王佳佳

（泰州職業(yè)技術(shù)學(xué)院信息工程學(xué)院，江蘇泰州225300）

DDoS（Distributed Denial of Service） 攻擊是利用足夠數(shù)目的傀儡機(jī)產(chǎn)生數(shù)量巨大的攻擊包對(duì)一個(gè)或多個(gè)目標(biāo)實(shí)施DoS攻擊，耗盡受害端的資源，最終使得受害端喪失提供正常網(wǎng)絡(luò)服務(wù)的能力。DDoS攻擊是目前網(wǎng)絡(luò)安全最嚴(yán)重的威脅之一，是對(duì)網(wǎng)絡(luò)可用性的嚴(yán)峻挑戰(zhàn)。如何準(zhǔn)確盡快地檢測(cè)出DDoS攻擊，是當(dāng)前研究的重點(diǎn)。

本文提出了一種基于源端網(wǎng)絡(luò)并適合所有類型DDoS攻擊檢測(cè)的算法，根據(jù)攻擊發(fā)生時(shí)出入流量的不對(duì)稱特性，利用Bloom Filter結(jié)構(gòu)檢測(cè)出攻擊。該方法具有準(zhǔn)確性高，能夠在線實(shí)時(shí)檢測(cè)，更適合大流量背景，并且易于追溯攻擊源等特點(diǎn)。本文方法主要采用了兩種技術(shù)：1）Bloom Filter數(shù)據(jù)結(jié)構(gòu)，該結(jié)構(gòu)使用靜態(tài)固定存儲(chǔ)空間和靜態(tài)存儲(chǔ)方法，能夠用較少的空間存儲(chǔ)大量的數(shù)據(jù)包信息，采用簡(jiǎn)單加減計(jì)算避免了復(fù)雜Hash函數(shù)的選擇，不僅進(jìn)一步節(jié)約了網(wǎng)絡(luò)資源而且提高了準(zhǔn)確度；2）CUSUM檢測(cè)方法，CUSUM方法的特點(diǎn)是能夠盡快反映出攻擊發(fā)生時(shí)數(shù)據(jù)包特征的變化情況。本文方法不僅具有準(zhǔn)確性好、檢測(cè)迅速、消耗的計(jì)算資源少等特點(diǎn)，而且能夠區(qū)分正常的網(wǎng)絡(luò)擁塞與攻擊，同時(shí)適用于所有的DDoS攻擊檢測(cè)。

1 研究現(xiàn)狀

所謂源端DDoS攻擊檢測(cè)指的是將檢測(cè)算法布置在發(fā)出攻擊數(shù)據(jù)包的主機(jī)所處網(wǎng)絡(luò)的邊界路由器上。將DDoS攻擊檢測(cè)系統(tǒng)部署在源端，可以使得攻擊數(shù)據(jù)流在進(jìn)入網(wǎng)絡(luò)之前被阻止，將攻擊對(duì)網(wǎng)絡(luò)的威脅降到最低，是最為理想的一種方法[1]。目前針對(duì)源端檢測(cè)已經(jīng)有很多的解決方案。文獻(xiàn)[2]提出了數(shù)據(jù)包過(guò)濾的方法，即將惡意數(shù)據(jù)包從網(wǎng)絡(luò)中區(qū)分出來(lái)，然后在網(wǎng)絡(luò)層安裝過(guò)濾工具，將惡意數(shù)據(jù)包在到達(dá)目標(biāo)網(wǎng)段之前刪除。但該方法不能正確檢測(cè)出所有DDoS攻擊數(shù)據(jù)包，而且檢測(cè)消耗的資源較大。文獻(xiàn)[3]假設(shè)DDoS攻擊發(fā)生時(shí)僵尸主機(jī)都在使用帶寬的上限發(fā)送數(shù)據(jù)包，不能對(duì)其他請(qǐng)求及時(shí)回應(yīng)，因此提出了通過(guò)向網(wǎng)絡(luò)中發(fā)送廣播數(shù)據(jù)包，沒(méi)有應(yīng)答的即為攻擊機(jī)的方法。但攻擊發(fā)生時(shí)網(wǎng)絡(luò)中本身存在的數(shù)據(jù)包就已經(jīng)很多，此舉無(wú)異于雪上加霜。

本文提出的方法只需要對(duì)不同來(lái)源的數(shù)據(jù)包做簡(jiǎn)單計(jì)算即可檢測(cè)是否發(fā)生攻擊，不會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生較大影響。采用DDoS攻擊的基本特征，能夠檢測(cè)出所有類型的DDoS攻擊。檢測(cè)方法簡(jiǎn)單使得本文方法可以部署在任意網(wǎng)絡(luò)出口設(shè)備中（即局域網(wǎng)和廣域網(wǎng)相連接的設(shè)備，如路由器等）。

2 DDoS攻擊特征分析

文獻(xiàn)[4]等從不同角度分析了DDoS攻擊的特點(diǎn)，并給出了不同的分類標(biāo)準(zhǔn)。

攻擊的形式多種多樣，但各種DDoS攻擊在發(fā)生時(shí)都具有以下若干特征：（1）網(wǎng)絡(luò)流量的目的地址過(guò)于集中；（2） 網(wǎng)絡(luò)中出現(xiàn)大量涌向受害端的攻擊數(shù)據(jù)包；（3）攻擊數(shù)據(jù)包很快使得受害端網(wǎng)絡(luò)擁塞甚至拒絕服務(wù)；（4）網(wǎng)絡(luò)中的攻擊數(shù)據(jù)包會(huì)持續(xù)一段時(shí)間。

從以上描述可知，DDoS的特征就是攻擊發(fā)生時(shí)會(huì)出現(xiàn)數(shù)量巨大的攻擊數(shù)據(jù)包使得受害端拒絕服務(wù)[5]。因此從網(wǎng)絡(luò)中攻擊數(shù)據(jù)包的數(shù)量變化進(jìn)行分析，就可能識(shí)別出各種DDoS攻擊。

3 基于Bloom Filter的信息提取

Bloom Filter在1970年由布隆提出，是由一些二進(jìn)制向量和隨機(jī)函數(shù)組成的數(shù)據(jù)結(jié)構(gòu)。它的存儲(chǔ)空間和插入查詢時(shí)間都是常數(shù)，不會(huì)隨著存儲(chǔ)元素個(gè)數(shù)的增加而變化。Bloom Filter是基于一行初始值為0的m位比特（b1，b2，…，bm），再使用k個(gè)相互獨(dú)立的hash函數(shù)，每個(gè)hash函數(shù)的返回值在1到m之間，被擊中的比特位設(shè)置值為1。在DDoS攻擊發(fā)生時(shí)，數(shù)據(jù)流量較大，應(yīng)用Bloom Filter則具有明顯優(yōu)勢(shì)[6]。

本文算法基于Bloom Filter的數(shù)據(jù)結(jié)構(gòu)，并作了一定的改進(jìn)，三級(jí)向量、多比特位，增大了應(yīng)用范圍；采用簡(jiǎn)單加減計(jì)算避免了復(fù)雜Hash函數(shù)的選擇，不僅進(jìn)一步節(jié)約了網(wǎng)絡(luò)資源而且提高了準(zhǔn)確度。DDoS攻擊發(fā)生時(shí)，網(wǎng)絡(luò)中會(huì)出現(xiàn)大量的異常攻擊數(shù)據(jù)包，這勢(shì)必使網(wǎng)絡(luò)中數(shù)據(jù)包數(shù)量相關(guān)的統(tǒng)計(jì)特性相比正常情況發(fā)生特定的變化。因此，通過(guò)合適的算法定能檢測(cè)出攻擊的存在。首先說(shuō)明如何計(jì)算網(wǎng)絡(luò)中出現(xiàn)異常數(shù)據(jù)包的次數(shù)，路由器上每個(gè)端口處理的數(shù)據(jù)包都會(huì)分成inbound和outbound兩個(gè)方向，每個(gè)端口對(duì)應(yīng)于Bloom Filter中的一個(gè)計(jì)數(shù)器。我們改進(jìn)了Bloom Filter結(jié)構(gòu)，使得一個(gè)網(wǎng)絡(luò)設(shè)備端口對(duì)應(yīng)于三級(jí)向量Ti、To和Ts（如圖1所示）。改進(jìn)后的結(jié)構(gòu)能夠方便的統(tǒng)計(jì)出設(shè)備各個(gè)端口數(shù)據(jù)包的流量。

圖1 算法中使用的Bloom Filter結(jié)構(gòu)

由于網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量不能僅用單個(gè)0或者1表達(dá)，本文將單個(gè)比特位進(jìn)行了擴(kuò)展，一定程度上增大了存儲(chǔ)空間，但這和攻擊發(fā)生時(shí)進(jìn)行測(cè)試所需要的數(shù)據(jù)存儲(chǔ)空間相比是很小的。

首先初始化Bloom Filter，使得Ti、To和Ts等一維m位向量的初始值均為0。Ti用來(lái)保存經(jīng)過(guò)路由器的入數(shù)據(jù)包的數(shù)量，To用來(lái)保存經(jīng)過(guò)路由器的出數(shù)據(jù)包的數(shù)量。Ti、To中的值均為大于等于0的正整數(shù)，如果Ti中的計(jì)數(shù)器為0，則說(shuō)明沒(méi)有數(shù)據(jù)包從該接口進(jìn)入網(wǎng)絡(luò)設(shè)備，如果To中的計(jì)數(shù)器為0，則說(shuō)明沒(méi)有數(shù)據(jù)包從該接口被轉(zhuǎn)發(fā)出去。然后將Bloom Filter計(jì)算值加入到對(duì)應(yīng)行的比特位當(dāng)中，計(jì)算并存儲(chǔ)Ts值。

當(dāng)數(shù)據(jù)包到來(lái)時(shí)，基于Bloom Filter的信息提取算法描述如下：

（1）分析該數(shù)據(jù)包所在的接口，并在Bloom Filter結(jié)構(gòu)中找到對(duì)應(yīng)的列Cj（1<=j<=m）；

（2） 分析該數(shù)據(jù)包的接口方向，如果是入數(shù)據(jù)包則Ti對(duì)應(yīng)的計(jì)數(shù)器Cj增加1；如果是出數(shù)據(jù)包則To對(duì)應(yīng)的計(jì)數(shù)器Cj增加1；

（3） 計(jì)算并重置向量Ts中計(jì)數(shù)器Cj的值。Ts中計(jì)數(shù)器Cj的值等于Ti中計(jì)數(shù)器Cj的值和To中計(jì)數(shù)器Cj的值差值的絕對(duì)值。

網(wǎng)絡(luò)中tcp占據(jù)絕大部分流量[7]。在正常情況下，三次握手是能夠成功的，即網(wǎng)絡(luò)設(shè)備各個(gè)接口出入方向的數(shù)據(jù)包數(shù)量差異是限制在一定范圍內(nèi)的。此外還有少量不需應(yīng)答的udp數(shù)據(jù)包，在正常的網(wǎng)絡(luò)行為模式下，udp數(shù)據(jù)包受應(yīng)用軟件生成數(shù)據(jù)的速率、傳輸帶寬、源端和終端主機(jī)性能的限制，傳輸速度要遠(yuǎn)遠(yuǎn)低于攻擊發(fā)生時(shí)數(shù)據(jù)包的傳輸速度。通過(guò)網(wǎng)絡(luò)日常行為模式的收集，調(diào)整閾值，階段性重置計(jì)數(shù)器可以消除此類影響。因此，TS中m個(gè)計(jì)數(shù)器的和可以限制在閾值范圍內(nèi)。即使在正常網(wǎng)絡(luò)發(fā)生擁塞時(shí)，用戶正常刷新網(wǎng)絡(luò)數(shù)據(jù)的速度仍然要遠(yuǎn)低于使用DDoS攻擊工具的速度，因此TS中的m個(gè)計(jì)數(shù)器的和仍然可以限制在閾值范圍內(nèi)。當(dāng)DDoS攻擊發(fā)生時(shí)，網(wǎng)絡(luò)中會(huì)不斷出現(xiàn)大量不能完成三次握手只能進(jìn)行單向傳輸?shù)臄?shù)據(jù)包，因此TS中向量計(jì)數(shù)器的累加和會(huì)迅速超出閾值，即發(fā)生了異常。

4 基于CUSUM的DDoS攻擊檢測(cè)方法

觀察網(wǎng)絡(luò)數(shù)據(jù)包統(tǒng)計(jì)分布的微小變化很難。如果使用CUSUM算法則簡(jiǎn)單很多。CUSUM最早用于連續(xù)分析技術(shù)，通常用于檢測(cè)變化序列，是目前已知最優(yōu)的變點(diǎn)算法之一。原始的CUSUM序列算法描述如下：CUSUM（i=Qi-k）+CUSUMi-1。其中Qi為統(tǒng)計(jì)序列。由于網(wǎng)絡(luò)中數(shù)據(jù)流量不能用簡(jiǎn)單的高斯或其他線性模型來(lái)描述，因此本文采用無(wú)參數(shù)的CUSUM算法，無(wú)參數(shù)的CUSUM算法不受具體參數(shù)值的影響，并且計(jì)算量較小，應(yīng)用在DDoS攻擊檢測(cè)當(dāng)中較為理想。具體公式如下：

本文采用TS中各計(jì)數(shù)器值的累加結(jié)果作為檢測(cè)統(tǒng)計(jì)序列Qi，正常情況下，這是一個(gè)接近零的序列。我們?cè)贅?gòu)造一個(gè)新的隨機(jī)序列假設(shè)E（Q）i=α，則參數(shù)k是常數(shù)，且滿足α

正常情況下，Zi序列是負(fù)值且相對(duì)穩(wěn)定。在發(fā)生DDoS攻擊的情況下，隨著攻擊包的產(chǎn)生，TS中部分計(jì)數(shù)器的值會(huì)大幅增加，經(jīng)過(guò)本文第3節(jié)對(duì)數(shù)據(jù)的處理，Zi序列會(huì)迅速提升為一個(gè)正的數(shù)值。為了使得本文算法更加穩(wěn)定可靠，同時(shí)避免擁塞引起的誤判，本文每隔一定時(shí)間t會(huì)對(duì)Bloom Filter中的數(shù)值進(jìn)行重置，一段時(shí)間（>）t之后可以得到一個(gè)根據(jù)時(shí)間間隔t變化的序列{Zi，i=1，2，3…}，其中 Zi= （Qi-k） +Zi-1。

因此本文CUSUM算法的計(jì)算結(jié)果有正值和負(fù)值之分。如果結(jié)果是負(fù)值，表明當(dāng)前網(wǎng)絡(luò)處于正常工作狀態(tài)；如果結(jié)果是正值且以很快速度不斷增大，表明當(dāng)前網(wǎng)絡(luò)可能已經(jīng)受到DDoS攻擊。

攻擊發(fā)生時(shí)，算法結(jié)果會(huì)迅速提升為正值，但提升到什么程度才能認(rèn)為發(fā)生DDoS攻擊呢？閾值N的設(shè)置就尤為重要了，通過(guò)一段時(shí)間內(nèi)在正常情況下實(shí)際網(wǎng)絡(luò)數(shù)據(jù)包數(shù)量變化的統(tǒng)計(jì)可以找出合適的閾值。如果Yi沒(méi)有超過(guò)N則返回結(jié)果為0，認(rèn)為網(wǎng)絡(luò)仍然處于正常狀態(tài)，一旦Yi超過(guò)N則返回結(jié)果為1，認(rèn)為發(fā)生了攻擊，公式如下：

5 實(shí)驗(yàn)結(jié)果及分析

本文檢測(cè)采用的攻擊場(chǎng)景測(cè)試集是DARPA提供的數(shù)據(jù)集。m值的選取依賴于局域網(wǎng)直接和外網(wǎng)相連的網(wǎng)絡(luò)設(shè)備接口數(shù)量，m值太小則不利于網(wǎng)絡(luò)的可擴(kuò)展性，m值太大則浪費(fèi)存儲(chǔ)空間。目前，一臺(tái)路由器接口數(shù)量一般不超過(guò)20個(gè)，為了實(shí)現(xiàn)向上兼容，本文選取參數(shù)m的數(shù)值為100。采樣間隔如果太小，則容易影響設(shè)備性能，采樣間隔如果太大，則容易漏掉一部分攻擊包。因此實(shí)驗(yàn)中，采樣間隔設(shè)置為200個(gè)數(shù)據(jù)包，每一級(jí)的向量組均設(shè)置為m=100位。正常情況下，CUSUM算法檢測(cè)序列隨時(shí)間沒(méi)有特別明顯的變化，本文實(shí)驗(yàn)使用的正常數(shù)據(jù)包來(lái)源于當(dāng)時(shí)實(shí)際網(wǎng)絡(luò)轉(zhuǎn)發(fā)的數(shù)據(jù)（包括tcp包和udp包）。通過(guò)Bloom Filter計(jì)數(shù)器對(duì)實(shí)際網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)的計(jì)算，得出正常情況下Qi的最大值為20，同時(shí)考慮到現(xiàn)有設(shè)備的容錯(cuò)能力，本文選取攻擊檢測(cè)閾值N=20。

圖2 本文算法檢測(cè)結(jié)果

圖2 則顯示了本文算法在攻擊檢測(cè)的過(guò)程中能夠盡快發(fā)現(xiàn)攻擊。橫坐標(biāo)表示本文算法檢測(cè)的數(shù)據(jù)包的數(shù)量，縱坐標(biāo)表示CUSUM算法的計(jì)算值。正常狀態(tài)下，CUSUM計(jì)算值都在正常范圍內(nèi)（例如負(fù)值）。但是當(dāng)檢測(cè)到約420000個(gè)數(shù)據(jù)包時(shí)，CUSUM檢測(cè)值突然變?yōu)檩^大的正值且超過(guò)了閾值，說(shuō)明此時(shí)發(fā)生了攻擊。

6 結(jié)語(yǔ)

在檢測(cè)DDoS攻擊的過(guò)程中，很多源端檢測(cè)方法往往不能檢測(cè)出所有類型的攻擊。本文提出了一種有效的可以部署在源端的DDoS攻擊檢測(cè)方法，可以在只出現(xiàn)少量攻擊數(shù)據(jù)包的情況下準(zhǔn)確發(fā)現(xiàn)所有類型的DDoS攻擊，適用于源端檢測(cè)，也為監(jiān)控攻擊數(shù)據(jù)包的來(lái)源以及通知受害端進(jìn)行防御贏得了寶貴的時(shí)間。另外，在攻擊流量較小時(shí)進(jìn)行檢測(cè)及監(jiān)控，對(duì)網(wǎng)絡(luò)的性能也不會(huì)有太大的影響，為阻止后續(xù)攻擊提供了方便，具有一定的現(xiàn)實(shí)意義。

現(xiàn)有的DDoS攻擊檢測(cè)算法一般在檢測(cè)成功之后仍然無(wú)法將攻擊數(shù)據(jù)流直接過(guò)濾，因此，結(jié)合DDoS攻擊檢測(cè)的研究還需進(jìn)一步做好過(guò)濾攻擊包的工作，以更好的阻止DDoS攻擊。

[1]嚴(yán)芬,王佳佳,陳軼群,等．一種輕量級(jí)的 SYN Flooding攻擊檢測(cè)方法[J].計(jì)算機(jī)科學(xué),2008,35（9）：72-75．

[2]X.Liu,X.Yang,and Y.Lu.To filter or authorize:network-layer DoSdefense against multimillion-node botnets[C].Seattle Washington USA,2008.

[3]M Walfish,M Vutukuru,H Balakrishan,D Karger,S Shenker.DDoSdefense by offense[C].SIGCOMM,2006.

[4]CHANGRKC.Defendingagainst flooding-based distributed denial-of-service attacks：Atutoria1[J].IEEE Communications Magazine，2002，40（10）：42—51.

[5]J Jung,B Krishnamurthy,M Rabinovich.Flash Crowds and Denial of Service Attacks:Characterization and Implications for CDNs and Web Sites[C].Honolulu,Hawaii,USA,2002.

[6]嚴(yán)芬,王佳佳,殷新春,等．一種基于 Hurst參數(shù)的 SYN Flooding攻擊實(shí)時(shí)檢測(cè)方法[J].計(jì)算機(jī)科學(xué),2008,35(12)：109-113，162.

[7]張藝瀕,張志斌,趙詠,等.TCP與UDP網(wǎng)絡(luò)流量對(duì)比分析研究[J].計(jì)算機(jī)應(yīng)用研究，2010，27（6）：2192-2197.