是按照在开放和彼此信任的群体中使用来设计的，在实现上力求效率，而没有考虑安全因素（如数据认证、完整性、保密性服务等）。例如，网络拥塞控制在TCP层实现，并且只能在终端结点实施控制，这就使得大量报文可以不受约束地到达终端结点；路由器可以只根据目的地址决定路由，用户可以任意改变源IP地址，造成地址欺骗攻击（IP Spoofing）容易实施，DoS攻击正是利用这个弱点，使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。 传统的拒绝服务攻击从一个攻击源攻击一个目标，可以很容易地根据流量来识别[2]。但近年来，拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式，即分布式拒绝服务攻击（Distributed Deny of Service，DDoS）。DDoS呈现的特征与正常的网络访问高峰非常相似，特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法，使得DDoS的攻击特征难以提取，攻击源的位置难以确定。本文将介绍一种可以有效识别DDoS攻击的算法，这种算法通过计算新IP地址数量的变化情况，能较准确地检测出DDoS攻击。 1.DDoS攻击检测技术 1.1 DDoS攻击特征的表示 收集每个时间片△n（n=1，2，3，…）内到达目标系统的IP地址，时间片大小相同，即△1=△2=…=△n。时间片的长短直接影响检测的灵敏度，时间片选择的越短，检测的灵敏度越高，但是计算的负荷也越高，因此，如何选择△n应有一个权衡的考虑。 设定Tn表示时间片△n（n=1，2，3，…）内出现的所有IP地址的集合，Dn表示时间片△n结束时刻白名单中的所有IP地址的集合。那么，Tn-Tn∩Dn就表示△n内新出现IP地址的数量，显然Tn-Tn∩Dn的大小与△n大小相关。为此，选择Xn=■用于表示不同时间片△n内新出现IP地址数量变化函数，即Xn表示时间片△n内新IP地址占IP地址总数的比值，这样Xn的值就不会受到△n大小的影响。 显然Xn（n=1，2，3，…）是一个随机序列。正常状况下（包括高峰流量状况下）Xn是一个轻微抖动的序列，当发生分布式拒绝服务攻击时，由于出现大量新IP地址，会引起Xn剧烈抖动（图1）。 图1 Xn在m时刻出现剧烈抖动 给定随机序列X■，假设在m时刻发生了DDoS攻击，则X■会呈现图3所示的趋势，即Xn在m时刻会陡然上升，X■的期望值会从α上升到α+h。由此，随机序列X■可以表示为： Xn=α+？孜nI（n00，x≤0 yn可以明显反映出X■的变化情况（图4），在m时刻yn呈现上升趋势。因此，可以设定阈值N，当yn大于N时，就可认为发生了DDoS攻击。 2.结束语 本文探讨了拒绝服务攻击中最为难以防护的DDoS攻击的特征及检测算法，通过计算新IP地址数量的变化情况，能较准确地检测出DDoS攻击。 【参考文献】 [1]Jelena Mirkovic， Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http：///ddos/，2002. [2]Michael Glenn.A Summary of DoS/DDoS Prevention， Monitoring and Mitigation Techniques in a Service Provider Environment[EB/OL].http：///reading_ room/whitepapers/ intrusion/，2003. [3]R.Needham，Denial of Service ：An Example[C].Communications of ACM volume 37， November 1994. [4]Dittrich， Dave.Distributed Denial of