王小玲，易發(fā)勝

(1.西南民族大學(xué)電氣信息工程學(xué)院，四川 成都 610041；2.成都學(xué)院信息科學(xué)與技術(shù)學(xué)院，四川 成都 610106)

一種利用源地址信息的DDoS防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

王小玲1，易發(fā)勝2

(1.西南民族大學(xué)電氣信息工程學(xué)院，四川 成都 610041；2.成都學(xué)院信息科學(xué)與技術(shù)學(xué)院，四川 成都 610106)

DDOS攻擊是目前最嚴(yán)重的一種網(wǎng)絡(luò)攻擊行為.傳統(tǒng)的DDOS防御方法復(fù)雜低效，提出一種利用源IP地址和跳數(shù)信息進(jìn)行DDOS攻擊過(guò)濾的方法.并利用布隆過(guò)濾器(BF)技術(shù)設(shè)計(jì)和實(shí)現(xiàn)了一種DDOS防御系統(tǒng).該系統(tǒng)部署在目標(biāo)端，在目標(biāo)沒(méi)有受到攻擊時(shí)，學(xué)習(xí)并記錄正常的訪問(wèn)源地址信息；而當(dāng)攻擊發(fā)生時(shí)，系統(tǒng)會(huì)保證正常的訪問(wèn)，而過(guò)濾大多數(shù)攻擊報(bào)文，特別是不同類型的偽造IP的攻擊報(bào)文.實(shí)驗(yàn)結(jié)果顯示，該系統(tǒng)能過(guò)濾掉大多數(shù)對(duì)目標(biāo)的DDOS攻擊報(bào)文，且僅有很低的誤報(bào)率.

拒絕服務(wù)攻擊；布隆過(guò)濾器；報(bào)文過(guò)濾；網(wǎng)絡(luò)安全

拒絕服務(wù)攻擊(DDoS)一直是互聯(lián)網(wǎng)的最嚴(yán)重威脅之一.即使在當(dāng)前云計(jì)算環(huán)境下，DDoS仍然是一種主要攻擊手段[1].DDoS利用多個(gè)主機(jī)向目標(biāo)(victim)發(fā)送大量攻擊報(bào)文導(dǎo)致目標(biāo)不能提供正常的服務(wù).一般來(lái)說(shuō)，DDOS采用偽造源IP地址進(jìn)行攻擊.偽造源IP地址可以防止跟蹤攻擊源，利用了當(dāng)前IP協(xié)議沒(méi)有檢查源IP地址真實(shí)性的缺陷.偽造源IP地址有三種方式，即隨機(jī)偽造、子網(wǎng)內(nèi)偽造和固定偽造.DDoS的攻擊特性是大量突發(fā)攻擊報(bào)文，使目標(biāo)端來(lái)不及處理達(dá)到攻擊目的.DDoS易于實(shí)施而難以防御，如何有效地防御DDoS攻擊得到了持續(xù)的研究，并提出了多種方案.這些方案大致可分為兩部分，即入侵檢測(cè)和攻擊過(guò)濾.發(fā)生攻擊以后，如何從正常報(bào)文流中分辨出攻擊報(bào)文并丟棄是防御DDoS攻擊的重要步驟.根據(jù)防御DDoS的地方不同，可以分為攻擊源端防御、路由器防御和目標(biāo)端防御等三種方式[2-5]，考慮到源端防御和路由器防御的復(fù)雜性和實(shí)施困難，在目標(biāo)段防御成為一種便于實(shí)施的方法，也得到越來(lái)越多的重視和研究.

為了在目標(biāo)段防御DDoS攻擊，研究人員提出了多種方法.鑒于DDoS攻擊時(shí)突然出現(xiàn)大量攻擊報(bào)文的特點(diǎn)，在發(fā)生攻擊時(shí)，通過(guò)各種特征的真實(shí)流量輪廓對(duì)比正常流量輪廓，利用貝葉斯算法[6-7]或者漏桶[8-9]打分來(lái)決定是否攻擊報(bào)文.這些方案使用了DDoS大量突發(fā)的特點(diǎn)，但是對(duì)于低流量的攻擊無(wú)能為力，即使是偽造IP地址的攻擊也不具有很好的過(guò)濾效果，同時(shí)這些方案的算法統(tǒng)計(jì)了IP報(bào)文的多種特征，加重了處理的負(fù)擔(dān).利用數(shù)據(jù)流相關(guān)性分辨DDoS攻擊和正常的突發(fā)報(bào)文在近年來(lái)得到了大量關(guān)注[10-11]，但這種方法無(wú)法實(shí)現(xiàn)很高的精度，大多用于定性分析.為了提高精度，根據(jù)DDoS偽造源IP地址的特點(diǎn)，一些研究利用布隆過(guò)濾器對(duì)DDoS報(bào)文進(jìn)行過(guò)濾[12-13].但是這些方法只能對(duì)隨機(jī)偽造地址的DDoS具有較好的防御作用.為了更好的改進(jìn)偽造源IP地址的防御效果，文獻(xiàn)[14]提出了一種利用跳數(shù)進(jìn)行輔助判斷的方法HCF.它在目標(biāo)端通過(guò)學(xué)習(xí)構(gòu)造了一個(gè)真實(shí)的源IP地址和跳數(shù)對(duì)照表，發(fā)生攻擊時(shí)，對(duì)每個(gè)到來(lái)的報(bào)文在這個(gè)表中查尋其源IP地址和跳數(shù)是否相符，從而判斷它是否攻擊報(bào)文.對(duì)于攻擊者而言，他們可以使用固定的偽造IP，但是由于跳數(shù)不符合而過(guò)濾掉.隨著防御方法的改進(jìn)，攻擊者也變得越來(lái)越聰明以逃過(guò)各種防御方法.因此，文獻(xiàn)[15]提出了一種適應(yīng)性選擇驗(yàn)證方法(ASV)，它提供了一種服務(wù)器與客戶之間進(jìn)行適應(yīng)性驗(yàn)證的方法來(lái)防御DDoS攻擊，具有很好的適應(yīng)性，但是難以部署到現(xiàn)有的應(yīng)用環(huán)境中.

本文綜合了各種防御DDoS方案的優(yōu)點(diǎn)，利用BF技術(shù)，設(shè)計(jì)了基于源地址信息的DDoS防御系統(tǒng).本系統(tǒng)部署在目標(biāo)端，容易實(shí)施.其工作原理是，在目標(biāo)端正常工作期間，建立一個(gè)跳數(shù)和源IP地址有關(guān)的正常流量統(tǒng)計(jì)表；在DDoS攻擊期間，如果是一個(gè)偽造地址的攻擊報(bào)文，由于其IP沒(méi)有出現(xiàn)或者出現(xiàn)的IP與其跳數(shù)不符合統(tǒng)計(jì)規(guī)律而被過(guò)濾；如果是一個(gè)在子網(wǎng)內(nèi)偽造或者沒(méi)有偽造地址的攻擊報(bào)文，雖然其跳數(shù)和源IP地址符合映射關(guān)系，但是由于攻擊報(bào)文的大量突發(fā)性，它將根據(jù)超出正常的統(tǒng)計(jì)流量特征而過(guò)濾掉.同HCF[14]相比，為了減少存儲(chǔ)空間的需求，本文采用了改進(jìn)的計(jì)數(shù)布隆過(guò)濾器來(lái)保存原地址信息的統(tǒng)計(jì)值.本系統(tǒng)并不需要路由器和源端協(xié)助，在實(shí)際使用過(guò)程中，針對(duì)某個(gè)服務(wù)器配置這樣一個(gè)防御系統(tǒng)是很方便的，因此具有實(shí)用性.

1 過(guò)濾方案設(shè)計(jì)

1.1 方案分析

根據(jù)統(tǒng)計(jì)，一個(gè)服務(wù)器所面臨的訪問(wèn)客戶具有相對(duì)穩(wěn)定性.也就是說(shuō)，對(duì)一個(gè)web網(wǎng)站訪問(wèn)的合法地址大多數(shù)在以前出現(xiàn)過(guò)，文獻(xiàn)[16]指出一個(gè)服務(wù)器在碰到突發(fā)擁塞時(shí)，其82.9%的IP地址以前出現(xiàn)過(guò)；而受到Code Red攻擊時(shí)，僅有0.6-14%的IP地址出現(xiàn)過(guò).基于這個(gè)特點(diǎn)，在一個(gè)服務(wù)器正常工作時(shí)，對(duì)其訪問(wèn)的IP地址進(jìn)行統(tǒng)計(jì)；而在攻擊發(fā)生時(shí)，依據(jù)統(tǒng)計(jì)的合法IP地址輪廓可以大致判斷攻擊報(bào)文并過(guò)濾之.但是現(xiàn)在攻擊者已經(jīng)學(xué)得更聰明了，他們可以用一些IP地址正常訪問(wèn)服務(wù)器來(lái)，然后用這些IP地址進(jìn)行攻擊，以逃避用上述防御方法進(jìn)行攻擊過(guò)濾.因此在方法設(shè)計(jì)上，還需要采用特征輪廓來(lái)進(jìn)行判別過(guò)濾.

通常對(duì)于一個(gè)特定的服務(wù)器來(lái)說(shuō)，訪問(wèn)這個(gè)服務(wù)器的真正客戶報(bào)文的跳數(shù)分布具有一定的統(tǒng)計(jì)規(guī)律.攻擊發(fā)生時(shí)，多個(gè)攻擊僵尸(zombies)送到服務(wù)器的報(bào)文相關(guān)跳數(shù)統(tǒng)計(jì)將大幅度提高.注意我們這里使用跳數(shù)，而不直接使用IP首部的TTL域，因?yàn)椴煌闹鳈C(jī)有不同的TTL初始值，但是可以根據(jù)接收到的IP報(bào)文計(jì)算出其經(jīng)過(guò)的跳數(shù).當(dāng)發(fā)現(xiàn)某個(gè)跳數(shù)對(duì)應(yīng)的統(tǒng)計(jì)超過(guò)正常的統(tǒng)計(jì)規(guī)律時(shí)，就知道在這個(gè)跳數(shù)所對(duì)應(yīng)的距離處具有攻擊源.所以，在設(shè)計(jì)的算法中，讓每個(gè)服務(wù)器依據(jù)跳數(shù)建立一個(gè)自己客戶的IP地址統(tǒng)計(jì)空間，便于實(shí)現(xiàn)前述策略的過(guò)濾處理.

但是，一個(gè)服務(wù)器要?jiǎng)?chuàng)建一個(gè)表來(lái)保存如此信息代價(jià)很大，需要巨量的內(nèi)存空間.因此，BF技術(shù)逐漸廣泛應(yīng)用到DDoS攻擊過(guò)濾方法中.計(jì)數(shù)布隆過(guò)濾器(CBF)是BF的變種，可以對(duì)集合內(nèi)的元素進(jìn)行計(jì)數(shù)統(tǒng)計(jì)，因此適合用來(lái)建立訪問(wèn)頻率統(tǒng)計(jì)輪廓，實(shí)現(xiàn)對(duì)沒(méi)有偽造IP地址或者部分偽造地址的DDoS攻擊過(guò)濾.

1.2 方案設(shè)計(jì)

本算法的基本思想是在沒(méi)有攻擊發(fā)生時(shí)，對(duì)合法訪問(wèn)服務(wù)器的源IP地址訪問(wèn)頻率進(jìn)行統(tǒng)計(jì)，并與跳數(shù)關(guān)聯(lián)，達(dá)到更好的過(guò)濾效果.在攻擊發(fā)生時(shí)，對(duì)訪問(wèn)服務(wù)器的源IP地址進(jìn)行打分，如果超過(guò)閥值，則認(rèn)為是攻擊報(bào)文而過(guò)濾之.

目前，大多數(shù)系統(tǒng)仍然采用IPv4，源IP地址是一個(gè)32位的數(shù)據(jù).對(duì)所有的IP地址進(jìn)行完整的統(tǒng)計(jì)將耗費(fèi)巨量?jī)?nèi)存，因此大多數(shù)文獻(xiàn)采用了BF技術(shù)，減少對(duì)內(nèi)存消耗.本算法借鑒并改進(jìn)了當(dāng)前對(duì)源IP地址的哈希算法.特別是關(guān)聯(lián)了跳數(shù)之后，我們只對(duì)特定跳數(shù)內(nèi)的源IP地址進(jìn)行訪問(wèn)頻率統(tǒng)計(jì).

在本算法中，我們把IP地址分為n片(n＝1，2，3…32)，每片是m位，且m≥32/n.每片對(duì)應(yīng)N個(gè)位置，則N＝2m.在BF進(jìn)行hash算法時(shí)，直接將IP對(duì)應(yīng)片的值映射到合適的位置，簡(jiǎn)化了hash運(yùn)算過(guò)程，可實(shí)現(xiàn)高速統(tǒng)計(jì)和過(guò)濾.當(dāng)m＞32/n時(shí)，表示各個(gè)片對(duì)應(yīng)的IP分片具有重疊，這會(huì)增強(qiáng)各個(gè)片的相關(guān)性，減少差錯(cuò)率，但是會(huì)要求更多的內(nèi)存.選擇合適的n和m值，是效率和內(nèi)存消耗的一個(gè)折衷.

為了在服務(wù)器端統(tǒng)計(jì)其合法客戶的IP地址信息，本算法需要構(gòu)造一個(gè)統(tǒng)計(jì)信息表.根據(jù)文獻(xiàn)[14]的研究，服務(wù)器可以利用收到報(bào)文的TTL來(lái)計(jì)算其客戶所經(jīng)歷的跳數(shù)值HC，且0≤HC≤31.根據(jù)前述的算法，并結(jié)合大多數(shù)文獻(xiàn)的做法，我們?nèi)＝4、m＝9來(lái)設(shè)計(jì)信息表，并在信息表中對(duì)各個(gè)跳數(shù)值的源IP地址的各片進(jìn)行統(tǒng)計(jì)，如圖1所示.

在圖1中，我們把一個(gè)IP分為4片，每一片有9位，其對(duì)應(yīng)IP地址的位分布如表1所示.

實(shí)際上，各個(gè)分片對(duì)應(yīng)的位模式的差異對(duì)某些情況下的過(guò)濾表現(xiàn)有些差異，可以根據(jù)不同服務(wù)器受到的攻擊模式的不同而進(jìn)行調(diào)整.

表1 算法中的分片與位映射Table 1 Algorithm of fragmentation and a mapping

為了更好地進(jìn)行統(tǒng)計(jì)，每個(gè)統(tǒng)計(jì)區(qū)域是4個(gè)字節(jié)，分為正常統(tǒng)計(jì)區(qū)和異常統(tǒng)計(jì)區(qū).當(dāng)服務(wù)器正常工作時(shí)，每來(lái)一次客戶的訪問(wèn)，本信息表通過(guò)分析IP首部的源IP地址和TTL，將對(duì)應(yīng)跳數(shù)m的IP地址對(duì)應(yīng)各個(gè)片的位置分別加1，表示在正常統(tǒng)計(jì)區(qū)，記為xj，i.其中j表示分片的序號(hào)，而i表示片的值，其范圍是0≤i≤511(29-1).

圖1 信息表的結(jié)構(gòu)示意圖Fig.1 Information table structure diagram

當(dāng)攻擊發(fā)生時(shí)，對(duì)每個(gè)新來(lái)的報(bào)文停止在正常統(tǒng)計(jì)區(qū)進(jìn)行統(tǒng)計(jì)，并記錄下正常統(tǒng)計(jì)區(qū)進(jìn)行的統(tǒng)計(jì)時(shí)間tx.在攻擊時(shí)間收到的報(bào)文在完全按照以前的計(jì)算，在異常統(tǒng)計(jì)區(qū)進(jìn)行統(tǒng)計(jì)，記為yj，i，并計(jì)算此刻的統(tǒng)計(jì)時(shí)間ty.

在攻擊階段，對(duì)每個(gè)到來(lái)的報(bào)文，參考文獻(xiàn)[7]對(duì)其各個(gè)分片進(jìn)行打分.每個(gè)分片利用其攻擊統(tǒng)計(jì)輪廓和正常統(tǒng)計(jì)輪廓的比值作為打分基礎(chǔ).對(duì)于第j片，其分值fj可由公式(1)計(jì)算.

根據(jù)攻擊的特點(diǎn)，如果是隨機(jī)偽造地址，某個(gè)分片j的xj，i如果為0，計(jì)算分值fj趨于無(wú)窮大；對(duì)于偽造固定IP地址，此IP地址對(duì)應(yīng)的分值fj將不斷增加，最終導(dǎo)致fj＞＞1；對(duì)于子網(wǎng)IP地址偽造，情況比較復(fù)雜，一般f1、f2甚至f3應(yīng)該比較大，而f4可能因?yàn)閭卧鞌?shù)字分散而比較小.因此我們利用公式(2)計(jì)算最終得分.

其中，aj為分值因子，說(shuō)明不同分片的分值權(quán)重，以反應(yīng)不同分值的權(quán)值.一般地，取a1＝0.35，a2＝0.35，a3＝0.2， a4＝0.1.當(dāng)f大于一個(gè)閥值時(shí)，本算法認(rèn)為此IP報(bào)文是一個(gè)攻擊報(bào)文.閥值的選取與所在服務(wù)器IP地址相關(guān)的經(jīng)驗(yàn)值.如果選擇較小，將增加false positive；否則將增加false negative.

2 過(guò)濾算法分析與設(shè)計(jì)

2.1 內(nèi)存要求

與一般的使用布隆過(guò)濾器的DDoS過(guò)濾算法相比，本算法使用了跳數(shù)來(lái)隔離統(tǒng)計(jì)處理，在同等情況下，增加了內(nèi)存的消耗.下面詳細(xì)分析本方案需要的內(nèi)存大小.

如果某個(gè)特殊的跳數(shù)值存在合法的源IP地址訪問(wèn)，都將建立一個(gè)大小為y的空間單位.根據(jù)前面的分析，每個(gè)單位需要保存攻擊統(tǒng)計(jì)值和正常統(tǒng)計(jì)輪廓，統(tǒng)計(jì)值的范圍和選取的統(tǒng)計(jì)時(shí)間單位大小有關(guān).對(duì)于一般服務(wù)器，每個(gè)統(tǒng)計(jì)值由4字節(jié)的整數(shù)表示足夠了.因此需要存儲(chǔ)空間為

mem(m)＝m.y.(4+4)＝8m.4.29＝16m(KB).(3)

其中m表示該服務(wù)器可能具有的跳數(shù)值的個(gè)數(shù).一般跳數(shù)值在0～31共32個(gè)值以內(nèi).根據(jù)觀察，大多數(shù)情況下，一個(gè)服務(wù)器主機(jī)收到的合法報(bào)文的跳數(shù)值個(gè)數(shù)在10至20之間.考慮到不同服務(wù)器具有的m個(gè)數(shù)不一致，我們對(duì)每個(gè)跳數(shù)需要的空間采用動(dòng)態(tài)申請(qǐng)，這樣避免了不必要的內(nèi)存開銷.例如在m為16時(shí)，需要的內(nèi)存開銷大概為256KB.此外還要增加數(shù)百字節(jié)的跳數(shù)統(tǒng)計(jì)開銷.同HCF的內(nèi)存開銷相比，如果其采用靜態(tài)申請(qǐng)固定空間，本算法要求內(nèi)存小很多；如果HCF采用動(dòng)態(tài)樹形結(jié)構(gòu)，在IP地址相當(dāng)多時(shí)，二者內(nèi)存要求相當(dāng)，但HCF需要更多的查詢負(fù)載.而與文獻(xiàn)[12]相比，本算法通過(guò)改進(jìn)哈希算法，并沒(méi)有增加總的內(nèi)存消耗.

2.2 過(guò)濾器效率

DDoS過(guò)濾器的效率表現(xiàn)在false negative和false positive的大小，其中false negative表示攻擊報(bào)文誤認(rèn)為正常報(bào)文的概率，而false positive表示將正常報(bào)文誤認(rèn)為攻擊報(bào)文的概率.

針對(duì)本方案，假設(shè)某個(gè)跳數(shù)下合法的源IP地址集合為T，元素個(gè)數(shù)為t.其4個(gè)分片的集合分別為T1、T2、T3、T4.包含元素個(gè)數(shù)分別為t1，t2，…t4.當(dāng)一個(gè)隨機(jī)偽造IP地址的攻擊報(bào)文到來(lái)的時(shí)候，其IP地址的各分片分別落于正常報(bào)文的概率為t1/T1，t2/T2，…t4/T4.在隨機(jī)偽造地址的情況下，攻擊報(bào)文誤認(rèn)為正常報(bào)文的概率(false negative)為:

由式(4)可知，Pfn和合法報(bào)文的源地址各個(gè)分片的分布之積成正比.由于本算法中根據(jù)跳數(shù)將不同的源IP分為若干區(qū)域，根據(jù)IP地址的地域特性，大大降低了某個(gè)跳數(shù)內(nèi)的地址部分分布積，相對(duì)于其它類似方案，更加有效地降低了Pfn的最大值.

子網(wǎng)內(nèi)隨機(jī)偽造IP地址的情況變得復(fù)雜.設(shè)攻擊報(bào)文的前面幾個(gè)分片采用固定的子網(wǎng).隨著攻擊的進(jìn)行，偽造子網(wǎng)部分的IP地址部分將因?yàn)榻y(tǒng)計(jì)值的累積增加而獲得很高的分值，最終因?yàn)榭偡种党^(guò)閥值而被認(rèn)為是攻擊報(bào)文.如果正常報(bào)文的前面k部分與攻擊報(bào)文的這部分有重疊，將會(huì)可能誤認(rèn)為攻擊報(bào)文.假設(shè)攻擊報(bào)文采用的子網(wǎng)部分涉及的元素個(gè)數(shù)分別為q1，q2，…qk，當(dāng)k＞1時(shí)，誤認(rèn)為攻擊報(bào)文的概率(false positive)大概為:

由(5)容易看出，Pfp和攻擊報(bào)文子網(wǎng)部分分布積與合法報(bào)文相應(yīng)部分分布積之比成正比.其(false negative)總是保持很低的水平.因?yàn)殡S著攻擊的進(jìn)行，k個(gè)固定子網(wǎng)部分的攻擊分值不斷提高，其被認(rèn)為正常報(bào)文的概率越來(lái)越低.

根據(jù)前面的分析，本方法的誤判率和合法源IP地址各個(gè)分片的有效元素分布t1，t2，…t4關(guān)系很大.而t1，t2，…t4與t的關(guān)系為:

由式(6)可知，隨著n的增加，在t1，t2，…t4一定時(shí)，t可在一個(gè)相當(dāng)大的范圍內(nèi)變化.因此對(duì)本方案影響最大的是合法IP地址在各個(gè)部分的分布，而不是合法源IP地址的個(gè)數(shù)本身.

2.3 適應(yīng)性分析

一個(gè)設(shè)計(jì)良好的DDoS過(guò)濾機(jī)制，需要良好的適應(yīng)性.網(wǎng)絡(luò)情況在不斷變化，如果在不同的環(huán)境下需要不同的配置才能發(fā)揮最好的效果，那是很難適應(yīng)實(shí)際需要的.下面我們分析本算法的適應(yīng)性.

首先，雖然網(wǎng)絡(luò)在一定時(shí)間內(nèi)會(huì)保持相對(duì)穩(wěn)定，但是長(zhǎng)時(shí)間內(nèi)網(wǎng)絡(luò)拓?fù)鋵l(fā)生一定變化，這將影響部分正?？蛻舻奶鴶?shù)值.此外，在不同的時(shí)候，服務(wù)器將有不同的客戶統(tǒng)計(jì)輪廓.為了自動(dòng)反應(yīng)這種變化，我們利用公式(7)不斷刷新圖1中的正常統(tǒng)計(jì)輪廓值:

這種刷新在一個(gè)固定時(shí)間間隔內(nèi)進(jìn)行.式中α是一個(gè)相關(guān)系數(shù)0＜α＜1，根據(jù)時(shí)間間隔和服務(wù)器的統(tǒng)計(jì)變化規(guī)律而定.當(dāng)一個(gè)源IP地址的跳數(shù)發(fā)生變化時(shí)或者不訪問(wèn)服務(wù)器時(shí)，原先跳數(shù)值下的相關(guān)aij將減小甚至為0，實(shí)現(xiàn)了自適應(yīng)的變化.攻擊發(fā)生時(shí)，xij停止刷新，進(jìn)入打分過(guò)濾操作.攻擊停止時(shí)，xij置為0，重新開始統(tǒng)計(jì)和刷新操作.

其次，本方案對(duì)攻擊者攻擊方式的變化具有很好的適應(yīng)性.前面我們分析了攻擊者隨機(jī)偽造地址和子網(wǎng)內(nèi)偽造地址的適應(yīng)性.如果攻擊者偽造TTL值讓我們得到錯(cuò)誤的跳數(shù)，本方案也是能夠很好適應(yīng)的.因?yàn)榧词构粽吣軌蚋淖兲鴶?shù)值，但是它很難知道那個(gè)跳數(shù)值下的IP地址各部分的統(tǒng)計(jì)輪廓，一樣會(huì)根據(jù)前述的原理而過(guò)濾掉.

2.4 過(guò)濾算法

根據(jù)前述，本方案有關(guān)算法總結(jié)如下.在正常情況下沒(méi)有攻擊時(shí):

①?gòu)慕邮請(qǐng)?bào)文TTL域計(jì)算跳數(shù)m.

②如果此跳數(shù)下還沒(méi)有統(tǒng)計(jì)流量數(shù)據(jù)，則申請(qǐng)16KB內(nèi)存；如果攻擊階段剛剛結(jié)束，將其中的各部分各個(gè)統(tǒng)計(jì)量xji、yij的值置0.

③根據(jù)源IP地址各部分的值，進(jìn)行統(tǒng)計(jì).

④如果到達(dá)刷新時(shí)間，根據(jù)公式(7)進(jìn)行刷新.一旦認(rèn)為攻擊發(fā)生時(shí):

①?gòu)慕邮請(qǐng)?bào)文的TTL域計(jì)算跳數(shù)m.

②如果跳數(shù)m下沒(méi)有歷史統(tǒng)計(jì)量，作為攻擊報(bào)文丟棄.

③取出源IP地址，在當(dāng)前跳數(shù)下對(duì)其各個(gè)部分的當(dāng)前統(tǒng)計(jì)值進(jìn)行累加.

④根據(jù)公式(1)(2)計(jì)算源IP地址的分值f，如果f≥δ，則為攻擊報(bào)文，丟棄.否則允許通過(guò).

3 系統(tǒng)測(cè)試和性能評(píng)估

為了驗(yàn)證本方法，建立了本方案的實(shí)驗(yàn)?zāi)Ｐ?采用目前DDOS最常見的SYN Flooding攻擊作為例子.算法包括三個(gè)部分，第一部分是報(bào)文產(chǎn)生模塊，包含兩個(gè)線程，一個(gè)線程模擬正常報(bào)文，一個(gè)模擬攻擊報(bào)文.第二部分是攻擊檢測(cè)模塊，使用cusum算法檢測(cè)[16].最后一個(gè)模塊是過(guò)濾器模塊，采用本文的基于源地址信息過(guò)濾算法(為了方便，以下簡(jiǎn)稱SABF).為了進(jìn)行對(duì)比，我們也實(shí)現(xiàn)了HCF的32位嚴(yán)格過(guò)濾算法和文獻(xiàn)[12]的ECBF進(jìn)行對(duì)比.

在隨機(jī)偽造IP地址攻擊情況下，圖2和圖3指出了錯(cuò)誤率和客戶數(shù)量的關(guān)系.從圖可以看出三種算法表現(xiàn)差別很小，只是在False Negative方面，HCF表現(xiàn)在客戶量大的時(shí)候表現(xiàn)稍微好些，這是其大量?jī)?nèi)存消耗帶來(lái)的效果.而我們的算法采用跳數(shù)分割了集合，表現(xiàn)比ECBF稍微好一點(diǎn).

圖2 隨機(jī)偽造IP時(shí)的False NegativeFig.2 False Negativein random forged IP

圖3 隨機(jī)偽造IP時(shí)False PositiveFig.3 False Positive in random forged IP

接著對(duì)比了子網(wǎng)內(nèi)偽造IP地址攻擊時(shí)的過(guò)濾效果.假定攻擊報(bào)文的地址在若干個(gè)C類網(wǎng)中隨機(jī)產(chǎn)生，得到如圖4和圖5的結(jié)果.從圖4中可以看出SABF明顯改善了false negative，但三種算法的false positive方面表現(xiàn)差不多，其中HCF表現(xiàn)稍微好一點(diǎn)，這主要是因?yàn)槟壳安捎玫拇蚍炙惴ㄓ绊懝粼磦卧霫P子網(wǎng)內(nèi)的合法客戶地址.

同時(shí)發(fā)現(xiàn)，統(tǒng)計(jì)過(guò)濾效果和時(shí)間有關(guān)，隨著時(shí)間的延長(zhǎng)，SABF算法中false negotive在不斷降低，而所有算法的false positive經(jīng)過(guò)一段時(shí)間增長(zhǎng)后趨于穩(wěn)定.

圖4 子網(wǎng)內(nèi)偽造IP攻擊時(shí)的False positiveFig.4 False positive in IP subnet forgery attack

圖5 子網(wǎng)內(nèi)偽造IP攻擊時(shí)的False negativeFig.5 False negative in IP subnet forgery attack

4 總結(jié)

本文基于信息源統(tǒng)計(jì)的思想，提出了一種新的過(guò)濾DDoS攻擊報(bào)文的方案.該方案的基本思想是每個(gè)服務(wù)器的客戶信息源具有一定的統(tǒng)計(jì)分布，而攻擊者很難準(zhǔn)確知道這種分布來(lái)調(diào)整其攻擊方案以逃避防御.相對(duì)于其他方案，該方案利用計(jì)數(shù)布隆過(guò)濾器對(duì)收到報(bào)文的跳數(shù)和源IP地址進(jìn)行統(tǒng)計(jì)，有效地減少了內(nèi)存的要求.與以前的工作相比，本文建議的方案對(duì)各種偽造報(bào)文攻擊都能提供良好的過(guò)濾效果，此外，本方案獨(dú)立工作于目標(biāo)端，不需要路由器的協(xié)作，容易實(shí)施.

未來(lái)還可以在兩個(gè)方面對(duì)本方案進(jìn)行優(yōu)化.首先是進(jìn)一步減少內(nèi)存要求.實(shí)際運(yùn)行中發(fā)現(xiàn)，很多跳數(shù)下的統(tǒng)計(jì)信息僅僅占用極少量的內(nèi)存(不到100字節(jié))，但卻分配了16KB的空間.其次，打分模型可以進(jìn)一步改進(jìn)，最好能夠動(dòng)態(tài)適應(yīng)，提供更細(xì)的粒度，進(jìn)一步降低各種情況下的false negotive和false positive，提高算法的性能.

[1]YU S，TIAN Y，GUO S，et al.Can We Beat DDoS Attacks in Clouds? [J].IEEE Transactions on Parallel＆Distributed Systems，2014，25 (9):2245-2254.

[2]DU P，NAKAO A.DDoS Defense Deployment with Network Egress and Ingress Filtering[C]//Communications(ICC)，2010 IEEE International Conference on.IEEE，2010:1-6.

[3]LEE F Y，SHIEH S.Defending against spoofed DDoS attacks with path fingerprint[J].Computers＆Security，2005，24(7):571-586.

[4]WANG Y，SUN R.An IP-Traceback-based Packet Filtering Scheme for Eliminating DDoS Attacks[J].Journal of Networks，2014，9(4):19 -21.

[5]DUAN Z，YUAN X，CHANDRASHEKAR J.Controlling IP Spoofing through Interdomain Packet Filters[J].Dependable＆Secure Computing IEEE Transactions on，2008，5(1):22-36.

[6]KIM Y，LAU W C，CHUAH M C，et al.PacketScore:a statistics-based packet filtering scheme against distributed denial-of-service attacks [J].IEEE Transactions on Dependable＆Secure Computing，2006，3 (2):141-155.

[7]SHAMSOLMOALI P，ZAREAPOOR M.Statistical-based filtering system against DDOS attacks in cloud computing[C]//Advances in Computing，Communications and Informatics(ICACCI，2014 International Conference on.IEEE，2014:1234-1239.

[8]戴世冬，段海新，李星.基于令牌桶陣列的DDoS流量過(guò)濾[J].清華大學(xué)學(xué)報(bào):自然科學(xué)版，2011(1):141-144.

[9]AYRES P E，SUN H，CHAO H J.et al.，“ALPi:A DDoS Defense System for High-Speed Networks[J].IEEE Journal on Selected Areas in Communications，2006，24(10):1864-1876.

[10]YU S，ZHOU W，JIA W，et al.Discriminating DDoS Attacks from Flash Crowds Using Flow Correlation Coefficient[J].Parallel＆Distributed Systems IEEE Transactions on，2012，23(6):1073-1080.

[11]王進(jìn)，陽(yáng)小龍，隆克平.基于大偏差統(tǒng)計(jì)模型的Http-Flood DDoS檢測(cè)機(jī)制及性能分析[J].軟件學(xué)報(bào)，2013，34(5):1272-1280.

[12]WEI CHEN DIT-YAN YEUNG.Defending Against TCP SYN Flooding Attacks Under Different Types of IP Spoofing[C]//Mobile Communications and Learning Technologies，Conference on Networking，Conference on Systems，International Conference on.IEEE Computer Society，2006:38.

[13]肖軍，云曉春，張永錚.隨機(jī)偽造源地址分布式拒絕服務(wù)攻擊過(guò)濾[J].軟件學(xué)報(bào)，2011，22(10):2425-2437.DOI:10.3724/ SP.J.1001，2011.03882.

[14]WANG H，JIN C，SHIN K G.Defense Against Spoofed IP Traffic Using Hop-Count Filtering[J].Networking IEEE/ACM Transactions on，2007，15(1):40-53.

[15]KHANNA S，VENKATESH S S，F(xiàn)ATEMIEH O，et al.Adaptive Selective Verification:An Efficient Adaptive Countermeasure to Thwart DoS Attacks [J].IEEE/ACM Transactions on Networking，2012，20(3):2011.

[16]JUNG J，KRISHNAMURTHY B，RABINOVICH M.Flash Crowds and Denial of Service Attacks:Characterization and Implications for CDNs and Web Sites[J].Proceedings of the International World Wide Web Conference，2002:252-262.

(責(zé)任編輯:張陽(yáng)，付強(qiáng)，李建忠，羅敏；英文編輯:周序林)

Design and implementation of DDOS defense system based on source address information

WANG Xiao-ling1，YI Fa-sheng2
(1.School of Electrical and Information Engineering，Southwest University for Nationalities，Chengdu 610041，P.R.C.；2.School of Information Science and Technology，Chengdu University，Chengdu 610106，P.R.C.)

DDOS attack is the most serious kind of network attack behavior.The traditional DDOS defense methods are complex and lack efficiency.A filtering scheme based on source IP address and hop counts in this paper is put forward to filter DDOS attack packets.And a DDOS defense system based on bloom filter(BF)is designed and implemented.The system is deployed on the target side.When the target is not under attack，it learns and records the normal source address information，and when the attack occurs，the system will filter most attack packets，especially the packets of spoofing IP address，but ensure the normal access.The experimental results show that the system filters most of the DDOS attack packets with very low false rate.

DDoS；Bloom filter；packet filtering；network security

TP393.08

A

2095-4271(2015)04-0462-06

10.11920/xnmdzk.2015.04.012

2015-05-06

王小玲(1962-)，女，漢族，四川成都人，高級(jí)實(shí)驗(yàn)師，研究方向:電子信息工程.