高效識別DDoS攻擊的檢測技術研究發布者：本站     時間：2020-05-02 16:05:00

1 引 言

DDoS［1］全名是 Distributed Denial of service ( 分布式拒絕服務攻擊) ，它是一種分布式的協同發起的拒絕服務攻擊，借助數百、甚至數萬臺被入侵后安裝了攻擊進程的主機同時發起的集團行為． 它是危害更大、更易于達到攻擊效果、更難以抵御和追蹤的一種拒絕服務攻擊． 在這種嚴峻的形勢下，對DDoS 攻擊的研究逐漸稱為熱點，大量的 DDoS 檢測和防御技術應運而生． 然而 DDoS 攻擊技術在不斷發展，呈現出一些新的發展趨勢，這對攻擊檢測和防御提出了更高的要求． 主要表現有: 攻擊方式不斷更新、隱蔽性越來越強、攻擊準備時間縮短、隨著網絡技術的發展，漏洞會不斷產生、攻擊工具更加智能以及攻擊強度的不斷拉大這些都給檢測與防御造成很大的困難．根據防御策略防御可分為攻擊前，攻擊中，攻擊后的三個階段，防御技術可分為 4 大類［2］攻擊預防、攻擊檢測、攻擊源追蹤和攻擊緩解． DDoS 攻擊的檢測技術主要有異常檢測和誤用檢測兩大類． 如模式匹配［3］等． 本文研究重點在 DDoS 攻擊的檢測技術，怎樣及時高效的識別 DDoS 攻擊．傳統的 DDoS 檢測方法效率低下、系統開銷大、易產生單點失效且單點的異常檢測對分布式異常檢測處理能力弱． 基于協議特征分析的 DDoS 檢測方法不能檢測沒有明顯協議區別特征的 DDoS 攻擊，而基于網絡流量統計的 DDoS 檢測方法不能區分正常的大流量和 DDoS 的攻擊流量，可能會發生誤判且不可恢復． 由于存在這樣的問題迫切需要一種及時快速有效的檢測系統，盡早發現潛在的攻擊從而可以采取必要的措施來使損失降到最低．本文在現在有的檢測基礎上提出了一種新的檢測方法．我們通過在 P2P 骨干網的路由節點上部署 DDoS 檢測系統，在單點局部檢測的基礎上對檢測結果進行信息融合，采用全局決策的方式來判斷是否產生了 DDoS 攻擊． 目前單點檢測存在的問題有準確性不高，單點檢測閾值不好估算，計算量大，協同通信量大等問題，因此我們在單點檢測上基礎上修改了數據存儲結構，采用了信息熵與子空間以及聚類算法的方式來提空檢測效率．本文的貢獻主要有: 突破傳統集中式單點檢測在分布式情況下的局限性，利用局部檢測節點對網絡流量進行監控并發現潛在的被攻擊目標，再通過全網檢測節點信息的協同融合，實現在攻擊流量到達目標之前發現攻擊行為的目的． 利用連續的概要矩陣存儲采集得到的數據，對網絡報文的目的 IP地址信息進行壓縮存儲，即便于數據分析，采用信息熵的理論對網絡流量的變化進行統計，然后用子空間與聚類方法相結合的方式來來確認可疑的網絡行為． 優化了存儲空間，可以實時進行網絡流量監控，提高了單點檢測的準確性與及時性．通過對本文中分布式協同 DDoS 協同檢測系統的功能進行模擬仿真測試表明本系統可以滿足檢測率和假陽率的要求，與其它方案相比也具有很好的及時性與準確性，能夠及時準確的檢測到 DDoS 的攻擊．

2 相關研究

針對 DDoS 攻擊流量的大幅度增加特點利用流量變化來檢測 DDoS 是應用最廣泛的方法． 由此可以將檢測策略分為基于正常流特征和異常流特征的檢測． 如文獻［4，5］提到的基于 IPv6 下對泛洪 DDoS 攻擊時發生時流量顯著變化的特點進行檢測的方法．Jin［6］提出了一種利用協方差分析檢測 SYN flooding 攻擊的方法，它是通過對單位時間內不同的 TCP 報文累積量化計算協方差矩陣來得出其變化情況從而判斷是否發生了攻擊．此外，基于熵的攻擊檢測方式也越來越受到關注，如: 文獻［7］提到的基于小波理論與信息相結合的方式進行 DDoS攻擊的檢測方法以及 文獻［8］提到的應用滑動窗口理論的目的 IP 熵計算方法來檢測 DDoS 攻擊． 但是存在存儲空間大、只是單點檢測沒有多個節點協同檢測的缺點．由此可見，僅通過攻擊流特征或者正常流特征難以準確識別 DDoS 攻擊． 根據現在檢測方法的不足，提出了基于 DHT技術的協同分布式拒絕服務攻擊檢測系統，攻擊檢測平臺的工作內容主要著眼為: 單個檢測點和全局協同判斷． 單點檢測描述了如何收集和壓縮大量的網絡信息，并從中判斷出可疑行為． 全局檢測主要介紹在分布式網絡中運行 DHT 技術貯存信息的優勢，并解釋為了使用網絡中單個檢測節點協同工作，是如何運用 DHT 技術進行信息共享從而做出全局決策的． 本文著重介紹了基于熵的聚類算法來分析流量特征的單點檢測技術．3 熵聚類的單點檢測技術。