ＤｄｏＳ（分布式拒絕服務(wù)攻擊）檢測技術(shù)研究方法綜述

[摘要]本文基于DDoS(分布式拒絕服務(wù)攻擊)的工作原理，介紹了DDoS預防技術(shù)中的關(guān)鍵技術(shù)：蜜罐技術(shù)和數(shù)據(jù)開采技術(shù)，并展望了新的檢測入侵技術(shù)及其研究方法。

[關(guān)鍵詞]分布式拒絕服務(wù)攻擊 入侵檢測

Internet在全球的迅猛發(fā)展，給人們的生活帶來了巨大的變化，人類社會進入了一個嶄新的信息化時代。信息化社會在為人類的生活帶來諸多方便的同時，也帶來了很多的問題，其中信息安全是一個突出問題，它直接關(guān)系到國家的安全和經(jīng)濟的發(fā)展?，F(xiàn)實生活中，網(wǎng)絡(luò)安全事故時有發(fā)生，信息的保密性、完整性和可用性受到了前所未有的挑戰(zhàn)。各種網(wǎng)絡(luò)攻擊方式層出不窮，木馬、欺騙等技術(shù)是黑客手中的利器，而分布式拒絕服務(wù)攻擊(DDoS，Distributed Denial of Service attack)更是它們中的佼佼者。由于DDOS攻擊比較容易實現(xiàn)而且難以防范，因此一直沒有好的防御方法。2002年2月，Yahoo、ebay、Amazon等諸多知名網(wǎng)站均受到了DDOS攻擊，致使一些站點中斷服務(wù)長達數(shù)小時甚至幾天，國內(nèi)的新浪等站點也遭到了類似的攻擊，這次的攻擊浪潮使DDoS名聲大振。2001年5月，在中美黑客大戰(zhàn)中，DDOS也被廣泛使用。因此，DDoS已成為影響網(wǎng)絡(luò)安全的一個不容忽視的問題。

一、DDoS工作原理分析

在解釋DDoS之前，首先必須知道什么是DoS(De-nial of Service，拒絕服務(wù))。DoS是指這樣一種攻擊手段：攻擊者在一定時間內(nèi)發(fā)送大量的服務(wù)請求來“轟炸”目的主機或其它網(wǎng)絡(luò)設(shè)備，使其不能提供正常的服務(wù)。這種方式類似于某人通過不停撥打某個公司的電話來阻止其它電話打進，從而導致公司通信癱瘓。

DDOS是DoS的進一步演化。簡單的DoS攻擊是由源主機直接攻擊目的主機，是1：1的映射。而DDoS引進了Client／Server機制，增加了分布式的概念?！胺植肌笔侵赴演^大的計算量或工作量分配給多個處理器或多個節(jié)點共同協(xié)作完成。DDoS攻擊就是指攻擊者控制大量的攻擊源，使其同時向目標機發(fā)起的拒絕服務(wù)攻擊。一個典型的分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

二、DDoS攻擊防御關(guān)鍵技術(shù)

1 蜜罐技術(shù)。在防御DDOS攻擊中，主要用到蜜罐技術(shù)的網(wǎng)絡(luò)流量的動態(tài)仿真。蜜罐主機采用一個缺省配置的linux系統(tǒng)來仿真真實系統(tǒng)，在該蜜罐系統(tǒng)中故意存在一些漏洞和不安全因素，因為在帶寬不斷增大時，造成了DDoS攻擊的一定難度，同時由于DDOS攻擊技術(shù)本身的缺陷，如移植DDOS攻擊的服務(wù)器程序到其它系統(tǒng)或主機就不是一件很容易的事情，需要較多的知識，并且較繁瑣。如果攻擊者能夠輕易發(fā)現(xiàn)漏洞，就會采用其它攻擊力一法，以此減輕DDOS攻擊的可能性。同時，在真實系統(tǒng)中增加對IP地址和日志進行分析的能力，由真實系統(tǒng)對訪問該系統(tǒng)的IP地址根據(jù)訪問歷史和日志進行可靠性分析，曾經(jīng)訪問過該系統(tǒng)，并且經(jīng)過可靠性分析的IP允許訪問，不切換到蜜罐系統(tǒng)。而第一次訪問和沒有經(jīng)過可靠性分析的IP就轉(zhuǎn)向到蜜罐系統(tǒng)，該蜜罐系統(tǒng)的數(shù)據(jù)捕獲能夠記錄進入和流出的連接、記錄，并顯示攻擊者在蜜罐主機中的操作，對入侵者在蜜罐主機中的操作信息進行日志記錄，分析請求服務(wù)的內(nèi)容，確定該服務(wù)的性質(zhì)，如是正常訪問，就再次切換到真實系統(tǒng)，如是DDOs攻擊或其它攻擊，則通過網(wǎng)絡(luò)流量仿真軟件，能夠模擬正常服務(wù)的網(wǎng)絡(luò)流量，使欺騙系統(tǒng)產(chǎn)生與真實網(wǎng)絡(luò)系統(tǒng)仿真的網(wǎng)絡(luò)流量，減少對該IP的響應(yīng)給攻擊者造成錯拒絕服務(wù)的錯覺，減輕對真實系統(tǒng)的攻擊。同時，在防火墻中封鎖該IP，在真實系統(tǒng)中對該IP進行不可靠認定，提高網(wǎng)絡(luò)欺騙質(zhì)量，使得通過流量分析不能分辨欺騙系統(tǒng)與真實系統(tǒng)。在欺騙系統(tǒng)中產(chǎn)生仿真流量采用實時力一式或重現(xiàn)力一式，復制真正的網(wǎng)絡(luò)流量到欺騙系統(tǒng)，這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似，因為所有的訪問連接也都被同時復制了，還必須動態(tài)地配置欺騙網(wǎng)絡(luò)來模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也像真實網(wǎng)絡(luò)那樣隨時間而動態(tài)變化。為了使欺騙網(wǎng)絡(luò)動態(tài)配置有效，還須使欺騙具有真實系統(tǒng)的一些特性，如辦公室的計算機在下班之后關(guān)機，那么欺騙計算機也應(yīng)該在同一時刻關(guān)機。另外，假期、周末和特殊時刻也須同步考慮，否則入侵者將很可能被發(fā)現(xiàn)欺騙。

蜜罐技術(shù)在防御DDoS攻擊力一面提供了新的方法，網(wǎng)絡(luò)欺騙在信息安全中有很大作用：誤導入侵者，使它按照我方的意志進行“選擇入侵”，進入我方預先設(shè)置的網(wǎng)絡(luò)陷阱。通過網(wǎng)絡(luò)探測，迅速地檢測到入侵者的進攻企圖，及時修補系統(tǒng)可能存在的安全漏洞，并獲知敵方的進攻技術(shù)和意圖。通過與入侵者周旋，消耗其資源，伺機反擊。在該系統(tǒng)的實現(xiàn)中還有一些功能有待研究和實現(xiàn)。

2 數(shù)據(jù)開采。數(shù)據(jù)開采(Data Mining，DM)是從大量的、不完全的、有噪聲的、模糊的、隨機的數(shù)據(jù)中。提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。DM的對象可以是數(shù)據(jù)庫、文檔以及其他結(jié)構(gòu)化和半結(jié)構(gòu)化的數(shù)據(jù)。DM的目標是從數(shù)據(jù)中發(fā)現(xiàn)有用的信息、知識、規(guī)律、規(guī)則等。與單純的統(tǒng)計方法相比，DM的優(yōu)勢在于它能從數(shù)據(jù)中發(fā)現(xiàn)人們未知的知識和規(guī)律。將數(shù)據(jù)開采技術(shù)應(yīng)用在入侵檢測系統(tǒng)中，可以從系統(tǒng)日志、網(wǎng)絡(luò)流量等大量數(shù)據(jù)中發(fā)現(xiàn)有助于檢測攻擊的知識和規(guī)律。

如左圖所示，位于主機上的日志監(jiān)視器周期性地將日志更新數(shù)據(jù)傳送至入侵檢測系統(tǒng)，并觸發(fā)系統(tǒng)對數(shù)據(jù)進行預處理和開采。開采的結(jié)果若是新的規(guī)則，則將其存人規(guī)則庫(知識庫)，并采取相應(yīng)的報警或不報警的措施；若是一種統(tǒng)計規(guī)律，則與規(guī)則庫中的規(guī)則匹配。匹配結(jié)果有異常、正常、不匹配三種。對于異常則報警，無匹配也報警，報警有管理員給予是否真有入侵的判斷，從而形成新規(guī)則入庫。

三、DDoS檢測方法展望

在入侵檢測技術(shù)的發(fā)展過程中，新算法的出現(xiàn)可以有效提高檢測的效率。以下三種機器學習算法為當前檢測算法的改進注入新的活力。它們分別是計算機免疫技術(shù)、神經(jīng)網(wǎng)絡(luò)技術(shù)和遺傳算法。

1 計算機免疫技術(shù)。計算領(lǐng)域中的安全問題與自然系統(tǒng)的免疫問題類似。在計算過程中，系統(tǒng)的保密性、完整性和可行性可能受到來自內(nèi)部和外部入侵的威脅。1994年Forrest提出了運用免疫學原理解決計算機安全問題的思想，當時解決了病毒檢測問題。與此類似，網(wǎng)絡(luò)中安全問題也可以將免疫學運用到其中，使系統(tǒng)具有多層性、分布性、自組織性。

2 神經(jīng)網(wǎng)絡(luò)技術(shù)。目前許多入侵檢測系統(tǒng)多采用人工智能技術(shù)來進行入侵檢測，如SRI的Intrusion Detec-tion Expert System IDES，就使用了基于規(guī)則的專家系統(tǒng)作為決策系統(tǒng)。它們都普遍存在一個問題：知識獲取成為瓶頸。為解決該問題，人們引入機器學習技術(shù)來自動獲取知識，人工神經(jīng)網(wǎng)絡(luò)就是這種應(yīng)用的例子之一。人工神經(jīng)網(wǎng)絡(luò)(ANN)以其自適應(yīng)、自學習、自組織、較好的容錯性和魯棒性、并行性、聯(lián)想記憶和聯(lián)想映射等優(yōu)點，受到了世人矚目，將其應(yīng)用于入侵檢測，能夠根據(jù)歷史行為自動識別未來的類似行為，降低異常檢測系統(tǒng)的誤報率，同時使用聯(lián)想存儲可以發(fā)現(xiàn)已知攻擊的變種，解決誤用檢測漏報率高的缺點。

3 遺傳算法。研究能在搜索過程中自動獲取和積累有關(guān)搜索空間的知識，并自適應(yīng)地控制搜索過程，從而得到最優(yōu)解或準最優(yōu)解的通用搜索算法，一直是令人矚目的課題，遺傳算法就是這種特別有效的算法。它的主要特點是簡單、通用、魯棒性強，適用于并行分布處理，應(yīng)用范圍廣。盡管遺傳算法本身在理論和應(yīng)用方法上仍有許多待進一步研究的問題，但實踐證明，遺傳算法對于組合優(yōu)化中的NP完全問題非常有效。例如，遺傳算法已經(jīng)在求解旅行商問題、背包問題、裝箱問題、圖形劃分問題等方面得到成功的應(yīng)用。

四、綜合評述

操作系統(tǒng)的日益復雜和網(wǎng)絡(luò)數(shù)據(jù)流量的急劇增加，導致了審計數(shù)據(jù)以驚人速度劇增，如何在海量的審計數(shù)據(jù)中提取出具有代表性的系統(tǒng)特征模式，以對程序和用戶行為做出更精確的描述，是實現(xiàn)入侵檢測的關(guān)鍵。數(shù)據(jù)開采體現(xiàn)了一個完整的數(shù)據(jù)分析過程。它一般包括數(shù)據(jù)準備、數(shù)據(jù)預處理、建立開采模型、模型評估和解釋等。另外，它也是一個迭代的過程。通過不斷的調(diào)整方法和參數(shù)以得到較好的模型。

需要通過實驗來驗證各個算法所標明的性能指標，真正做到理論聯(lián)系實際，開發(fā)出能在IDS上有實用價值的算法。采集必要的數(shù)據(jù)；建立適當?shù)哪Ｐ停暨x合適的算子。是目前DDoS檢測技術(shù)研究迫切的需要。