代昆玉 ，胡濱，雷浩

0 引言

拒絕服務(wù)DoS（Denial of Service）攻擊是指攻擊者通過向目標(biāo)主機(jī)發(fā)送大量數(shù)據(jù)，消耗目標(biāo)主機(jī)的計(jì)算資源或網(wǎng)絡(luò)資源從而破壞目標(biāo)主機(jī)向其合法用戶提供服務(wù)。分布式拒絕服務(wù)DDoS（Distributed Denial of Service）攻擊是DoS攻擊的分布式形式。DDoS攻擊通過分布在整個(gè)因特網(wǎng)上的大量主機(jī)同時(shí)向受害主機(jī)發(fā)起大量的數(shù)據(jù)包, 使用多個(gè)受害系統(tǒng)運(yùn)行幾個(gè) DoS攻擊，協(xié)調(diào)一致的攻擊一個(gè)或多個(gè)受害主機(jī)。

隨著網(wǎng)絡(luò)層和傳輸層的 DDoS攻擊檢測技術(shù)已日漸成熟，防御措施不斷加強(qiáng)，針對底層的DDoS攻擊已難于達(dá)到攻擊目的，攻擊者把攻擊目標(biāo)轉(zhuǎn)移到應(yīng)用層。應(yīng)用層DDoS攻擊通過消耗大量服務(wù)器的計(jì)算資源，阻止合法用戶的正常訪問。由于應(yīng)用層攻擊使用高層協(xié)議，故可以利用合法的協(xié)議和服務(wù)發(fā)起攻擊，尤其與突發(fā)流量FC（Flash Crowd）非常相似。因此，傳統(tǒng)用于網(wǎng)絡(luò)層和傳輸層的DDoS攻擊檢測方法不能直接用于應(yīng)用層DDoS攻擊檢測，研究針對應(yīng)用層DDoS攻擊檢測方法已成為近年來網(wǎng)絡(luò)安全領(lǐng)域的新熱點(diǎn)。

當(dāng)前，許多關(guān)于DDoS攻擊的研究都集中在網(wǎng)絡(luò)層和傳輸層。胡鴻等提出一種基于TCP 緩存的DDoS攻擊檢測算法，通過使用BP神經(jīng)網(wǎng)絡(luò)來檢測TCP緩存的異常程度，根據(jù)異常程度判斷攻擊是否發(fā)生[1]。Ejaz等提出了通過時(shí)間序列的變化點(diǎn)，使用無參的累加和方法檢測SYN洪泛攻擊[2]。文獻(xiàn)[3]提出了一個(gè)以信息論為基礎(chǔ)的異常檢測算法，采用熵和條件熵，其可幫助異常檢測系統(tǒng)區(qū)分?jǐn)?shù)據(jù)和參數(shù)設(shè)置。

然而，對于應(yīng)用層的DDoS攻擊的研究相對較少。當(dāng)應(yīng)用層DDoS攻擊發(fā)生時(shí)，其流量特征和FC非常相似，因此，正確的區(qū)分FC和DDoS攻擊流量是十分重要的。Jung等人在文獻(xiàn)[4]中詳細(xì)討論了應(yīng)用層DDoS和FC的區(qū)別。Li等人用混合測度來檢測流量分布的偏移，從而區(qū)分DDoS攻擊和FC事件[5]。王風(fēng)宇等通過分析Web通信的外聯(lián)行為特征的穩(wěn)定性，提出了一種應(yīng)用層DDoS攻擊的檢測方法[6]。

本文通過對網(wǎng)絡(luò)流量特征進(jìn)行分析，根據(jù)應(yīng)用層DDoS攻擊流量和正常流量的特征區(qū)別，提出一個(gè)DDoS攻擊的檢測模型，通過對源IP地址進(jìn)行分析，能夠有效地識別應(yīng)用層DDoS攻擊，并且針對DDoS攻擊流量和FC流量的相似性，詳細(xì)討論兩者的流量特征，選取主要特征正確區(qū)分兩者，減少誤報(bào)率和漏報(bào)率。

1 應(yīng)用層DDoS攻擊檢測模型

DDoS攻擊的檢測模型如圖1所示：

圖1 DDoS攻擊檢測模型

由于網(wǎng)絡(luò)環(huán)境處于正常狀態(tài)時(shí)，其流量是有規(guī)律地變化的。一旦網(wǎng)絡(luò)流量發(fā)生突然改變，網(wǎng)絡(luò)流量分析模塊就發(fā)送一個(gè)警告信號給DDoS攻擊檢測模塊，DDoS攻擊模塊用于判斷是FC流量還是DDoS攻擊。當(dāng)DDoS攻擊被檢測到時(shí)，攻擊響應(yīng)模塊被激活，以過濾掉惡意流量并對真正的用戶維持不間斷的服務(wù)。另一方面，檢測到FC時(shí)，激活各種負(fù)載分擔(dān)機(jī)制，如內(nèi)容分發(fā)網(wǎng)絡(luò)能夠容納額外的合法的客戶端訪問網(wǎng)絡(luò)資源，分擔(dān)網(wǎng)絡(luò)流量，確保網(wǎng)絡(luò)的正常運(yùn)行。

1.1 DDoS攻擊檢測

通過對源IP地址進(jìn)行分析來檢測DDoS攻擊。使用2個(gè)主要的模塊：源IP地址分析模塊和DDoS攻擊判定模塊。

源IP地址分析模塊從收到的網(wǎng)絡(luò)流量中抽取源IP地址信息并判斷其是一個(gè)新的還是舊的IP地址。為了實(shí)現(xiàn)該功能，在源IP地址分析模塊采用2個(gè)數(shù)組來保存源IP地址，即IPold和IPnew。數(shù)組IPold由已知的攻擊流量樣本和正常流量的源IP地址初始化。數(shù)組IPnew在系統(tǒng)開始啟動(dòng)時(shí)初始化為空。IPnew數(shù)組被用來暫時(shí)保存從未見過的源IP地址，只有當(dāng)DDoS攻擊判定模塊中的detect函數(shù)確定系統(tǒng)不再遭受攻擊時(shí)，才把IPnew數(shù)組中的數(shù)據(jù)復(fù)制到IPold數(shù)組中，以此保證IPold數(shù)組的安全性。如果detect函數(shù)確定系統(tǒng)正遭受攻擊，則丟棄IPnew數(shù)組。

在攻擊檢測模塊中，使用一個(gè)detect函數(shù)來檢查攻擊，其包含2個(gè)狀態(tài)：有攻擊和無攻擊。文中假設(shè)系統(tǒng)開始運(yùn)行時(shí)是處于無攻擊狀態(tài)。detect函數(shù)周期性的運(yùn)行，分析從未知源IP地址傳來的數(shù)據(jù)包的速率。使用狀態(tài)改變函數(shù)來檢測傳入的數(shù)據(jù)包速率的突發(fā)性變化。在此基礎(chǔ)上確定系統(tǒng)狀態(tài)，即是從有攻擊到無攻擊，還是從無攻擊到有攻擊。detect函數(shù)偽碼如圖2所示：

圖2 detect函數(shù)偽碼表示

Detect函數(shù)中使用了一個(gè)狀態(tài)改變函數(shù)Statechange來檢查流量達(dá)到率的一個(gè)突發(fā)變化，以此來確定系統(tǒng)狀態(tài)的改變，該函數(shù)主要使用CUSUM算法。CUSUM算法是一個(gè)順序分析算法，該算法假設(shè)在網(wǎng)絡(luò)流量發(fā)生改變時(shí)，統(tǒng)計(jì)屬性中被查參數(shù)的平均值。CUSUM 算法基于這一事實(shí)：如果有變化發(fā)生，隨機(jī)序列的概率分布也會(huì)改變.針對實(shí)時(shí)網(wǎng)絡(luò)流量分析，在惡意事件發(fā)生前后要評估流量的分布都是很困難的，在變化檢查中，這一問題可使用非參數(shù)的CUSUM算法解決[7]。文中使用非參數(shù)的CUSUM算法改變檢測技術(shù)來分析源IP地址。

1.2 區(qū)分DDoS和FC

由于DDoS攻擊和FC特征上的相似性，經(jīng)常會(huì)把DDoS攻擊誤認(rèn)為是FC事件，或者把FC事件誤認(rèn)為是DDoS攻擊，從而導(dǎo)致漏報(bào)和誤報(bào)。因此，要想正確的區(qū)分DDoS攻擊和FC事件，必需對其特征進(jìn)行詳細(xì)的討論。

在網(wǎng)絡(luò)環(huán)境中，突發(fā)流量是指大量合法用戶同時(shí)發(fā)送訪問請求到服務(wù)器，它集中在某個(gè)特定的時(shí)間在網(wǎng)絡(luò)中的某個(gè)特定的網(wǎng)站。例如，突發(fā)的災(zāi)難（汶川地震），或重大運(yùn)動(dòng)賽事（世界杯的舉行）等都會(huì)引起FC的出現(xiàn)。這會(huì)導(dǎo)致傳入流量的顯著增加，從而導(dǎo)致服務(wù)質(zhì)量QoS（Quality-of-Service）降級。

DDoS攻擊也會(huì)帶來類似的結(jié)果，例如流量水平的突然改變，由大量的請求引起的網(wǎng)站不可用等。DDoS攻擊流量和FC流量有兩個(gè)共同的特征：一是它們都只有一個(gè)目標(biāo)，所有的數(shù)據(jù)包都是發(fā)向該目標(biāo)。二是巨大的流量持續(xù)的送往目的地足以擁塞鏈路和主機(jī)。在這種情況下，服務(wù)器會(huì)因?yàn)橘Y源的限制和帶寬耗盡而無法提供正常的服務(wù)。

但是，DDoS和FC之間仍然存在一些細(xì)微差異，如訪問意圖、客戶端的請求速率、源IP地址的分布情況等。DDoS和FC的詳細(xì)區(qū)別如表1所示：

表1 DDoS攻擊和FC特征比較

文中主要選取流量的變化率，新的源IP地址的變化率和源IP地址的請求分配率3個(gè)參數(shù)來分析網(wǎng)絡(luò)流量，幫助從FC流量中區(qū)分出DDoS攻擊流量。

2 實(shí)驗(yàn)

由于公開的應(yīng)用層DDoS攻擊和FC事件的真實(shí)數(shù)據(jù)集很少，故實(shí)驗(yàn)中需要模擬網(wǎng)絡(luò)流量。為了產(chǎn)生具有以上特征的網(wǎng)絡(luò)流量，使用IP別名和Wget工具相結(jié)合。IP別名是一個(gè)可用于眾多平臺的技術(shù)，用于分配大量不同的IP到一個(gè)單一的硬件地址。wget是一個(gè)從網(wǎng)絡(luò)上自動(dòng)下載文件的自由工具，支持通過HTTP、HTTPS、FTP3個(gè)最常見的TCP/IP協(xié)議下載，并可以使用HTTP代理。因此，采用IP別名和Wget能夠創(chuàng)建一組“bot”機(jī)和合法用戶的現(xiàn)象，每一個(gè)都帶有一個(gè)有效的IP地址和硬件地址用于模擬真實(shí)的DDoS攻擊和FC。

實(shí)驗(yàn)環(huán)境由8個(gè)主機(jī)構(gòu)成，分別模擬“bot”機(jī)和合法用戶，由控制機(jī)統(tǒng)一控制，共同發(fā)送流量到目標(biāo)服務(wù)器?？刂茩C(jī)發(fā)出命令啟動(dòng)每個(gè)參與的主機(jī)創(chuàng)建一個(gè)“bot”實(shí)例。除了目標(biāo)服務(wù)器外，其它所有的機(jī)器采用普通的PC機(jī)。實(shí)驗(yàn)環(huán)境初始化為所有的攻擊者或是目標(biāo)機(jī)的端口都通過交換機(jī)連接。每8個(gè)主機(jī)配置3200個(gè)“bot”，使用別名源IP綁定到硬件地址。每個(gè)“bot”配置一個(gè)唯一的源IP地址.

通過上述的配置，使用“bot”裝載產(chǎn)生合成的FC流量來進(jìn)行實(shí)驗(yàn)，使用1998年世界杯半決賽的流量來產(chǎn)生合成流量。為了計(jì)算相關(guān)參數(shù)，如數(shù)據(jù)包的數(shù)量，不同的源IP地址的數(shù)量，不同的訪問資源的數(shù)量以及在各個(gè)采樣間隔采集的正常資源的熵等，對這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。“bot”裝載者使用這些信息產(chǎn)生合成流量。

單位時(shí)間內(nèi)在目標(biāo)服務(wù)器注冊的源IP地址數(shù)量的變化如圖3所示：

圖3 源IP地址數(shù)量比較圖

不同的源IP地址的數(shù)量在模擬流量上非常接近原始的FC數(shù)據(jù)，雖然在整個(gè)仿真過程中，目標(biāo)機(jī)看到的不同的源IP地址的總數(shù)略小于預(yù)期值。

對于FC事件，大部分用戶總是對特定事件的相關(guān)信息感興趣。這一特征對于客戶端來說是一個(gè)相對恒定的請求，因此，對于進(jìn)入服務(wù)器的流量，客戶端數(shù)量以一個(gè)相似的形式變化，正如圖3所示。

3 總結(jié)

文中，通過對網(wǎng)絡(luò)流量的分析，尤其是對源IP地址進(jìn)行分析來檢測應(yīng)用層DDoS攻擊，得到了較好的檢測結(jié)果，同時(shí)，針對DDoS攻擊和FC流量的相似性，通過辨識各相關(guān)特征，能夠正確的區(qū)分二者，減少了誤報(bào)率和漏報(bào)率。文中對提出的模型只進(jìn)行了部分實(shí)驗(yàn)，同時(shí)，實(shí)驗(yàn)數(shù)據(jù)使用的是合成網(wǎng)絡(luò)流量數(shù)據(jù)，下一步的工作是完成對整個(gè)模型的整體實(shí)驗(yàn)以及采用真實(shí)的網(wǎng)絡(luò)數(shù)據(jù)對模型進(jìn)行評估。

[1]胡鴻, 袁津生, 郭敏哲.基于 TCP 緩存的 DDoS 攻擊檢測算法[J].計(jì)算機(jī)工程, 2009, 35(16): 112-114.

[2]Ejaz Ahamed, George Mohay, AlanTickle, Sajal Bhatia,Use of IP Addresses for High Rate Flooding Attack Detection, [c]IFIP Advances in Information and Communication Technology, 2010, pp.124-135.

[3]Runyuan Sun, Bo Yang, Lizhi Peng, Zhenxiang Chen, Lei Zhang and Shan Jing, Traffic Classification Using Probabilistic Neural Network, [J]IEEE International Conference on Natural Computation (ICNC), 2010, pp.1914-1919.

[4]J.Jung, B.Krishnamurthy, and M.Rabinovich.Flash Crowds and Denial of Service Attacks: Characterization and Implications for CDNs and Web Sites.In Proc.[c]WWW’02, 2002, pp 293–304.

[5]Li K, Zhou W L, Li P, Hai J, Liu J W.Distinguishing DDoS attacks from fash crowds using probability metrics.In: Proc.Of the 3th Int’1 Coneon Network and System Security.2009, pp.9-17.

[6]王風(fēng)宇, 曹首峰, 肖軍等.一種基于Web群體外聯(lián)行為的應(yīng)用層 DDoS檢測方法[J].軟件學(xué)報(bào), 2013,24(6):1263-1273.

[7]Tartakovsky, A.G., et al.: A novel approach to detection of intrusions in computer networks via adaptive sequential and batch-sequential change-point detection methods.[c]IEEE Transactions on Signal Processing 54, 2006,pp.3372–3382.