李振興 王萌 李光程 陳炫慧 盧文靜

摘要：首先建立DDoS攻擊特征的選擇、表示、分析以及模型求解。然后，在此基礎上研究基于敏感訪問參數可變閾值約束的DDos攻擊防御方法。最后，研究基于可變概率標記的DDoS攻擊流量清洗技術。

關鍵詞：DDoS；攻擊特征；防御方法；流量清洗

中圖分類號：TP309.5 文獻標識號：A

Abstract： Firstly， the selection， representation， analysis and model solution of DDoS attack feature are established. Then， proceeding from this， the DDos attack defense method based on the variable threshold constraint of sensitive access parameters is provided. Finally， the DDoS attack traffic cleaning technique based on the variable probability mark is studied.

Keywords：DDOS； attack feature； defense method； traffic cleaning

1 研究現狀

為了減少DDoS 攻擊對網絡帶來的危害，國內外研究人員一直在開展相關研究，并研制推出了一系列的防御設備和方法。在國外，比較有代表性的有TrafficMaster，CaptIO G-2 和TopAppSwitch等3 500個產品。在國內，綠盟公司的Collapsar 產品采用了反向檢測等新算法，可有效抵擋SYN Flood、UDP Flood 和Stream Flood 等攻擊。該算法可通過辨識報文是否來自網絡中的信任主機，判斷是否丟棄；同時還會根據報文特定的“指紋”來判定報文的非法性[2]。為了盡量減少對正常網絡流量的影響，產品將算法設定運行在網絡協議棧的最底層[3]。同時，該類產品還實現了網絡隱身技術，使用該技術主機在網絡上相當于一個透明單元，攻擊者將無法達成目標，因此安全性較好[4]。只是，現有的這些防護產品還不能完全的防御DDoS 攻擊，防御技術還需要進一步的提升與改善。入侵防御系統（IPS）是最近提出的一種防范攻擊的新技術，其中融合了目前主要的各種進展成果：IDS 技術，報文過濾和實時監(jiān)測等。不過IPS 目前還處于研究階段[5]，因此DDoS 防御工作仍是一個非常重要的網絡安全難題。

本課題的新穎之處是解決了目前國內外對標記設備無法逐步部署的限制和攻擊路徑檢測的時效性

問題，研究中提出基于遺傳算法的DDoS攻擊特征分析，較好地解決了這一問題；而且，還設計實現了基于CDN的異常流量攻擊的攻擊清洗技術這種方法，有效解決了傳統的方法遇到組合爆炸或者必須全網部署才能運作的問題。

2 基于遺傳算法的DDoS攻擊特征分析

異常流量攻擊檢測的重點在于新攻擊特征的分析，因此本課題主要進行如下問題研究，解決了異常流量攻擊特征的選擇、 異常流量攻擊特征的表示、 異常流量攻擊特征的分析和異常流量攻擊特征的模型求解這4個關鍵技術問題。

設定 表示時間片 內出現的所有IP地址的集合， 表示時間片 結束時刻白名單中的所有IP地址的集合。那么， 就表示 內新出現IP地址的數量，顯然 的大小與 大小相關。為此，選擇 用于表示不同時間片 內新出現IP地址數量變化函數，即 表示時間片 內新IP地址占IP地址總數的比值，這樣 的值就不會受到 大小的影響。

顯然 （ ）是一個隨機序列。正常狀況下（包括高峰流量狀況下） 是一個輕微抖動的序列，當發(fā)生分布式拒絕服務攻擊時，由于出現大量新IP地址，會引起 劇烈抖動。具體如圖1所示。

在m時刻 呈現上升趨勢。因此，可以設定閾值N，當 大于N時，就可認為發(fā)生了DDoS攻擊。

3 基于CDN的異常流量攻擊的攻擊清洗技術

解決異常流量攻擊下網絡的檢測、響應、保護，是切實保證網絡基礎設施可用的最終目的。如果攻擊生效后才發(fā)現，對網絡的保護已失去意義。在異常流量攻擊生效后，從被攻擊網絡邊界網關出口處看，該網絡對外已經失效，成為了因特網中的“網絡孤島”。攻擊定位與保護的最大難點在于，對標記信息片段的重構模型設計。設計實施過程研究要點如下：

1） 計算要快。在攻擊流量快速增長，攻擊效果尚未突現時，準確定位攻擊路徑，臨時切斷最遠處攻擊源。如果運算復雜，缺等大流量攻擊實施生效后才計算出結果，就將失去保護網絡的最后機會。

2） 不會引起組合爆炸問題。一些PPM研究成果只適合單源異常流量攻擊，就是因為多源時引起定位分片的組合爆炸問題。

3）攻擊樹圖的恢復逐層展開。攻擊樹圖的生成考慮可視化逐層展開，流量動態(tài)顯示。傳統方法需要確定全部路徑后才能精確給出整張樹圖，必然是攻擊完成后的補救顯示了。

CDN技術就是在互聯網范圍內廣泛設置多個節(jié)點作為代理緩存，并將用戶的訪問請求聯傳向最近的緩存節(jié)點， 以加快訪問速度的一種技術手段。用戶的訪問請求是通過智能 DNS來實現的。對于資源和服務的訪問請求是以域名的形式發(fā)出的. 傳統的域名解析系統會將同一域名的解析請求轉換成一個現實恒定的 IP地址，因此，整個互聯網對于該域名的訪問都會被導向同一個IP地址。 CDN節(jié)點在收到用戶的請求時， 會在其存儲的緩存內容中尋找用戶請求的資源， 如果找到，就直接將資源響應給用戶；如果在 CDN節(jié)點中找不到用戶請求的資源，則CDN節(jié)點會作為代理服務器向源站請求該資源， 獲取資源后將結果緩存并返回給用戶。對于有大量靜態(tài)資源的網站，使用 CDN進行代理緩存一般能夠減少源站80%的訪問流量。綜上可知，在使用CDN技術之后，互聯網上的用戶可以通過智能 DNS利用 CDN的節(jié)點快速獲取所需要的資源和服務， 同時由于CDN節(jié)點的緩存作用， 能在寬廣范圍內減輕源站的網絡流量負載，因而更在相當程度上降低了高防服務器的壓力，獲得了滿意的防御異常流量攻擊的技術效果。在發(fā)生了異常流量攻擊時，智能 DNS會將來自不同位置的攻擊流量分敏到對應位置的CDN節(jié)點上，這使得CDN節(jié)點成為區(qū)域性的流量吸收中心，從而達到流量稀釋的效果。 在流量被稀釋到各個CDN 節(jié)點后，就可以在每個節(jié)點處進行流量清洗，只將正常的請求交付給高防服務器，從而達到防護源站的目的。

4 總結展望

課題通過對大規(guī)模攻擊的流量特征分析，標記和檢測、保護模型的建立，研制原理樣

機分布式部署在真實網絡環(huán)境下，通過 CDN 及時發(fā)現攻擊并切斷疑似攻擊路徑（或報告管理人員，人工協助切斷路徑），以保證正常網絡業(yè)務的進行。流量與清洗系統的實施將進一步改善任務關鍵信息系統因為入侵而導致的服務能力降低，大大提高系統可用的彈性，增強其可用性和可靠性。下一步研究著眼于具有應用背景或前景的關鍵信息系統，結合典型分布式攻擊，設計出更具實用性、適應性和擴展性和部分部署的標記與匯聚方案。

參考文獻：

[1] 秦曉明，趙建功，姜建國. 一種DDoS防御系統模型的設計研究[J]. 計算機與數學工程， 2008， 36（1）： 67-68.

[2] SPECHT S M， LEE R B. Distributed denial of service：taxonomied of attacks，tools and countermeasures[C]// 2004 International Workshop on Security in Parallel and Distributed Systems. San Francisco， CA， USA：[s.n.]，2004： 543-550.

[3] CARL G， KESIDIS G， BROOKS R R， et a1.Denial-of-service attack detection technique[J].IEEE Internet Computing， 2006， 10（1）：82-89.

[4] 尚占鋒，章登義. DDoS防御機制研究[J]. 計算機技術與發(fā)展， 2008， 18（1）： 7-10，36.

[5] 趙江巖. DDOS及防御DDOS攻擊[J]. 商場現代化， 2008（17）： 396-397.