（通信与信息系统专业论文）基于流量统计模型的ddos防御技术研究.pdf

中国民航大学硕士论文 摘要 分布式拒绝服务( d d o s ) 攻击是目前互联网仅次于蠕虫病毒的第二大威胁，每年造成 的经济损失达千亿美元。由于其利用互联网的系统漏洞和安全隐患进行攻击，具有行为 自然，难以防范的特点。研究如何防御d d o s 攻击的安全机制已成为网络安全的一个热 点。目前仍然没有一种有效的防御机制彻底解决d d o s 攻击问题。 低速率t c p 攻击( l d o s ) 是一种新型的拒绝服务攻击，它利用t c p 超时重传机制的 弱点，向攻击目标发送周期性、低速率的脉冲。由于攻击速率较低，具有隐蔽性强的特 点，传统的防御机制对其无法检测。本文在研究l d o s 攻击原理的基础上，建立了l d o s 攻击的流量模型，通过数字信号处理的方法进行攻击特征提取，并采用假设检验分析方 法来检测l d o s 攻击流。同时提出了适应于高速分组网络的低时延差额轮循l - d r r ( l o w l a t e n c yd e f i c i tr o u n dr o b i n ) 调度算法，通过公平分配带宽策略来抵御l d o s 攻击。 本文在l i n u x 环境下实现了该机制，并对其进行了测试。测试结果表明，该检测和 防御机制可以较好的抵御l d o s 攻击。 关键词：拒绝服务攻击，低速率t c p 攻击，防御机制，超时重传，队列调度 中国民航丈学硕士论文 a b s t r a c t d i s t r i b u t e dd e n i m - o f - s e r v i c e ( d d o s ) a t t a c ki st h es e c o n ds e r i o u st h r e a ti n f e r i o rt o w o r mv i r u si nt h ei n t e r a c tt o d a y , a n db r i n g st h ee n o r m o u se c o n o m i cl o s sm o r et h a nh u n d r e d s o f b i l l i o nd o l l a r se a c hy e a r b e c a u s ei tu t i l i z e st h es y s t e ml e a k sa n d s e c u r i t yh i d d e n 缸o u b l e i t h a st h ec h a r a c t e r i s t i c so fn a t u r a lb e h a v i o ra n di sd i f f i c u l tt od e f e n d r e s e a r c ho nt h es e c u r i t y m e c h a n i s mo fd e f e n d i n gd d o sa t t a c kh a si x x 7 , o m ea h o t s p o ti nt h en e t w o r ks e c u r i t yf i e l d a t p r e s e n t , t h e r ea 聆n oe f f e c t i v ed d o sd e f e n s em e c h a n i s m sw h i c hg a ss o l v et h ep r o b l e m t h o m u g h l y l o w - r a t et c pa t t a c k s ，w h i c hi san e w - s t y l ed d o sa t t a c k ，i se s s e n t i a l l yap e r i o d i cs h o r t b u r s tw h i c he x p l o i t st h ed e f i c i e n c i e so ft h em i n i m u mr c t r a n s m i s s i o nt i m eo u t ( r t o ) o ft c p f l o w s b e c a u s eo fi t sl o wr a t e ，i tc a ne l u d et r a d i t i o n a lh i g hr a t ed e t e c t i o nm e c h a n i s ma n d s e v e r e l yd e g r a d et h et h r o u g h p u to f t h ev i c t i m b yb u i l d i n gt h et r a f f i cm o d e lo fl d o sa t t a c k , t h ea t t a c km e c h a n i s mo fl d o si sr e s e a r c h e di nd e t a i l i nt h i sp a p e r , w ee x t r a c tt h ea t t a c k f e a t u r eb yd i g i t a ls i g n a lp r o c e s s i n g , a n dd e t e c tt h ef l o wo fl d o sa t t a c k i n gb a s i n go n h y p o t h e s i st e s ta n a l y s i sm e t h o d w ea l s op r o p o s eas e h a d u l i n ga l g o r i t h ml d r r ( l o wl a t e n c y d e f i c i tr o u n dr o b i n ) w h i c hi ss u i t a b l et 0l l i g hs p e e dn e t w o r k sa n ds i m p l et oi m p l e m e n t f i n a l l y , t h ed e f e n s em e c h a n i s mi si m p l e m e n t e da n dt e s t e d o i lt h el i n u x t h er e s u l t i n d i c a t e st h a tt h ed e t e c t i o na n dd e f e u s em e c h a n i s mc a nd e f e n di ，d o sa t t a c k s k e y w o r d s ：d o s ，l d o s ，d e f e n s em e c h a n i s m , r t o ，q u e u em a n a g e m e n t i l 中国民航大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所 知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果。 也不包含为获得中国民航大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志 对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名： 日期：翌雾i ：歹 中国民航大学学位论文使用授权声明 中国民航大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件 和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内 容相一致。除在保密期内的保密论文外。允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全 部或部分内容。论文的公布( 包括刊登) 授权中国民航大学研究生部办理。 研究生签名：圣1 塑导师签名： 研究生签名：兰j 丛导师签名：日期： 中国民航大学硕士学位论文 1 1 研究背景及意义 第一章绪论 随着中国信息产业现代化进程的加快，网上的各种应用也随之发展起来。i n t e m e t 上无穷无尽的信息资源极大的推动了各个行业的发展，如；电子银行、网上定票、各种 费用查询及支付、人才中介、电子报税、工商信息、网上书店、预定饭店、电子黄页、 网上展览会、展销会、招商洽谈会、实时交通信息、网上图书馆、网上博物馆、远程教 学、远程医疗、电视会议等等。众多的网上应用说明互联网应该具有开放性的特点，并 且开放式的网络在大规模的计算资源共享方面有着绝对的优势。网络不开放不行，特别 是一个商业网络，不开放意味着无法为客户提供更好的网络服务。但是，一旦敞开网络 大门，人们在欢欣鼓舞网络资源优势得以充分发挥、网络技术得到发展、应用日渐广泛、 服务质量和效率大大提高的同时，网络安全问题也显得日益迫切和突出。拒绝服务攻击， 即d e n i a lo f s e r v i c e ，简称d o s ，是由人或非人为发起的行动，使你的主机硬件、软件或 者两者同时失去工作能力，使你的系统不可访问并因此拒绝合法的用户服务要求，使得 合法的系统用户不能及时地得到应得的服务或系统资源，如c p u 处理时间、存储器等 等，它最本质的特征是延长正常的应用服务的等待时间。这种攻击往往是针对t c p i p 协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻致使攻击 目标无法向合法的用户提供正常的服务。拒绝服务攻击简单有效，能够产生迅速的效果。 拒绝服务攻击从互联网络的诞生以来一直存在也不断发展和升级。早在1 9 8 8 年9 月的“莫里斯”蠕虫事件可以说是d o s 攻击的最早的表现形式之一，直到2 0 0 0 年2 月 份的y a h o o 、亚马逊、c n n 被d o s 攻击陷入瘫痪，d o s 攻击技术给流量飞速增长的互 联网络安全带来重大的威胁。几乎每年都有大量的拒绝服务攻击事件发生。特别是2 0 0 3 年，比如1 月份的s q ls l a m m e r 蠕虫病掣”和8 月份的冲击波病毒 2 1 ，均造成了全球范 围内的大面积的拒绝服务现象。 d d o s 是d i s t r i b u t e dd e n i a lo f s e r v i c e 的缩写，即分布式拒绝服务攻击。对于大型网 络服务器，由于其可用资源相对较多，一般的d o s 不能对其造成伤害，d d o s 使用与普 中国民航丈学硕士学位论文 通d o s 相同的方法，但是发起攻击的源是多个，其目的是攻陷因特网上的多个计算机系 统。和一般的拒绝服务攻击相比，分布式的拒绝服务攻击所造成的危害更大。上面所列 举的重大的攻击事件均是由分布式拒绝服务攻击造成的。 就目前的分布式拒绝服务攻击的发展趋势来看，分布式拒绝服务攻击正朝着更加自 动化、复杂化和智能化的方向发展。由于d d o s 攻击的种类很多，不可能针对所有的 d d o s 进行研究，本文主要研究目前刚发现的具有很强隐蔽性的u ) o s 攻击。 由于d d o s 造成的危害程度也是越来越大因此，研究已经存在的分布式拒绝服务攻 击手段及其可能出现的趋势，对于防御分布式拒绝服务攻击，有着重要的研究意义。 1 2 国内外研究现状 从1 9 9 9 年8 月的第一起d d o s 攻击发生以来，人们就对d d o s 攻击及其对策展开 了深入的研究【3 】。 由c e r t c c 发起的d i s t r i b u t e ds y s t e m si n t r u d e rt o o l sw o r k s h o p 于1 9 9 9 年1 1 月份 发表了一份报告【4 】，最早对d d o s 问题做了全面的阐述，详细分析了分布式系统攻击的 原理，并分别针对系统管理员、i s p 、以及事件响应小组，从预防、检测、响应三方面 依次给出了即时、短期、长期的解决方案。紧接着几个著名的安全组织( 如s a n s ) 和公 司( 如c i s e os y s t e m s ) 也给出了防御d d o s 攻击的建议1 5 】。 贝尔实验室的b e l l o v i n 提议在路由中使用i c m p t r a e e b a c k m e s s a g e s l 9 , 用于追踪真正 的攻击源。b u r c h 和c h e s w i c k t l 2 1 在2 0 0 0 年提出由报文自身来记载其路由信息。该方案 一经提出，引起了许多学者的关注。s a v a g e 等 1 3 1 对基于概率的报文标记机制做了深入的 研究，当发生d o s 攻击时，受害者根据其收到的攻击数据包中的标记信息，重建攻击路 径。接着s o n g 和p e r r i 9 1 1 4 j 也提出了更好的报文标记算法，使得标记更加精简，路径的 恢复更加高效。s n o r e n 等悯又提出了一种基于h a s h 的i pt r a c c b a c k 技术。上述几个口 t r a c c b a c k 技术能较有效的追踪到攻击源，但也存在着一些缺陷，特别是当d d o s 攻击 有大量的攻击源时，追踪效率会受很大的影响。 另外目前也有一些研究成果，主要部署在被攻击网络或主机上，t p e n # 1 6 1 等提出了 基于历史m 地址的h i p ( h i s t o r y b a s e di pf i l t e r i n g ) 技术。c j i n l l 刀等提出了基于跳数的滤 波h c f ( h o p - c o u n tf i l t e r i n g ) 技术，预先建立一个口地址和对应的跳数的映射表，通过 2 中国民航大学硕士学位论文 提取数据包的m 地址和跳数来识别伪造的源m 地址。j u ax u 等提出了一种针对w e b 服务器的d d o s 防御方法，通过博弈理论深入的分析了w e b 服务器可能受到得攻击， 主要通过路由器，防火墙，以及本地w e b 服务器组成一个本地防御网络，其中提到了 对使用合法地址进行攻击防御。王文奇等【1 9 1 提出了一种基于状态转换和信任度的主 机防御方法，该算法通过记录每个连接的状态及信任度，判断进入主机的m 数据包是 否为攻击包，从而阻止或允许该碑包通过。 k u z m a n o v i c 和k n i g 硼y 1 2 0 1 于2 0 0 3 年发现的l d o s 攻击由于其巨大的危害和 隐蔽性已成为研究的热点，经过证明，传统的防御d d o s 的方法不适合l d o s 攻击1 2 “， k a ih w a n g 和y u k w o n gk w o k l 2 2 提出了的一种称为h a w k 的方法来识别恶意的l d o s 攻击流，可是h a w k 只适用于源地址单一的攻击。前不久，l u o 和c 1 2 i a n g 2 3 1 发现当 发起脉冲攻击后，流入的流量和流出的a c k s 流量将会发生很大的变化，根据这种特性 他们提出了一种基于小波分析的方法，第一部分他们利用d w t ( d i s c r e t ew a v e l e t t r a n s f o r m ) 的方法来检测异常流量，第二部分，他们利用一种特殊的c u s u m 方法来检 测变化点。由于基于小波变化的检测结果非常依赖于参数的选择，因此很难选定一个最 优的参数来保持一个高的检测率、很低的误报率和漏报率。目前武汉大学也在积极的进 行l d o s 攻击和防御的研究。 从目前d d o s 攻击和d d o s 的防御现状来看，新的攻击工具以及攻击方法不断的出 现，与此同时新的防御机制也被提出。然而，现有的一些防御措施都有一定的缺陷，d d o s 防御措施的性能还有待提高。无论国内还是国际，对于d d o s 防御的研究仍是一个热点。 1 3 研究内容 l d o s 攻击，又称脉冲调制d d o s 或者称为是降低质量( r e d u c t i o no fq u a l i t y ，r o q ) 攻击，它是一种利用t c p 超时重传弱点发起的攻击，由于l d o s 攻击流的平均速率很低， 具有隐蔽性强的特点，可以逃脱常规的针对高速率攻击的检测机制，使受害机器长时间 的遭受攻击而不被发现。它甚至比淹没型d d o s 攻击对网络资源的危害更大。 本文在深入研究l d o s 攻击原理的基础上，建立了l d o s 攻击的流量模型，结合数 字信号处理的相关知识，提取了l d o s 的攻击特征，利用假设检验分析方法来检测l d o s 攻击流；详细分析了目前常用的队列调度机制和流量控制技术，并提出了一种适用于高 3 中国民航大学硕士学位论文 速网络分组的l - d r r ( l o wl a t e n c yd e f i c i tr o u n dr o b i n ，低时延可调节的差额轮循1 算 法，通过公平分配带宽策略来抵御l d o s 攻击。 1 4 论文结构 第一章绪论部分，主要介绍了课题的研究背景和意义，国内外研究现状，以及该 论文的组织结构和主要内容。 第二章对d d o s 攻击的原理进行了分析，研究了各种攻击技术的特点；分析了现有 的d d o s 防御方法，指出了各种技术的优缺点和适用环境，以及在未来的d d o s 防御中面 临的挑战。 第三章详细介绍了l d o s 的攻击特点，建立了l d o s 攻击的流量模型，利用谱估计 技术提取了l d o s 的攻击特征，并通过假设检验分析方法来检测l d o s 攻击流。 第四章详细分析了目前常用的队列调度机制和流量控制技术，并提出了一种适用 于高速网络分组的l - d r r ( l o wl a t e n c yd e f i c i tr o u n dr o b i n ，低延时的差额轮循) 算法 来抵御l d o s 。 第五章详细阐述了l d o s 检测和防御机制的实现，并对其进行了测试，给出测试 的结果。 中国民航大学硕： 学位论文 第二章d d o s 入侵及其检测防御技术 2 1d d o s 入侵的工作原理 如图2 1 所示，d d o s 攻击是通过三个步骤进行的： 图2 ld d o s 攻击不意图 1 、侵入主机 攻击者通过扫描大量主机以探测出具有安全漏洞的主机，一些安全措施较差的网络 服务器往往是攻击者的首选目标。在成功侵入后，攻击者将安装一些特殊的后门程序以 获得这些主机的控制权，随后利用己入侵的主机继续进行扫描和入侵。通过这种方式， 攻击者在一定的时间内就可以培养出大量的受控主机作为后续攻击的代理。 2 、安装攻击程序 攻击者在已入侵的主机上安装攻击软件，根据软件的不同，己入侵的主机被分为两 类：攻击操纵机和攻击执行机。攻击操纵机上安装并后台运行了特定的服务程序，这些 程序的作用是接受攻击者发来的特殊指令，并且把这些命令发送到攻击执行机上。攻击 执行机则是攻击行动的直接执行者，它们往往也是被攻击者非法入侵和控制的网络主 中国民航大学硕士学位论文 机，其中被植入了攻击程序，一旦接收到攻击操纵机发来的攻击指令，就开始向目标主 机发起攻击。 3 、发起攻击 攻击者通过攻击主控机向攻击操纵机发出攻击命令，通常在攻击操纵机收到命令 后，主控机就脱离网络，从而逃避追踪。随后攻击操纵机再把攻击命令发布给各个攻击 执行机。在约定的时刻，所有的攻击执行机同时向目标主机发起攻击，造成口标主机网 络或系统资源的耗尽，从而停止正常的服务。 2 2d d o s 攻击的防范 由上述d d o s 攻击的过程可以看出，d d o s 攻击的基础策略主要有三个点：其一， 利用i n t e m e t 的不安全信道；其二，隐藏攻击者的身份，d d o s 攻击的这种攻击主控机、 操纵机、执行机三层的攻击结构，使得攻击主控机具有良好的隐蔽性，监控系统很难对 其进行跟踪：攻击执行机在对目标主机实施攻击时所发送的分组都是经过伪装，目标主 机无法识别出其来源。其三，攻击时产生大量分组淹没目标主机和网络。针对d d o s 攻 击的这三个策略，对d d o s 攻击的防御可分为三个层次；预防、攻击检测和控制、源追 踪。首先做好预防工作，增强网络的健壮性；其次在d d o s 攻击发生的时候迅速准确的检 测和控制；在攻击发生的同时或攻击结束之后追踪和标识攻击源。 2 2 1 d d o s 攻击预防 + d d o s 攻击的预防就是要尽量降低网络中的主机被攻击者入侵和利用的机会，可通 过在网络上安装入侵检测系统和防火墙以及在个人主机上安装防毒软件来实现。只要使 得攻击者不能掌握足够数量的攻击操纵机和攻击执行机，就可以有效防止d d o s 攻击的 发生。 2 2 2 d d o s 攻击源追踪 源追踪的目的是解决攻击者身份隐藏的问题，通常称为i pt r a c e b a c k ，精确i p t r a c e b a c k 是指当攻击发生时或攻击结束后确定每个攻击者的攻击路径和攻击发起点。 6 中国民航大学硕士学位论文 由于目前的i pt r a c e b a c k 技术还难以准确找到攻击分组的真正来源，研究人员将其作了 一定的近似：为每个攻击者找出一条包括真实攻击路径的候选攻击路径。 常见的i pt r a c e b a c k 方法包括：概率分组标记法1 2 0 l 、基于哈希的碑t r a c e b a c k ，i c m p t r a c e b a c k 。 概率分组标记的思想是当分组到达路由器时，以某个概率将部分路径信息标记在分 组上。当真正的攻击发生时往往会有大量的攻击分组，这样被攻击主机就可以根据每个 分组包括的部分路径信息得到足够的信息恢复出完整的攻击路径。所有概率分组标记算 法都包括两个组成部分：由路由器执行的标记过程和由被攻击主机执行的路径恢复过程。 分组标记算法的效率通常由收敛时间来衡量，收敛时间的含义是被攻击主机至少需要多 少个分组才能恢复出攻击路径。 基于哈希的i p t r a c e b a c k 为经过路由器的每个分组都保存一份摘要。通常分组的口 头部和负载的部分信息被用于哈希函数输入的分组域，经过哈希摘要后用来表示该分 组，这样做的好处在于路由器只用存储哈希摘要而不需要存储分组本身，降低了对存储 空间的要求。由于哈希函数本身的特性，不同分组所得的摘要冲突概率非常低，保证了 这种i pt r a c e b a c k 方法的可行性。如果某个分组被入侵检测系统判断为具有危害性，那 么入侵检测系统将向路由器发出查询请求，查询该分组的摘要信息以模拟出攻击的路 径。 i c 御t r a c e b a c k 是一种基于显式的路由器生成的i c m pt r a c e b a c k 消息的 t r a c e b a c k 方案，其主要思想是每个路由器都以很小的概率从其转发的路由分组中取一 个样本，并把分组的内容和相邻路由器等信息放入i c m p t r a c e b a e k 分组发给目的结点， 当遭受攻击时，目标主机可以利用收到的这些信息重构攻击路径。i c m p t r a c e b a c k 策略 与概率分组标记策略具有相似之处，不同的是它不是在i p 分组中做标记，而是通过i c m p 分组发送标记信息。该策略的缺点在于i c m p 分组增加了网络的流量，加重了网络负担， 并且攻击者可能发送假的i c m pt r a c e b a c k 报文欺骗目标主机。 总的来说，i p t r a c e b a c k 技术不能阻止正在进行的d d o s 攻击，而且，目前已经提 出的这些i pt r a c e b a c k 方法并不能保证追踪到分组的真正来源，只能为每个攻击者找出 一条包括真实攻击路径的候选攻击路径。加上攻击者可能躲在防火墙或者网络地址翻译 ( n e t w o r ka d d r e s st r a n s l a t o rn a t ) 网关之后，i pt r a c e b a c k 的功用仅限于定位攻击者的大 概范围，从而使i s p 部署相关策略对这些范围的主机提高警惕。 7 中国民航人学硕士学位论文 2 2 3 d d o s 攻击检测与控制 检测和控制可以分为两个阶段，一个阶段是d d o s 攻击分组的检测，另一个阶段是 对检测出的可疑分组的控制( 目前一般为对可疑分组的过滤或速率限制) 。攻击检测的 效率由误判率和漏判率来衡量。误判率是指被错误判断为攻击包的正常分组占全部正常 分组的比例，漏判率则指的是未被检测出的攻击包占全部攻击包的比例。分组过滤的效 率常常用正常分组通过比例来计算。显然，一个好攻击检测和控制系统应尽量降低检测 的漏报率、误报率比例和提高分组过滤的效率。 实施检测和控制策略的位置可以有四个，按照离被攻击主机位置的由近及远分别 为；被攻击主机所在的网络、被攻击主机上游的i s p 网络、更远的上游i s p 网络、攻击 主机所在网络。越靠近被攻击主机所在的网络，攻击分组就越容易被检测出来；而越靠 近攻击主机所在的网络，攻击包被检测出来的难度就越大。与此相对应的，被攻击主机 所在的网络，分组过滤的效果越好；而靠近攻击主机所在的网络，越多的正常分组可能 被过滤掉，因而效果变差。 现有的d d o s 入侵防御方法主要是在攻击主机所在的网络和被攻击主机所在的网络 实施防御策略的。i n g r e s sf i l t e r i n g ( 输入过滤) 和d - w a r d 都是在攻击主机所在的网络 实施攻击防御的。i n g r e s sf i l t e r i n g 对源地址欺骗进行高效的输入过滤；d w a r d 将系统 安装在攻击主机所在网络的边界路由器上，对高速率的输出流进行监控，在让正常流顺 利通过的同时，限制攻击包的速率，并随着攻击速率的增加子数降低攻击包的速率。 d a v i dky y a u 等人提出的r o u t e r t h r o t t l e ( 路由器节流阀) 方法【2 5 1 则是在每个可能遭受 攻击的服务器的上游路由器安装r o u t e rt h r o t t l e ，用于限制流向服务器的最大流量，超 过的数据流将被丢弃或转移到其他服务器。y o o h w a nk i m l u l 提出了一种基于统计概率的 包打分方法，他按照统计学的方法，以出入网络的特征联合概率为依据，当特征合法概 率减小到超出阈值时就认为是攻击数据包。这种方法依赖于特征的个数，只有提取到足 够多的特征时效果才会显著。 在攻击主机所在的网络和被攻击主机所在的网络实施防御策略各有利弊：在攻击源 端进行防御可及早的滤除攻击流，减少网络资源的浪费，并且有益于进行i pt r a c e b a c k ； 而在受害主机处的攻击防御则有益于攻击的检测。为了达到更好的防范效果，研究人员 提出了全球的防卫基础构架，又称为“i n t e r a c t 防火墙”，其核心思想是在i n t e m e t 中部 中国民航大学硕士学位论文 署一组分布式节点执行攻击的检测和控制，以保护整个i n t e m e t 免受d d o s 攻击。 2 2 4 现有d d o s 入侵防御系统的不足 在现有d d o s 入侵防御系统的研究中，研究人员一般都将工作的重心放在攻击的检 测上面，而攻击防御系统的控制模块在结构和功能上往往显得简单，大都只是将检测出 的可疑分组进行丢弃，一些r a t el i m i t i n g 策略闭【2 7 1 更是在网络拥塞时不经过判断的对 高速率的流进行简单的限速。近几年研究人员也对攻击防御系统的控制功能作了一些改 进：在郾】中的控制模块除了匹配过滤与现今已知的d d o s 攻击吻合的分组外，还对某些 重要的数据，开放一特殊的通道，用以降低攻击引起的拥塞对某些重要数据流的影响。 y o o h w a nk i l n 等人在四中提出的控制模块将到达包的c l p 值( c o n d i t i o n a ll e g i t i m a t e p r o b a b i l i t y ，合法概率) 与系统设定的门限值进行比较，若到达包的c l p 值低于这个门限 则丢弃该包，模块通过动态的调制该门限值降低门限值的设定对控制效果的影响。在p o 】 中的控制模块则不完全将可疑分组丢弃，而是通过限速等方式将可疑包消耗的资源控制 在系统允许的范围内，并随着系统资源动态的调整可疑数据流所占带宽。然而，这些改 进的控制模块仍然对检测模块的丢包门限值倚赖很大，并且在进行过滤和限速的时候没 有充分考虑到d d o s 攻击的特点，因此不能达到很好的控制效果。 2 3 小结 d d o s 攻击是i n t e r a c t 目前面临的最严峻的威胁之一，己成为网络安全研究的热点 问题，研究人员相继提出了各种方案以抵御这种攻击。攻击防御的效果是由攻击的检测 和攻击的控制两方面共同决定的，现有防御系统的控制功能没有得到充分的开发，控制 效果并不理想。一个具有良好功能的d d o s 入侵防御控制系统有待于提出。 9 中国民航人学硕士学位论文 第三章基于流量模型的d d o s 检测方法 3 1 概述 为有效地分析网络系统的性能，并为网络q o s 的策略设计、分析及流量预测提供 可靠理论依据，我们必须准确把握流量的特征，并为其建立较精确的网络流量模型。 在传统电信网络中，泊松模型一直是我们进行话务计算、网络规划与分析的最基本 流量模型，该模型基于流量到达过程无记忆性( m e m o r y 1 e s s ) 与到达间隔时间服从泊松分 布的假设，由于其描述简单清晰、易于分析，并在传统电信网络话务计算中所表现出来 的有效性，该模型最初被引入到包交换网络中进行m 流量计算与分析。但后来，随着 越来越多的试验证明泊松模型的计算结果往往与实测结果存在较大差异，一些新的流量 过程模型被提出，如马尔科夫调制泊松过程( m m p p ) 、马尔科夫流过程( m m f p ) ，自回归 模型( a u t o r e g r e s s i v em o d e i ) 等被引入网络流量的分析。这些新的模型在特定业务、特定 网络条件下可满足网络流量分析的需要，但由于未能刻画网络流量的本质变化特征，不 能反映网络流量的普通特性口1 】【3 2 】 传统的业务流模型( m m p p 、m m f p 、自回归模型等1 只存在短时相关性( s r d ) ，在不 同的时间尺度下具有不同的待性。l e l a n d 等对b e l l c o r c 的局域网( l a 】m 的流量进行测试 分析，以及p 双n 等对w a n 流量和k l i w a n s k y 等对n s f n e t 的流量的测试分析，发现 网络流量有自相似特性，实际网络业务流在较长的时间范围内都具有相关性，即业务到 达是长期相关( l r d ) 的。1 l j a i n 等人提出网络流量的“分组火车”模型可以作为网络流 量合理近似，并且进一步分析得出“分组火车”模型具有自相似性的相同结论。自相似 性或l r d 意味着网络流量具有长期记忆性，即其流量行为在长时跨度具有相关性。网 络流量的自相似性改变了人们传统的网络流量观念，并对网络流服从泊松过程的假定提 出挑战，使我们对流量特征由无记忆性及聚集业务平滑性的不合理假定转而认识到网络 流量具有长期记忆性与突发特征( b u r s t y ) 的本质特性口3 。5 1 ，文献【3 6 】对i n t e m e t 核心网 的流量分析表明，对网络延时极小且带宽充足的骨干网，其p a c k e t 级的流量行为近似服 从泊松过程，因此在特定的网络、特定的业务条件下，泊松过程、马氏过程仍有其适用 性，在特定条件下仍是网络流量分析计算的重要工具。而作为主导网络流量特性的自相 1 0 中国民航大学硕士学位论文 似特性，由于揭示了网络流量变化的本质与普遍特征，可在绝大多数网络环境与业务应 用环境下成立，因而是当前流量分析与建模的主导工具。 3 2 传统流量模型与应用 目前基于i m e r n e t 数据流量、混合流量分析与建模中的系列传统流量模型均有其应 用限制与应用局限性，传统流量模型在具有突发特征的网络流量中的应用越来越受到挑 战。 3 2 1 泊松过程模型 泊松过程模型是最简单和最知名的网络流量过程模型，在传统的通信网络话务建 模、网络规划及话务计算等方面曾发挥着重要作用。不过自l e l a n d 等对网络流量特性的 开创性研究工作后，自相似性( 长期相关性) 特征成为主宰网络流量特性的主体特征， 泊松过程模型在网络流量研究中不再受到重视【3 7 l 。但是，无论是从流量过程模型比较研 究的角度，还是如文献【3 7 】所证明“在低延时、高带宽的i n t e m e t 骨干网中，网络流量仍 基本遵循泊松过程模型”，泊松过程模型的讨论仍极有意义。 对随机过程x ( t 1 ，若相邻两个数据包的到达相互独立，且其到达时间间隔服从强 度为五的指数分布，即 f ( ，) = 1 可“，其中丑2 赢 3 则称x ( r ) 为服从参数为a 的泊松过程。 对传统话音通信网络，用户到达过程是相互独立的，且在极短的时间间隔内，到达 一个新用户的概率为五，即新用户到达时间问隔服从强度为a 的指数分布，因此传统话 音通信网络的流量模型服从泊松过程。 但在包交换网络中，由于存储转发机制、业务流传输流大小、t c p 流控制机制等的 综合影响，及数据包由于排队而导致网络时延，使数据包之间的到达过程不再严格地相 互独立，因而在包交换网络中泊松过程的应用条件不再成立。文献【3 9 】证明，在具有长 期相关性的网络流量中，数据包的到达时间间隔近似服从p a r e t o 分布，其概率密度为： 邝) = 南 ( 3 2 ) 中国民航大学硕士学位论文 而间隔时间服从p a r e t o 分布的网络流量是自相似( 长期相关的) ，即不再服从泊松 过程模型。 3 2 2 马氏过程模型 马尔可夫模型建立的基础是“无后效性”和“平稳性”。无后效性是指事物本阶段 的状态只与前一个阶段的状态有关，而与以前其他任何阶段的状态无关。稳定性是指在 较长时间后马尔可夫过程逐渐趋于稳定状态，而与初始状态无关。p o 表示由状态瑾至 过一步转移到状淘的概率，具有下列性质【3 8 】： i 弓0 ( h i e d 纠( f d 。 l i c e 一个简单的马尔可夫流量模型中，到达时间呈指数分布( 连续时间) 或几何分布( 离 散时间) 。根据马尔可夫过程特性，还可以与泊松过程或者流体模型等结合建模。如基 于调制的马尔可夫泊松过程( m m p p ) 模型、调制的马尔可夫流体模型等。文献 3 9 】用连续 的m m p p 模型来近似地拟合自相似流量。用不同时间尺度下的多个二参数m m p p 过程 叠加合成一个新的m m p p 过程，也可描述成多个中断泊松过程( i p p ) 和一个泊松过程的 叠加。 马尔可夫流量模型易于排队性能的解析处理，然而模型解析解的复杂度将随着模型 参数数目增加而增加。音频信号的模拟建模一般只需较少的参数，因此马尔可夫模型广 泛应用于电话网络中。马氏流量模型具有描述简单清晰，易于进行分析的优点，但是在 电话交换网络分析所采用的泊松过程并不能描述网络流量的变化状况，而且网络流量的 变化特性的不确定性，导致难以用某一种概率特性来描述其行为，因此，在使用马尔可 夫模型时，其难点就是难以确定描述实际网络流量特性的系统状态转换概率特性。 3 2 3 回归过程模型 尸阶自回归模型4 r ( p ) 形式如y t 4 0 j ： 五= 中l 一l + m 2 置一2 + m p 工，+ 毒 ( 3 4 ) 式中：置相关随机变量：m ，实数；磊白噪声。 1 2 中国民航大学硕士学位论文 如果磊是方差为的高斯白噪声，那么置是正态分布的随机变量。定义一个延迟 算子b 为b x , = 墨- ”o ( b ) = i - o l ( b ) 一。中p ( 研，则a r ( p ) 过程可表示为： 中( b ) 置= 点 ( 3 5 ) 如果似丑) 的根在单位圆外，则置是平稳过程，自相关函数为： 岛= l 见一i + 0 2 反一2 + 西p 岛一，( | | o ) ( 3 6 ) 尽管a r 模型易于进行参数估计，产生递归序列，但由西( b ) z = 毒于其白相关函数 以指数形式衰减，所以不能很好地模拟比指数衰减要慢的自相关结构的流量。高斯分布 的a r 过程不能够描述v b r 视频流量分布，因为v b r 视频流量的分布比高斯分布具有 更强的重尾性。 3 2 4 网络流量自相似模型 几何对象的一个局部放大后与其整体相似，这种性质就叫做自相似性 ( s e l f - s i m i l a r i t y ) 。具有自相似性或标度不变性的几何对象，称其是分形( f r a c t a l ) 或分维的。 具有严格数学意义的自相似称其为几何分形，而仅具有统计意义上的自相似则称其为统 计分形。网络流量信号自相似性的考察与计算即是统计意义上的分形特征的分析与建 模。如z 是一随机过程，若，取值为0 ，1 n ，则置为一离散时间序列 z 。若置在 系列时间取值，屯，下的联合概率分布不因时移而改变，我们称置是平稳随机过程。 通常用随机过程的自相关函数以( a u t oc o r r e l a t i o nf u n c t i o n ) 来描述随机过程五在不同 时刻的相关性，n 可定量计算随机序列置与时移k 时刻的随机序列置+ 。的相似性 4 1 l ： 鲈型掣 ( 3 7 ) 对置的聚集随机过程掣= 芋善耶：0 ，1 ，2 ，尝棚描述了从初始时间序列 开始的m 个连续值的时自j 序列窗的均值。若是独立同分布的，则哳o r ) ：。但当 五随机序列值呈现长期记忆性时，其聚集过程的方差将比慢得多的速率趋于零。 若平稳随机过程的自相关函数以较慢的速率衰减以致其和不收敛，即l , o k i = o o ， 则该随机过程为长期相关过程( l r d ) 。由于l r d 过程在较大时间范围的独立取值间的相 中目民航大学硕士学位论文 关性较大，亦称其具有长期记忆性。当随机过程五具有( 2 8 ) 式所示的分布特性时，称其 是自相似的。 x ( a t ) = 口”x ( t 1 ( 3 8 ) 对所有的m ，若有”( 七) = 从七) 一k - p ( o 1 ，当| | 专) ，称置为精确二阶自相似 过程，并称h = l 一为其自相似参数。即，如果聚集过程x ( _ 与置是不可区分的( 最 少是二阶统计特性不可区分) ，就称x 是精确自相似过程。分形高斯噪声o ：g n ) 就是一个 去 日 l 的精确二阶自相似过程。如果神( 七) _ 以后) 七一4 ( o l ，当m 一) ，则称 z 为渐进二阶自相似过程。 自相似参数h 又称为h u r s t 参数，是描述白相似特征的唯一参数。对于h 有三个不 同的取值范围，o h j 1 ，= i 1 利i 1 圳= f 击唧 一错) ( 3 1 4 ) 如图3 - 4 中n c p s d 曲线所示，在2 0 h z 的频率点附近，带有l d o s 攻击流和不带有 l d o s 攻击流的通信量曲线之间的间隔最大。这意味着昂的最大值和漏报率斥。，及误 报率弓，的最小值是能够取得的。我们称这个点为k 点。高斯分布曲线是根据大于6 ，0 0 0 个数据的样本空间的统计结果来绘制的： 坳一一一叫；罩端眈确 蚴一一加唬苫嚣主淼咖叭甜， 很明显，不存在极值点使得当达到1 0 0 的检测概率昂的同时保持o 的误报率b ，。 换句话说，o 的漏报率斥。伴随着高的误报率，矗。因此，需要找到一个最佳的极值点， 用适当的漏报率误报率逼进足够高的检测概率。 为了说明合法流中是否包含l d o s 攻击流，我们按照n e y n m n - p e a r s o n 准则m 】建立 假设检验规则。我们为每一个检验结果x 定义相似比函数u x ) ，l ( x ) 为事件e 发生的概 率与事件鼠发生的概率之比： m ) = 黜1 - 1 0 )p t x ； ( 3 1 6 ) 如果( x ) ，则q 成立，反之，凰成立。，是确定的检测极限，它与漏报率相关。 上式也验证了我们猜测的最大检测概率与误报率紧密相关。基于实验数据，我们用上述 公式计算出选取不同极值点时的( x ) ，昂，和。取更低的极限值将得到更高检 测概率和更低的漏报率，但将以更高的误报率为代价，高误报将会增加路由器不必要的 负担。 1 9 中国民航大学硕士学位论文 第四章基于流量控制队列管理的防御算法 4 1t c p 拥塞控制机制的出现和演化 从i n t e m e t 主机上应用程序的角度来看，i n t e m e t 的结构大体上可以用图4 1 来表示： 它是一个单一的虚拟网络，具体的物理网络技术( 如以太网、f d d i 、a t m 等) 被m 层 屏蔽掉了。当主机a 上的w w w 浏览器通过协议软件连接主机b ( 此时在应用层我们 称主机b 为服务器) 时，它对分组要经过的物理网络、路由状况等都不需要做任何假定； 相反，它通过不断观测与它直连的网络的状况来调整自己的行为。这是一种以主机为中 心的、“端到端”的系统设计思想，它使t c p i p 变得十分通用和强大，是i n t e r n e t 日益 强大并在商业上取得巨大成功的主要原因之一。 4 1 1t c p 的拥塞控制思想 图4 - 1i n t e m e