（计算机应用技术专业论文）一种抗ddos的入侵检测系统研究.pdf

山东大学硕士学位论文 摘要 随着i n t e m e t 的繁荣，网络入侵事件频繁发生，各种攻击手段也层出不穷，其 中拒绝服务攻击d o s 以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防 御等特点成为最常见的网络攻击手段之一，极大地影响网络和主机系统的有效服 务，尤其是分布式拒绝服务攻击d d o s ，其潜伏期长、攻击并发程度高，隐蔽性更 强、破坏性更大，严重威胁着i n t e m e t 的安全。 目前的入侵检测系统i d s 作为种主动检测工具，虽然可以对内部攻击、外 部攻击和误操作进行实时检测，但对高分布性的d d o s 攻击的检测能力明显较弱， 针对此问题，本文提出一种轻量级的d d o s 攻击检测方法l d d m ，进而构建了一 种抗d d o s 攻击的入侵检测系统。 该系统融合了轻量级的d d o s 攻击检测方法l d d m 和基于c f 模型的b a y e s 检测方法c b d m 。l d d m 包括特征提取和d d o s 攻击检测两个模块，特征提取主 要提取t c p 建立连接过程中的s y n 包和a c k 包等特征，为d d o s 攻击的检测做 准备；d d o s 攻击检测根据合法口地址数据库判断伪装的源d 地址，用改进的 b l o o mf i l t e r 进行t c p 协议的对称性分析，然后利用改进的无参数c u s u m 算法判 断是否存在d d o s 攻击。c b d m 用知识库记录正常行为规则，通过特征分类建立 正常行为与特征属性向量的b a y e s 网络实例，然后训练基于c - f 模型的b a y e s 分 类器，并将其应用于检测过程中。 本文首先提出了一种轻量级的d d o s 检测方法l d d m ，该方法使用改进的无 参数c u s u m 算法，不仅可以利用少量的资源有效检测d d o s 攻击，而且可以及 时检测到d d o s 攻击停止时刻，降低了对d d o s 检测的误报率，实验证明无论靠 近攻击端还是受害端，l d d m 均能有效地检测到d d o s 攻击；其次，将基于c - f 模型的不确定性推理应用到b a y e s 分类器中，提出一种改进的基于b a y e s 网络的入 侵检测方法c b d m 。 最后通过实验证明，本文提出的抗d d o s 的入侵检测系统不仅对简单的入侵 方式具有较高的检测率，而且可以有效的检测到d d o s 攻击。 关键词：d d o s 攻击；无参数o u s u m 算法；o - f 模型；入侵检测 山东大学硕士学位论文 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 竺! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! a b s t r a c t w i t hp r o s p e r i t yo fi n t e m e t , n e t w o r ki n t r u s i o no c c u r s f r e q u e n t l ya n dd i f f e r e n t m e a r l so fi n t r u s i o na p p e a r d e n i a lo fs e r v i c eb e c o m e so n eo ft h em o s tf a v o r i t en e t w o r k a t t a c k sb e c a u s eo fi t sc h a r a c t e r i s t i c s ：i m p a c ti naw i d er a n g e ，d i f f i c u l tt of i n do u t ， s i m p l e n e s sa n de f f e c t i v i t y , s e r i o u sd a m a g e ，h a r dt od e f e n d d o sc a r lc a u s eg r e a td a m a g e t on e t w o r ka n dh o s tc o m p u t e r s d d o sc a nh i d ei nal o n gt i m ea n dh a sah i 曲 c o m p l i c a t i n gd e g r e e i t sh a r dt of i n da n dc a nc a u s em o r ed a m a g e ，s ot h a td d o si sa s e r i o u st h r e a tt on e t w o r ks e c u r i t y a sap r o a c t i v ed e f e n s et o o l ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) c a nd e t e c ta t t a c k i n s i d e ，o u t s i d ea n dm i s o p e r a t i o nr e a l - t i m e b u ti ti sh a r dt od e t e c td d o s s ot h i sp a p e r p r o p o s e sak i n do fd s w h i c hc a nd e t e c td d o s t h i ss y s t e mu s e sl i g h t w e i g h td d o sd e t e c t i o nm e t h o d ( l d d m ) a n dc - fm o d e l b a s e db a y e sd e t e c t i o nm e t h o d ( c b d m ) l d d mc o n t a i n sf e a t u r ee x t r a c t i o nm o d u l ea n d d d o s d e t e c t i o nm o d u l e f e a t u r ee x t r a c t i o nm o d u l ee x t r a c t sf e a t u r ed a t as u c ha ss o u r c e 皿s y np a c k e t s ，a c kp a c k e t s ，a n dp r e p a r e sf o rd e t e c t i n gd d o sa t t a c k s ； d d o s - d e t e c t i o nm o d u l ej u d g e sw h e t h e ri pi s l e g a lu s i n gl e g i t i m a t ei pa d d r e s s d a t a b a s e ，a n dw h e t h e rn e t w o r kt r a f f i ci sa b n o r m a la c c o r d i n gt ot h es y m m e t r i c a l f e a t u r e so ft c p p r o t o c o l ，a n dc o u n t sa b n o r m a ld a t ab yr e v i s e db l o o mf i l t e r , a n dj u d g e s w h e t h e rd d o sa t t a c k ss t a r tu pu s i n gi m p r o v e dn o - p a r a m e t e r sc u s u mm e t h o d c b d m r e c o r d sn o r m a lb e h a v i o u rb yk n o w l e d g eb a s ew h i l eb u i l d i n gb a y e sn e t w o r ki n s t a n c e a b o u tn o r m a lb e h a v i o u ra n df e a t u r ev e c t o rb yf e a t u r ec l a s s i f i c 撕o nm o d u l e t h e nc - f m o d e lb a s e db a y e sc l a s s i f i c a t i o ni st r a i n e da n du s e di nt h ep r o c e s so fi n t r u s i o n d e t e c t i o n f i r s t l y , t h i sp a p e rp r o p o s e sl d d m ，w h i c hu s e sn o - p a r a m e t e r sc u s u ma n dc a n d e t e c td d o s e f f e c t i v e l yb yf e wr e s o u r c e s i tc a na l s of i n dt h et i m ew h e nd d o sa t t a c k s s t o pi nt i m e l d d mr e d u c e st h ef a l s er a t eo fd d o sd e t e c t i o n w i t ht h ee x p e r i m e n t s ，i t s h o w st h a tl d d mc a nd e t e c td d o sm o r ee f f e c t i v e l yw h e t h e ri tn e a r st ot h ea t t a c k e r so r v i c t i mh o s t s s e c o n d l y , c - fm o d e lb a s e du n c e r t a i n t yr e a s o n i n gi sa p p l i e dt ob a y e s c l a s s i f i c a t i o n ，a n dt h e na ni m p r o v e di n t r u s i o nd e t e c t i o nm e t h o dc b d mb a s e do nb a y e s n e t w o r ki sp r o p o s e d f i n a l l ye x p e r i m e n t ss h o wt h a td d o s d e t e c t e di d sh a sah i g hd e t e c t i o nr a t et o c o m m o ni n t r u s i o n ，a n dc a r ld e t e c td d o sm o r ee f f e c t i v e l y i i 山东大学硕士学位论文 k e yw o r d s ：d d o s ；n o - p a r a m e t e rc u s u m ；b a y e sn e t w o r k ；c - fm o d e l ；i d s 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：夺! 圭日期：型里兰! 竺苎 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名连生导师签名： 日期： 山东大学硕士学位论文 。1 课题研究的背豢 第 章绪论 随着i n t e n r e t 的日益普及与发展，网络与人们日常生活的关系越来越密切。 与此同时，网络安全问题也日益突出，入侵事件发生的频率越来越高，入侵的危 害性也越来越大。目前网络安全的主要威胁有非授权访问、信息泄露、破坏数据 的完整性、设置陷阱、重传攻击、拒绝服务攻击( d e n i a lo f s e r v i c e ，d o s ) 等，其中 分布式拒绝服务攻击( d d o s ，d i s t r i b u t ed e n i a lo fs e r v i c e ) 由于其隐蔽性和有效性 成为攻击者的首选手段。 1 9 9 9 年8 月，首次d d o s 攻击使用一个典型d d o s 攻击工具t r i n o 攻击了美 国骥尼苏达大学，该工具集中了至少2 2 7 台主机的控制权，其中有1 1 4 台是 i n t e m e t 主机。攻击包从这些主机不断地发往明尼苏达大学的服务器，造成其网 络严燕瘫痪。 2 0 0 0 年2 月，美囡著名门户网站y a h o o 以及e b a y 、a m a z o n 、c n n 、e t r a d e 等众多知名站点被身份不萌的黑客在短短几天内连续破坏，系统瘫痪长达几十个 小时之久，我图的新浪网和部分政府站点也遭到不同程度的攻击，微软著名的网 站m s n 。c o m 也因为多个霹络服务器中断服务丽受到影响。据统计，黑客在几天 里的攻击行为造成高达1 2 亿美元的损失，使i n t e m e t 的性能下降了2 6 8 。 历史上发生的最大一次o s 攻击造成北美、欧渊和鼹溅的互联网发生大面 积的堵塞，据估计至少有2 2 万台网络服务器和2 5 万台计算机遭到攻击，受灾 最重的韩国全国网络瘫痪了整整2 4 个小时，造成了难以挽圈的重大损失。 以上这些著名攻击事件表明，即使是具有雄厚技术支持的高性能站点，在 d d o s 攻击下也不能幸免，丽没有被报道的规模小的d d o s 攻击更是不计其数。 d a v i dm o o r e 等在“i n f e r r i n gi n t e m e td e n i a l o f - s e r v i c ea c t i v i t y 1 1 】中报告了在一 周志观察到了1 2 0 0 0 起攻击，共有5 0 0 0 个p 地址受到危害，露佟者的观察空闻 只是整个i n t e m e t 地址空间的1 2 5 6 。 由此可觅，网络安全问题圜益严峻，已经成为亟待解决的闻题。i d s 作为提 高网络安全的履要工具，可以对非法入侵者的恶意攻击或试探进行识别，并通过 山东大学硕士学位论文 旁路监听方式不间断地收取网络数据以检测入侵行为，但是现行的i d s 无法满足 对d d o s 攻击检测的要求2 1 ，因此如何建立一种有效的检测系统成为一个亟待解 决的问题。 1 2 国内外研究现状 i d s 是保护计算机和网络资源的重要组成部分，及时检测到入侵是i d s 的主 要目的，但是i d s 对普通的入侵方式比较有效，对高分布性的d d o s 攻击的检测 能力较弱。d d o s 是一种基于d o s 的特殊形式的拒绝服务攻击，它是一种分布、 协作的大规模攻击方式，对网络具有更大的危害。 从1 9 9 9 年8 月的第一起d d o s 攻击发生以来，人们就对d d o s 攻击及防范 策略展开了深入的研刭2 1 ，目前也有许多研究成果。w a n g 3 1 提出边界路由器检测 s y n 淹没攻击的方法，他们观察到s y n 和f i n 包基本上是成对出现的，在检测 过程中统计这些包的数目，提出用变化点检测的方法来发现s y n 淹没攻击中不 成对的数据包；j i n 4 】用d 包头中的1 几值来估计每个包的路由跳数，因为使用 伪造坤地址的数据包将会与正常数据包在路由跳数上不致；t p e n g 5 】提出了基 于历史口地址的h i p ( h i s t o r y b a s e di pf i l t e r i n g ) 技术；j u nx u 等【6 】提出了一种针 对w e b 服务器的d d o s 防御方法，通过博弈理论深入的分析了w e b 服务器可能 受到得攻击；王文奇等【刀提出了一种基于状态转换和信任度的主机防御方法，该 算法通过记录每个连接的状态及信任度，判断进入主机的口数据包是否为攻击 包，从而阻止或允许该口包通过；m i r k o v i c 8 】提出攻击源端的检测方法，通过对 进出数据流的监控与正常流量模型的对比，可以用异常检测的方法发现攻击行 为；文献 9 】提出一种通过检测新的源口地址在时间内出现的个数的机制来判 断是否有攻击发生，在一次带宽攻击过程中，这些i p 地址对于受害者来说大多 是新的，这种特征与“f l a s hc r o w d ”中表现出来的是不同的；贝尔实验室的b e l l o v i n 提议在路由中使用i c m pt r a c e b a c km e s s a g e s 1 0 】，用于追踪真正的攻击源；b u r c h 和c h e s w i c k t l l 】在2 0 0 0 年提出由报文自身来记载其路由信息，该方案一经提出， 引起了许多学者的关注；s a v a g e 等【1 2 】对基于概率的报文标记机制做了深入的研 究，当发生d o s 攻击时，受害者可以根据其收到的攻击数据包中的标记信息重 建攻击路径；接着s o n g 和p e r r i g b 3 1 也提出了更好的报文标记算法，使得标记更 2 山东大学硕士学位论文 加精简，路径的恢复更加高效；s n o r e n 等1 4 l 提出了一种基于h a s h 的i p t r a c e b a c k 技术。 b a y e s 网络根据各个变量之间的概率关系建立图论模型，可用于解决入侵检 测系统中的不确定知识。由于b a y e s 分类法可以计算在自然概率论中不能计算概 率的事件，它在入侵检测中的应用日益受到研究人员的关注。目前已有学者利用 w e n k el e e 提出的用数据挖掘建立入侵检测模型的过程和分类模型的基本思路， 提出将b a y e s 分类算法应用到入侵检测系统中，b a y e s 分类算法可以实现简单快 速的分类，有利于实时检测的优势。由于d d o s 具有高分布性和口地址伪装的 特点，基于b a y e s 网络的入侵检测系统无法满足对d d o s 攻击检测的需要，因此 本文提出一种抗d d o s 攻击的的检测系统。 1 3 本文的主要工作及章节安排 本文提出了轻量级的d d o s 检测方法，利用b l o o mf i l t e r 对基于t c p 协议数 据流进行对称性分析，改进了无参数c u s u m 算法，使用改进的无参数c u s u m 算法进行统计分析以检测d d o s 攻击，能够利用少量的资源有效地检测到d d o s 攻击；改进了传统的基于b a y e s 网络的入侵检测方法，将基于c - f 模型的不确定 性推理应用到b a y e s 分类器中，提高了b a y e s 分类器的分类性能和基于b a y e s 网 络的入侵检测方法的检测率。最后本文构建了一种抗d d o s 攻击的i d s ，将轻量 级的d d o s 检测方法和基于c - f 模型的b a y e s 检测方法应用其中，实验证明该系 统不仅对普通的入侵方式有很好的检测效果，而且能够满足对d d o s 攻击检测的 需要。 本文后续章节安排如下： 第2 章主要介绍d o s 和d d o s 的定义、原理、组成d d o s 攻击的四个要素， d d o s 攻击的特征、d d o s 攻击的分类以及现行d d o s 攻击的防范策略。 第3 章介绍了入侵检测系统和b a y e s 网络的基本知识，并着重介绍了b a y e s 网络在入侵检测系统中的应用。 第4 章提出了轻量级的d d o s 检测方法l d d m 及该方法使用的b l o o mf i l t e r 和改进的无参数c u s u m 算法等关键技术。 第5 章提出了一种抗d d o s 攻击的检测系统，该系统综合了轻量级的d d o s 一 3 山东大学硕士学位论文 检测方法和基于c - f 模型的b a y e s 检测方法，并进行了实验分析。 4 山东大学硕士学位论文 第2 章d d o s 攻击和防范策略 2 1d o s 和d d o s 原理 2 1 1 拒绝服务攻击d o s d o s 1 5 1 是指一个或多个攻击源通过假数据、请求服务来淹没正常服务，使服 务下降、失败，以至于合法请求被丢失、忽略。这种攻击使网站服务器充斥大量 要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫 痪，从而停止提供正常的网络服务。 从网络攻击的各种方法和所产生的破坏情况来看，d o s 是一种简单但又很有 效的进攻方式，它的目的就是让服务器拒绝用户的服务访问，破坏服务器的正常 运行，最终它会使用户的部分i n t e m e t 连接和网络系统失效。d o s 的攻击方式有 很多种，最基本的d o s 攻击就是利用合理的服务请求来占用过多的服务资源， 从而使合法用户无法得到服务。d o s 攻击的原理如图2 1 所示。 【口l 黼地址黼隶 芒刍一 圈亏焉i 剖i 囵复信息 拿 图2 - 1d o s 攻击原理 从图2 1 可以看出d o s 攻击的基本过程：首先攻击者向服务器发送众多的带 有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的， 所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放， 当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一 批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 山东大学硕士学位论文 2 1 2 分布式拒绝服务攻击d d 0 8 d d o s 是在d o s 攻击的基础上产生，d o s 攻击是利用合理的服务请求来占用 系统过多的资源，从而使得合法用户无法得到服务响应。d o s 攻击对于c p u 速 度慢、网络带宽小的目标主机具有明显的效果，但是随着计算机与网络技术的不 断发展，计算机的c p u 速度越来越快，内存也不断在增大，同时还出现了千兆 级别的网络，这就使得d o s 攻击不能再产生明显的效果，d d o s 攻击就应运而生。 d d o s 攻击的最大特点就在于它的分布性，d d o s 是指采用分布式的攻击方式， 联合或控制网络上能够发动d o s 攻击的若干主机同时发动攻击，制造数以百万 计的数据分组流入欲攻击的目标1 6 】。d d o s 攻击要么耗尽目标主机的资源，最终 导致目标主机系统崩溃，使得合法请求得不到处理；要么向目标主机发送海量数 据包，导致目标主机网络拥塞，使得合法请求无法到达目标主机，从而也使得合 法请求得不到响应。d d o s 攻击的网络拓扑结构包括： 真正的攻击者； 被攻击者； 控制主机：控制主机上运行着一种可以控制大量的代理的程序； 攻击后台代理或傀儡主机：它们根据控制主机的指令产生攻击数据流发送 到被攻击者，这些傀儡主机通常处在被攻击者所属网络之外以逃避被攻击 者的有效响应，并且也处在真正的攻击者网络之外以避免被追踪。 2 2d 0 8 和d d o $ 攻击特征 由于其分布式的特点，d d o s 可以有更多的攻击方式，可以利用更多的攻击 资源，使得带宽消耗攻击和系统资源消耗攻击都能产生更好的效果，特别值得关 注的是d d o s 攻击报文往往伪造其源口地址，这是检测和防范d d o s 攻击的基 础。存在d o s 或者d d o s 攻击时，一般出现以下这些异常现象： 异常现象l ：攻击者在进行d d o s 攻击前总要解析目标的主机名，b i n d 域名服务器能够记录这些请求，由于每台攻击服务器在进行攻击前都会发 出p t r 反向查询请求，也就是说在d d o s 攻击前域名服务器会接收到大量 的反向解析目标i p 主机名的p t r 查询请求。虽然这不是真正的“d d o s ” 通信，但却能够用来确定d d o s 攻击的来源。 6 山东大学硕士学位论文 异常现象2 ：当d d o s 攻击一个站点时，会出现明显超出该网络正常工作 时的极限通信流量的现象。现在的技术能够分别对不同的源地址计算出对 应的极限值，当明显超出此极限值时就表明存在d d o s 攻击的通信，因此 可以在主干路由器端建立a c l 访问控制规则以检测和过滤这些通信。 异常现象3 ：出现特大型的t c p 和u d p 数据包。正常的u d p 会话一般都 使用小的u d p 包，通常有效数据内容不超过1 0 2 4 字节，正常的i c m p 消 息也不会超过6 4 到1 2 8 字节，那些大小明显大得多的数据包很有可能就 是控制信息通信用的，主要含有加密后的目标地址和一些命令选项，一旦 捕获到控制信息通信，d d o s 服务器的位置就无所遁形了，因为控制信息 通信数据包的目标地址是没有伪造的。 异常现象4 ：出现不属于正常连接通信的t c p 和u d p 数据包。最隐蔽的 d d o s 工具随机使用多种通信协议( 包括基于连接的协调通过基于无连接 通道发送数据，优秀的防火墙和路由规则能够发现这些数据包。另外，那 些连接到高于1 0 2 4 而且不属于常用网络服务的目标端口的数据包也是非 常值得怀疑的。 异常现象5 ：数据段内容只包含文字和数字字符( 例如，没有空格、标点和 控制字符) 的数据包。这往往是数据经过b a s e 6 4 编码后而只会含有 b a s e 6 4 字符集字符的特征，t f n 2 k 发送的控制信息数据包就是这种类型 的数据包，t f n 2 k 的特征模式是在数据段中有一串a 字符( a a a ) ，这 是经过调整数据段大小和加密算法后的结果。如果没有使用b a s e 6 4 编码， 对于使用了加密算法的数据包，这个连续的字符就是“o ”。 异常现象6 ：数据段内容只包含二进制和h i 曲b i t 字符的数据包。虽然此 时可能在传输二进制文件，但如果这些数据包不属于正常有效的通信时， 可以怀疑正在传输的是没有被b a s e 6 4 编码但经过加密的控制信息通信数 据包( 如果实施这种规则，必须将2 0 、2 1 、8 0 等端口上的传输排除在外) 。 异常现象7 ：口地址欺骗。攻击者为了防止被跟踪，经常使用地址欺骗的 包，如果检测到网络里有不可能的源地址来的包，就很可能是攻击包。 一 7 山东大学硕士学位论文 2 3d d o s 攻击分类 d d o s 攻击可分为：洪泛攻击，扩大攻击，协议攻击和略形包攻击四类。 2 3 1 洪泛攻击 在洪泛攻击中，傀儡机为了消耗系统带宽发送大量的口包给被攻击主机， 使受害者系统运行速度减慢、崩溃或者饱和网络带宽，从而阻止合法用户访问受 害主机。 ( 1 ) u d p 洪泛攻击。用户数据报协议( u d p ) 是一个无连接的协议，当数据包 通过u d p 发送时，在发送者和接收者之间没有握手要求，接收系统将接收它必 须处理的数据包，当大量的u d p 包被发送到受害者系统时，会造成受害者系统 网络带宽饱和，从而造成合法用户无法向受害者系统发送请求【1 7 1 。 在一个u d p 洪泛攻击中，u d p 包被发送到受害者系统随机的或者指定的端 口，通常u d p 洪泛攻击使用随机的受害者主机端口，受害者系统处理收到的数 据时，试图决定哪个应用程序来处理请求的数据，如果受害者系统不能运行任何 应用程序在目标端口，那么受害者主机将发送一个i c m p 包给发送者主机表明一 个“目标端口不可达 的消息。 攻击包一般采用口地址欺骗，这有助于隐藏第二受害者( 即傀儡机) 和确保从 受害者返回的包不被发送到傀儡机。u d p 洪泛攻击同样可以填满位于受害者系 统周围的带宽( 这取决于网络体系结构和网络速度) ，因此u d p 洪泛攻击可能会 影响到受害者所在网络的其他系统连接。 ( 2 ) i c m p 洪泛攻击。i n t e m e t 控制报文协议( i n t e m e tm e s s a g ec o n t r o lp r o t o c o l ， i c m p ) 是用来处理错误与交换控制信息的网络协议，i c m p 分组可以传递网络控 制情况和错误信息( 如拥塞通知、传输问题) ，可以用来判定网络另一端的计算机 是否有响应，即对该主机的d 地址送出i c m pe c h o 请求分组，倘若该主机收到 分组，它会回传i c m pe c h o 应答分组至发出请求的计算机，收到应答分组时，表 示此两台计算机之间的网络通信是畅通的，通常这个过程是由一个“p i n g ”命令 来实现。 i c m p 洪泛攻击是通过傀儡机发送大量的i c m pe c h or e p l y 包给受害者 系统，这些包要求受害者系统应答，使得受害者系统的网络连接饱和。 山东大学硕士学位论文 2 3 2 扩大攻击 d d o s 扩大攻击瞄准那些使用广播d 地址的路由器来实施扩大和反射攻击。 这个特征允许发送系统指定一个广播p 地址作为目的地址，它命令网络中服务 于这个包的路由器把攻击包发送给这个广播地址范围内的所有d 主机。d d o s 攻击者可以直接发送广播消息，或者使用代理发送广播消息以增加攻击通信数 量。 s m u r f 攻击就是一种典型的扩大攻击，它结合利用i p 欺骗和带有广播地址 的i c m p 请求响应方法使大量网络传输充斥目标系统，引起目标系统拒绝正常 系统服务，属于间接、借力攻击，任何连接到i n t e m e t 上的支持i c m p 请求n i l 应 的网络设备都可能成为这种攻击的目标。在一个s m u r f 攻击中，攻击者发包给网 络扩大器( 一个支持广播地址的系统) ，包的源地址是受害者的口地址，攻击包是 典型的i c m pe c h o 请求，这些包( 类似于p i n g ) 要求接收者产生i c m p e c h o 响 应包，扩大器发送i c m pe c h o 请求包给在其广播地址范围内的所有系统，每 个系统都返回一个i c m pe c h o 响应给受害者系统，使得受害者系统充斥着大 量的i c m pe c h o 包，从而造成目标系统拥塞、丢包，甚至完全不可用，这类 攻击可以将源攻击包扩大1 0 或者1 0 0 倍。 2 3 3 协议攻击 拒绝服务攻击中最主要的一类攻击是对协议的攻击，其结果是使得网络带宽 被消耗、系统崩溃、资源被占用以及为拒绝服务攻击创造环境，由于不同平台上 的口协议没有太大区别，所以可以在任何一个平台上实施拒绝服务攻击。l a n d 攻击就是一个很好的例子，它可以让超过2 0 种的操作系统( 如w i n d o w sn t ，u n i x 系y u ) 崩溃，p i n go f d e a t h 、t e a rd r o p 等攻击也曾猖狂一时，另外还有s y nf l o o d 、 u d pf l o o d 、i c m pf l o o d 等攻击。对拒绝服务攻击代码的分析表明当一种新攻击 出现后，它最终会在几乎所有的平台上运行，其源代码公布后，首先在黑客团体 内进行实验，然后就会有人将其改写在更多的平台上运行，下面对协议攻击进行 详述。 目前t c p i p 协议有两个弱点：( 1 ) i p 欺骗，( 2 ) t c p 三次握手，这两个问题都 是攻击者发动进攻的潜在因素。 一 9 出东大学硕士学位论文 ( 1 ) p 欺骗 不论是哪种攻击方式，攻击者都可以把自己的源地址进行伪装，以达到被攻 击者无法通过源p 地址进行追踪的目的。在现有的d o s d d o s 的攻击方式中， 几乎每种攻击方式都使用p 欺骗，这种修改p 包来源的方式主要是以传送r a w s o c k e t 的方法来伪造源瑾地址，并且自动计算c h e c k s u m ，以达到i c m p 、t c p 、 u d p 都可以伪造源球的目的。 ( 2 ) t c p 三次握手 开始时c l i e n t 端对s e r v e r 端发出t c p 的s y n 同步请求掇文，娄s e r v e r 收到 这个请求后，它依据这个报文的源地址( s o u r c ei pa d d r e s s ) 回送出s y n a c k 响应 报文，表示s e r v e r 己经收到来逸c l i e n t 端的s y n 请求报文，当c l i e n t 收到来鲁 s e r v e r 端的s y n a c k 报文后，c l i e n t 端会再送出a c k 报文到s e r v e r 端，此时 t c p 的三次握手完成，c l i e n t 和s e r v e r 可以进行数据传输。 s y n 攻击则是利用大量虚假的s y n 报文来对被攻击的s e r v e r 发出请求，而 不理s e r v e r 所回应的s 愀c k ，使得被攻击的s e r v e r 开痘过多的s o c k e t d e s c r i p t o r ，从而造成被攻击s e r v e r 无法处理正常的请求，以达到攻击的目的。这 种拒绝服务攻击消耗带宽及网终设备的资源，严重的会导致系统崩浚。 2 。3 4 畸形包攻击 畸形包攻击命令傀儡机发送格式不正确的口包给受害者系统，为了使受害 者系统崩溃，它主要剥震t c p i p 协议实现中的处理程序错误实麓攻击。 ( 1 ) p 地址攻击：攻击者将一个包的源地址和目的地址都设置为目标主机的 地址，然后将该包逯过礤欺骗的方式发送绘攻击主机，这种包可以作弄受鬻者 操系统，造成攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降 低了系统性熊甚至会使系统崩溃。 ( 2 ) p 包选项攻击：这种攻击将一种畸形的包随机设置选项域，并设置所有 的服务质量位为1 ，这样受害者系统必须使用附加的处理时闻来分析这个通信包。 如果这个攻击使用足够多的代理，它可以使得受害者系统失去处理能力。 1 0 山东大学硕士学位论文 2 4d d o s 攻击防范策略 前面已经提到，为了发起d d o s 攻击，攻击者必须能够找到许多台控制傀儡 机和攻击傀儡机并在上面运行攻击程序，这肯定是一个比较长的过程，通常需要 花费几个月的时间，如果每个用户和管理员都能增强安全意识，定期扫描系统， 发现不明进程后尽快处理，这就可以极大地降低攻击发生的可能性。另一方面， i s p 也应该经常监控网络流量以发现可能的攻击分组。目前攻击的预防工作还很 不够，网络上的大部分用户还没有很高的安全意识，i s p 也没有动力去监控数据 流量，这就对后两条防线提出了更高的要求。 d d o s 攻击的研究领域分为两大部分1 8 1 ：一部分是反跟踪技术( 口t r a c e b a c k ) ， 这部分主要是研究在发生了d d o s 攻击后如何找到攻击源，以彻底消除攻击隐 患：另一部分是检测与防御技术，主要是研究如何预防d d o s 攻击、如何检测出 d d o s 攻击以及如何制止d d o s 攻击的技术。下面将分别详述这两个研究领域的 研究现状。 2 4 1lpt r a o e b a c k 概述 如图2 2 所示，v 表示被攻击主机或者是主机前端的防火墙设备，每个可能 的攻击者a i 都是以v 为根的树的叶子结点，而r i 表示网络中的路由器，从a i 到被攻击主机的攻击路径是a i 和v 之间的路由器的有序列表。例如，图2 2 中 给出了从a 2 到v 的一条攻击路径( ，r 3 ，r 2 ，r 1 ) 。有效的i p t r a c e b a c k 可以在 攻击发生时确定每个攻击者的攻击路径和攻击发起点，i pt r a c e b a c k 包括概率分 组标记、基于哈希的i pt r a c e b a c k 、链路测试和i c m pt r a c e b a c k 四种思想。 山东大学硕士学位论文 a 1 0 图2 - 2t r a c e b a c k 示意图 ( 1 ) 概率分组标记1 9 1 的思想是当分组到达路由器时，以某种概率标记分组的 部分路径信息。这样虽然每个分组只包括了路径的部分信息，但是当真正的攻击 发生时往往会有大量的攻击分组，这样被攻击主机就可以得到足够的信息恢复出 完整的攻击路径。 最简单的标记算法可以采用类似于p 记录路由选项1 2 0 1 的机制，当分组通过 路由器时将路由器的地址加到分组的尾部，这样被攻击主机收到的每个分组都包 括了一条完整的攻击路径。该算法的收敛时间很快，只需要一个分组，但是该算 法在实际中很难推广，因为会造成分组长度不可估计，分组长度的不断增加还会 带来分片和m r u 发现叫等新的问题。 标记算法1 8 】 m a r k i n gp r o c e d u r ea tr o u t e rr ： f o re a c hp a c k e tw l e txb ear a n d o mn u m b e r f o r m 0 l 】 i f x 由于误用入侵检测系统主要根据己有的、已建立的入侵特征模式进行检测， 因此，这种系统只能检测已经发现的入侵行为，而对于未知的入侵则几乎无 能为力；相反，异常入侵检测系统则试图发现一些未知的入侵行为。 一般来说，误用入侵检测系统比起异常入侵检测系统来说，需要少得多的配 置工作，因为后者需要更多的数据收集、分析和更新工作。 误用入侵检测系统一般在模式匹配的基础上生成最后的结论。其具体输出形 式可以是一条指示特定攻击行为的警告信号，其中还可包含相关的提示数 据。而异常入侵检测系统的输出结论通常是建立在实际活动行为与系统期望 行为的统计相关处理的基础上，常常生成更多的数据量，因为任何超过期望 行为范围的事件都将被报告给系统管理员。 异常入侵检测系统的误报率是很高的，尤其是在用户数目众多或工作行为经 常改变的环境中；而误用入侵检测系统根据具体特征库进行判断，准确度要 好得多。 3 2 2 入侵检测系统的发展方向 目前的网络攻击手段向分布式的方向发展，且采用了各种数据处理技术，其 破坏性和隐蔽性也越来越强，己有的i d s 远远不能满足入侵检测的需要。未来入 侵检测系统的研究会朝以下几个方向发展： ( 1 ) 分布式、协作式入侵检测技术和通用入侵检测体系结构的研究：包括同 一i d s 中不同部件的协作，特别是不同平台下部件的合作；i d s 与其他网络安全 技术相结合，如结合防火墙、互联网工程任务组( ) 的公钥基础设施( p k i x ) 、 安全电子交易s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 等新的网络安全技术：还包括进 行入侵检测系统的标准化研究，建立新的检测模型，使不同m s 产品可以协同工 作。 ( 2 ) 入侵检测新技术、新方法的研究：入侵方法越来越多样化与综合化，现有 的入侵检测技术己经远不能满足要求。目前，智能化检测的相关技术如神经网络、 山东大学硕士学位论文 数据挖掘、模糊技术和免疫原理等等己引起i d s 学术界的广泛关注，相信智能入 侵检测将是一个有良好应用蓠景盼领域。 ( 3 ) 高速网络环境下的入侵检测：目前重点研究千兆网下的入侵检测技术， 丽在离速网络环境下进行入侵检测是一个追切需要解决的课题。 3 。3 基于b a y e s 网络的入侵检测系统 3 ，3 1b a y e s 网络简介 b a y e s 网络是描述数据变量之间以来关系的一种图形模式，是一种用来进行 推理的模型。b a y e s 网终为人们提供了一种方便的框架结构来表示因果关系，这 使得不确定性推理在逻辑上更为清晰。b a y e s 网络结构是一个有向无环图，其中 每个结点代表一个属性或者数据变量，结点间的弧代表属性瓣的概率依赖关系。 一条弧由一个属性a 指向另外一个属性b ，说明属性a 的取值可以对属性b 的 取值产生影响，由于是宥向无环凰，a 、b 间不会出现有向回路。在b a y e s 网络 中，直接的原因结点a 叫做其结槊结点b 的双亲结点，b 叫做a 的孩子结点。 b a y e s 网络是根援b a y e s 推理建立的各个变量之间依赖关系的图形模型，为了进 行概率推理，还需要给出一组随机变量的联合概率分布。 b a y e s 网络的定义如下： b = 根据合法礤数据库判断其源王p 是否合法，若为伪p ，到对该t c p 连接的数 据包进行分析以判断s y n 包和a c k 包是否对称，将不对称的信息记录到攻 击检测b l o o mf i l t e r 的计数器中，若某一基于k p 协议的数据包击中的b l o o m f i l t e r 的计数器均超过某闷值，则判定该数据报为可疑的连接，将之记录 到与时闻相关的随机序列 磊 中。 通过改进的无参数c u s u m 算法来检测分析随机序y u z n ) ( z n 为时间内出 现的可疑数据包的数量) ，判断是否存在d d o s 攻击。 l d d m 检测方法使用b l o o mf i l t e r 来判断s y n 包和a c k 包是否对称出现， 只馊用了少量固定长度的存储单元，避免了动态存储方法潜在的被攻击可能，并 使用改进的无参数c u s u m 算法统计分析随机序列 z 。) ( z n 为时间内出现的可 疑数据包的数量) ，无参数c u s u m 算法的优点是计算量小，无需设定复杂的参 数，可以进行实时检测。