一種DDoS攻擊的特征檢測與算法

【摘 要】分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)安全的重大威脅之一。傳統(tǒng)的根據(jù)流量特征來檢測拒絕服務(wù)攻擊的方法，無法適用于分布式拒絕服務(wù)攻擊的檢測。文章介紹了一種DDos檢測技術(shù)，這種檢測方法可以有效識別分布式拒絕服務(wù)攻擊。

【關(guān)鍵詞】拒絕服務(wù)攻擊；攻擊檢測；網(wǎng)絡(luò)安全

0.引言

拒絕服務(wù)攻擊（Deny of Service，DoS）曾經(jīng)使得世界上幾家著名電子商務(wù)提供商的站點（如雅虎、eBay、亞馬遜等）陷入癱瘓長達數(shù)小時甚至數(shù)天，造成了巨大的經(jīng)濟損失。拒絕服務(wù)攻擊非常容易發(fā)起，并不像其它攻擊一樣需要有一定技術(shù)基礎(chǔ)。

拒絕服務(wù)攻擊容易實施的根本原因是TCP/IP協(xié)議的脆弱性。TCP/IP協(xié)議是因特網(wǎng)的基石，它是按照在開放和彼此信任的群體中使用來設(shè)計的，在實現(xiàn)上力求效率，而沒有考慮安全因素（如數(shù)據(jù)認證、完整性、保密性服務(wù)等）。例如，網(wǎng)絡(luò)擁塞控制在TCP層實現(xiàn)，并且只能在終端結(jié)點實施控制，這就使得大量報文可以不受約束地到達終端結(jié)點；路由器可以只根據(jù)目的地址決定路由，用戶可以任意改變源IP地址，造成地址欺騙攻擊（IP Spoofing）容易實施，DoS攻擊正是利用這個弱點，使得DoS攻擊的真實源頭難以追蹤、DoS攻擊報文的識別異常困難[1]。

傳統(tǒng)的拒絕服務(wù)攻擊從一個攻擊源攻擊一個目標，可以很容易地根據(jù)流量來識別[2]。但近年來，拒絕服務(wù)攻擊已經(jīng)演變?yōu)橥瑫r從多個攻擊源攻擊一個目標的形式，即分布式拒絕服務(wù)攻擊（Distributed Deny of Service，DDoS）。DDoS呈現(xiàn)的特征與正常的網(wǎng)絡(luò)訪問高峰非常相似，特別是攻擊者采用偽造、隨機變化報文源IP地址、隨機變化攻擊報文內(nèi)容等辦法，使得DDoS的攻擊特征難以提取，攻擊源的位置難以確定。本文將介紹一種可以有效識別DDoS攻擊的算法，這種算法通過計算新IP地址數(shù)量的變化情況，能較準確地檢測出DDoS攻擊。

1.DDoS攻擊檢測技術(shù)

1.1 DDoS攻擊特征的表示

收集每個時間片△n（n=1，2，3，…）內(nèi)到達目標系統(tǒng)的IP地址，時間片大小相同，即△1=△2=…=△n。時間片的長短直接影響檢測的靈敏度，時間片選擇的越短，檢測的靈敏度越高，但是計算的負荷也越高，因此，如何選擇△n應(yīng)有一個權(quán)衡的考慮。

設(shè)定Tn表示時間片△n（n=1，2，3，…）內(nèi)出現(xiàn)的所有IP地址的集合，Dn表示時間片△n結(jié)束時刻白名單中的所有IP地址的集合。那么，Tn-Tn∩Dn就表示△n內(nèi)新出現(xiàn)IP地址的數(shù)量，顯然Tn-Tn∩Dn的大小與△n大小相關(guān)。為此，選擇Xn=■用于表示不同時間片△n內(nèi)新出現(xiàn)IP地址數(shù)量變化函數(shù)，即Xn表示時間片△n內(nèi)新IP地址占IP地址總數(shù)的比值，這樣Xn的值就不會受到△n大小的影響。

顯然Xn（n=1，2，3，…）是一個隨機序列。正常狀況下（包括高峰流量狀況下）Xn是一個輕微抖動的序列，當發(fā)生分布式拒絕服務(wù)攻擊時，由于出現(xiàn)大量新IP地址，會引起Xn劇烈抖動（圖1）。

圖1 Xn在m時刻出現(xiàn)劇烈抖動

給定隨機序列X■，假設(shè)在m時刻發(fā)生了DDoS攻擊，則X■會呈現(xiàn)圖3所示的趨勢，即Xn在m時刻會陡然上升，X■的期望值會從α上升到α+h。由此，隨機序列X■可以表示為：

Xn=α+？孜nI（n

？孜=？孜n■■，η=ηn■■，并且E（？孜n）=E（ηn）=0，h≠0，？孜，η即都是期望值為0的隨機序列，I（x）是指示函數(shù)，即當x為真時I（x）等于1，否則等于0。

在網(wǎng)絡(luò)正常狀況下，當n

為此，令Zn=Xn-β，a=α-β<0

則Zn表示為：Zn=a+？孜nI（n

這樣，Zn就符合了要求。

圖2 Zn序列的抖動

令yn=Sn-■Sk，其中Sk=∑■■Zi，S0=0

為了計算方便，yn的遞歸表達式為：yn=（yn-1+Zn）+，y0=0

其中函數(shù)y=x+=x，x>00，x≤0

yn可以明顯反映出X■的變化情況（圖4），在m時刻yn呈現(xiàn)上升趨勢。因此，可以設(shè)定閾值N，當yn大于N時，就可認為發(fā)生了DDoS攻擊。

2.結(jié)束語

本文探討了拒絕服務(wù)攻擊中最為難以防護的DDoS攻擊的特征及檢測算法，通過計算新IP地址數(shù)量的變化情況，能較準確地檢測出DDoS攻擊。

【參考文獻】

[1]Jelena Mirkovic， Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http：//www.lasr.cs.ucla.edu/ddos/，2002.

[2]Michael Glenn.A Summary of DoS/DDoS Prevention， Monitoring and Mitigation Techniques in a Service Provider Environment[EB/OL].http：//www.sans.org/reading_

room/whitepapers/ intrusion/，2003.

[3]R.Needham，Denial of Service ：An Example[C].Communications of ACM volume 37， November 1994.

[4]Dittrich， Dave.Distributed Denial of Service （DDoS） Attacks/tools[EB/OL].http：//staff.washington.edu/dittrich/misc/ddos/，2003.

[5]Tao Peng，Christopher Leckie，Kotagiri Ramamohanarao.Proactively detecting dist

ributed denial of service attacks using source IP address monitoring[C].Third Intern

ational IFIP-TC6 Networking Conference.Berlin：Springer，2004.771-782.