基于非參數CUSUM算法的DDoS攻擊防御策略

嚴長虹

(鹽城工學院 信息學院,江蘇 鹽城 224000)

基于非參數CUSUM算法的DDoS攻擊防御策略

嚴長虹

(鹽城工學院 信息學院,江蘇 鹽城 224000)

分布式拒絕服務攻擊(DDoS)具有突發性、攻擊主機分布廣等特點,對其防御尤顯困難.從分析DDoS攻擊原理及常見的防御策略入手,根據非參數CUSUM算法,給出了基于流連接密度時間序列分析的DDoS攻擊防御策略及其模型,并進行了與理論值比較的實驗取證.結果表明:該防御模型能夠在很大程度上有效防御DDoS攻擊.

網絡安全;分布式拒絕服務;流連接密度;時間序列;防御策略

在因特網安全防御領域,防御分布式拒絕服務攻擊已成為不容忽視的重要方面.分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)是一種破壞性較強的攻擊方式,由于實施簡便、難于防范,且危害性極大而被黑客廣泛使用.黑客進行DDoS式攻擊的工具簡單易開發,實施方式隱蔽多樣化,且攻擊技術與日俱增,造成的危害則難以估量.如2003年初,黑客攻擊者采用新型DDoS攻擊技術,對北美、歐洲、亞洲等多地區進行大規模因特網攻擊,使近幾十萬臺計算機癱瘓、近10萬臺網絡服務器不能運行,造成了無法估計的經濟損失和惡劣的社會影響[1].面對DDoS攻擊愈演愈烈之勢,全球不斷加強了DDoS攻擊防御方案的研制和實施.IDC的一項研究認為,2012—2017年DDoS攻擊和DoS攻擊防御解決方案市場預計增長18.2%,相關經費開支將達到8.7億美元[2].

針對DDoS攻擊事件的多發性、突發性,以及攻擊主機分布廣,防御困難等特點,本文從DDoS攻擊原理入手,通過常見的防御策略分析,提出了基于非參數CUSU M算法的DDoS攻擊防御策略及其模型,并對該模型進行了實驗驗證.

1 DDoS攻擊原理

DDos攻擊之所以成為黑客攻擊慣用的手段之一,在于它所產生的破壞力極大.攻擊者不僅采用常用的黑客手段入侵,而且控制部分網站,在網站的服務器上安裝并啟動控制進程,這些進程會聽命于攻擊者發出的特殊指令.當攻擊者把攻擊目標的IP地址作為指令下達給受控進程時,這些進程就開始向目標主機發動瘋狂地攻擊[34].有一個形象的比喻,DDoS攻擊猶如1萬個人同時撥打同一部手機,該手機除了被打爆外別無選擇.

DDoS攻擊主要利用了網絡傳輸協議——TCP/IP協議的本身漏洞和不足,將主機節點、交換機、路由器等網絡設備作為攻擊目標,通過調用網絡中地理位置分散的計算機(作為攻擊主機)向被攻擊目標發送大量的數據信息,不僅造成被攻擊主機的資源或網絡帶寬被大量消耗,更導致其不勝負荷以至于癱瘓.結果不但使得合法用戶不能訪問或使用該資源,同時被攻擊主機也不能提供任何服務.DDoS攻擊的原理如圖1所示.

圖1 DDoS攻擊原理Fig.1 Attacking principle of DDoS

2 常見的DDoS防御策略分析

為了防御DDoS攻擊,人們根據DDoS攻擊原理從多方面入手,探討了多種DDoS防御策略.由圖1可知,攻擊主機端的核心路由器是網絡的代理端主機,經過中間網絡的路由器向被攻擊主機轉發.因此,從DDoS角度分析,整個網絡體系可分為3部分:攻擊端網絡、中間層網絡和被攻擊端網絡,與之對應的DDoS防御策略也分為攻擊端防御、中間層網絡防御和被攻擊端防御.

2.1 攻擊端防御

攻擊端防御策略是在互聯網的入口路由器部署防御節點,節點通過監控入口路由器的數據包信息,并對這些信息進行統計分析流量,再將統計值與正常流量模型進行反復比較,從而濾掉異常的危險數據包.這樣不僅可以追蹤攻擊端的信息,也有利于避免外界對網絡的進一步傷害.攻擊端防御策略也存在一定的不足,如攻擊流在攻擊端并未實現匯聚,其正常流量模型建立則很困難,并會導致對數據包的誤判率增高,從而造成合法數據信息的丟失.當前,最典型的源端防御策略是Jelena Mirkovic等人提出的D-WARD模型[5].

2.2 中間層網絡防御

該策略主要以網絡的入侵檢測系統進行防御.入侵檢測系統通過捕獲、分析網絡數據包來檢測是否遭受攻擊.若網絡遭受攻擊,即采取措施對攻擊數據流進行相應的速率限制.這種策略的長處在于,一旦檢測到攻擊,就可以對流量迅速抑制,從而顯著減輕對被攻擊端的危害.缺點是中間層網絡路由器的數據流量較大,不僅耗費較多的資源,同時也給區分流量信息是否合法帶來一些困難,最終會對網絡合法流量造成損害,影響網絡的整體性能.

2.3 被攻擊端防御

被攻擊端是DDoS攻擊的直接受害者,將防御體系部署在被攻擊端是最直接也是最有利的,能夠有效防御DDoS攻擊,這是該策略的突出優點.缺點在于被攻擊端是DDos攻擊的重點,當攻擊力度超強,致使防御節點的存儲和處理能力系統癱瘓時,可能無法響應防御體系部署在整個路徑中攻擊強度最大的位置,將造成對于攻擊的響應程度極其有限.盡管如此,均衡利弊,將防御體系部署在被攻擊者端仍是有益的選擇,問題在于能否研制一種好的防御策略,使DDoS攻擊在被攻擊端不能發揮作用,進而達到保護被攻擊主機安全的目的.

3 基于非參數CUSUM算法的攻擊防御策略及其模型

為在被攻擊端有效地防御DDoS攻擊,本文基于非參數CUSUM算法[4-5],提出并設計了相關的防御策略及其防御模型,主要通過對被攻擊端口進行流量統計檢測,較為及時和準確地檢測出DDoS攻擊,從而達到有效防御被其攻擊的目的.

3.1 防御策略

1)分析數據報.計算機網絡的數據傳輸是以數據包的形式進行的.在因特網中,為了克服網絡的異構性,保證數據的正確傳輸,由IP協議定義了一種統一的數據包格式,稱為IP數據報,其結構如圖2所示.

圖2 IP數據報的結構Fig.2 Structure of datagram

由圖2可見,對于因特網中傳輸的任何數據包,包括DDoS攻擊的數據包,都必須以IP數據報的形式進行組織.IP數據報除了指明需要傳輸的數據本身外,還必須指明發送數據報主機的IP地址和接收數據報主機的IP地址.依據DDoS攻擊原理,其攻擊特點是從地理上分散的網絡中的多臺主機,通過發送大量的數據包來攻擊受害主機的.因此,可以對到達該主機的IP數據報的源IP地址和目的IP地址以及端口號進行分析,如果從地理上分散的網絡中若干臺主機發送的是大量的數據報,則認定為DDoS攻擊,從而加以防范.

2)分析流連密度.網絡在一定時間內所截取的一個相同的數據包集合,即含有相同的源地址端口號、目的地址端口以及端口號,稱為一個流連接,該流連接的個數,即為此時間內的流連接密度.可采用以下形式表示:設單位時間網絡流量內的IP數據包集合為R={p1,…,pi,…,pM},其中相關數據包集合為{R1,R2,…,PN},則可定義此網絡流內流連接密度為相關數據包集合的個數(N)[4].

表1反映了單位時間內某一網絡流內獲取的IP數據包集合.

表1 單位時間內某一網絡流內獲取的IP數據包集合信息Tab.1 Collection information of IP data package in one network flow per unit time

分析表1可知,在單位時間內的該網絡流內,通過對比相同的IP數據包集合,得出的相關

式中:Zn為時間序列值;Yn為的累積正值;x為檢測的統計特征.首先,計算出Zn的值,再通過式(1)、(2)計算出Yn.當(Zn+Yn-1)＞0,則Yn=Zn+Yn-1;否則Yn=0.判決函數為數據包集合有:{p0,p1}、{p4,C}、{p3,R}.根據定義,單位時間內該網絡流的流連接密度為3(該網絡單位時間內相關的數據包集合有3個).因而可根據流連接密度的疏密來分析網絡流量的異常,并籍此判斷分布式拒絕服務攻擊是否真實存在.

3)以非參數CUSUM算法改進流連密度的計算.基于非參數CUSUM算法改進流連接密度計算的基本思想是:通過運算某一時間Δt內新增加的源IP地址,得出一個時間序列{Zn},這個時間序列是多個Δt時間內得到的流連接密度序列.

可由下列公式實現:

式中:M為DDoS攻擊的檢測門限定值;dN(Yn)為在某一生成時刻對于M的判決結果.當函數dN(Yn)值為1時,表明有大量DDoS攻擊發生;函數dN(Yn)值為0時,表明此時網絡正常,沒有遭遇DDoS攻擊.

3.2 防御模型

基于非參數CUSUM算法改進流連接密度計算的DDoS攻擊防御模型(以下簡稱防御模型),主要由3大模塊組成,即采集模塊、時間序列模塊和過濾模塊.

1)采集模塊.進行每隔一定的Δt時間采集主機接收的IP數據包,并根據時間序列模塊、過濾模塊需要的數據格式進行格式轉換,同時將數據分層次傳遞給時間序列分析模塊和過濾模塊.

2)時間序列模塊.從采集模塊接收每隔一定Δt時間內采集的新增加的源IP地址數據包,抽象計算出流連接密度,并結合之前接受n-1個Δt時間內得到的流連接密度數據組成時間序列{Zn},根據式(1)、(2)和式(3)計算函數dN(Yn)的判斷結果,將最終的函數dN(Yn)判決結果送至過濾模塊.

3)過濾模塊.根據處理某數據包后所得出的數據信息,以及時間序列分析模塊傳送過來的函數dN(Yn)的判決結果,決定對該數據包正常接收還是拋棄.

防御模型如圖3所示.

圖3 防御模型Fig.3 Defending model

防御模型的運行機制為:1)該系統首先通過采集模塊獲取指定時間內的數據,然后對獲取的數據包進行分析(內容包括數據包的源地址、目的地址和具體的目的端號),并根據時間序列模塊、過濾模塊需要的數據格式進行格式轉換,將數據分層次傳遞給時間序列分析模塊和IP包過濾模塊.2)到達時間序列模塊的數據,對統計新增加的源IP地址的數據包進行計算,求出具體的流連接密度.即從采集模塊接收每隔一定的Δt時間內采集的新增加的源IP地址數據包,抽象計算出流連接密度,并結合之前接受n-1個Δt時間內得到的流連接密度數據組成時間序列{Zn},按CUSUM算法基本求其累積正值,再根據式(1)～(3)計算函數dN(Yn)的判斷結果,將最終的函數dN(Yn)判決結果送往過濾模塊.3)過濾模塊將流連接密度累積正值與門限值進行比較,若累積正值大于門限值,則根據數據采集模塊傳來的數據包信息,決定是否丟棄相關數據包或者正常傳送.

4 結語

本文通過分析基于流連接密度檢測DDoS攻擊的算法,給出了基于流連接密度時間序列分析的DDoS攻擊防御策略及其模型.針對該防御模型,筆者進行了一系列的實驗取證,將理論值與實驗運行結果進行比較,實驗值的出錯率僅為3.618%.分析其原因,主要是識別延誤和網絡噪聲等外在因素所造成的.對于這些外在因素,可以通過一系列措施來解決.如對于識別延誤,可通過改進系統靈敏裝置等適當方法使之減小,從而進一步降低出錯率.綜合實驗結果可以看出,該防御模型能檢測出大量的DDoS攻擊,及時過濾發出攻擊的惡意數據包信息,從而能夠在很大程度上有效地防御DDoS攻擊,保障主機或網絡的運行安全.

[1] 徐川.應用層DDoS攻擊檢測算法研究及實現[D].重慶:重慶大學,2012:1-10.

[2] 楊燕婷.DDoS攻擊之憂[J].中國教育網絡,2014(1):21-22.

[3] 王永杰,鮮明,陳志杰,等.DDoS攻擊分類與效能評估方法研究[J].計算機科學,2006,33(10):97-100.

[4] 嚴長虹.基于流連接密度的DDoS攻擊檢測與防御技術的研究與實現[D].蘇州:蘇州大學,2009:5-47.

[5] 張喆.基于CUSUM算法改進DDoS攻擊檢測系統D-WARD[D]//中國優秀博碩士學位論文全文數據庫.長春:吉林大學,2005:5-20.

On defending strategy for DDoS attack based on nonparametric CUSUM algorithm

YAN Chang-hong
(School of Information Engineering,Yancheng Institute of Technology,Yancheng,Jiangsu 224000,China)

Distributed Denial of Service(DDoS)has features including burstiness and wide distribution of attacked host which makes it difficult to defend it.Starting from analysis on the principle of DDoS attack and common defending strategies,this paper gives defending strategy for DDoS attack based on time series analysis of flow connection density and the model according to nonparametric CUSUM algorithm,and carries out experimental evidence comparing with theoretical values.Results show that the defending model can defend DDoS attack effectively to a large extent.

network security;Distributed Denial of Service;flow connection density;time series;defending strategy

TP 393.8

A

2095-3550(2014)04-0026-04

2014-08-26

嚴長虹,女,江蘇建湖人,講師,碩士.

E-mail:hycit@ycit.cn

(責任編輯:趙國淮)