一种防御DDoS攻击的集成方法

1、2006年9月September 2006计 算 机 工 程Computer Engineering 第 第18期Vol 32卷.32 18 ·安全技术·文章编号:10003428(200618013003文献标识码:A中图分类号:TP393.08一种防御DDoS 攻击的集成方法李 俊,李 明(华东师范大学信息科学与技术学院,上海 200062摘 要:防御DDoS 攻击是网络安全的一个重要研究领域,在该领域已有许多方法,例如:源端检测,地址跟踪,数据包分类,流量检测。但是,每种方法都有它的特点和应用局限。文章运用分级防御的思想提出了一种集成方法。“集成”的意思是指把若干体系

2、的方法集成在一起,使其成为一个新的功能更强的防御体系。该防御系统具有可靠性高、响应速度快、对合法数据包影响小等特点。 关键词:DDoS 攻击;异常检测;条件合法概率;数据包打分;分级防御Integrated Scheme for Fighting Against DDoS AttacksLI Jun, LI Ming(School of Information Science & Technology, East China Normal University, Shanghai 200062【Abstract 】One of the most important fields in

3、network security is the defense against DDoS attacks, in which many methods are introduced in literature, namely DWARD, IP trace, packet classification, anomaly traffic detection. Every current method has its advantages and disadvantages.With the idea of classification defense, this paper presents a

4、n integrated scheme which has synthesized two complete defending systems against DDoS attacks. The integrated system has more powerful functions in fighting against DDoS attacks. The good performances of the new system for fighting against DDoS attacks are listed as fellow: low false alarm probabili

5、ty, high speed of response, slight affection to the normal traffic. 【Key words 】DDoS attacks; Anomaly detection; Conditional legitimate probability; Packet classification; Classification defense1 概述DDoS 攻击被称为网络一号杀手4。对DDoS 攻击的实时检测、快速响应DDoS 攻击、减轻DDoS 攻击影响,都成了研究DDoS 攻击的热点。目前对DDoS 攻击的研究成果有很多,例如在源端防御有DWA

6、RD 及推迟机制,在目标端防御有数据包分类、异常流量检测、数据包标记及跟踪技术等。我们的先期工作1属异常流量检测。每种方法虽然都有各自的特点,但也有其局限性。在实际应用中,对于DDoS 攻击单一的技术难以做到全面有效的防御,需要不断更新综合防御体系。DDoS 攻击无论是对终端还是对基础结构攻击2,都是通过大量的无效数据包来占用有限资源。无论是何种DDoS 攻击,只要DDoS 攻击流量足够大,就无法有效隐藏与伪装,也就能检测出来,并对此攻击作出快速响应。在DDoS 攻击流量小的情况下,相对于前者,易于隐藏在大量的合法数据包中,要检测这部分付出的代价很高,而且大量合法数据包将受这种检测的影响,因此

7、,允许让小量的DDoS 攻击流通过。这种攻击的量小,对网络威胁不大,并不算真正意义上的DDoS 攻击。 怎样的DDoS 攻击流量才算异常,能够被我们检测出来呢?有多种的流量异常检测,由于异常流量检测1的算法简单快速和高性能,这里就用此研究成果。它可以通过预定对DDoS 攻击识别概率(identification probability、误报概率(false alarm probability和漏报概率(miss probability,来计算DDoS 攻击流量的判决门限。所检测流量高于该门限时,才判决为DDoS 攻击可疑流量。由于此可疑流量中还含有合法数据包,因此需将此可疑流量进一步判决,就通

8、过次级的数据包分类器,对此进行数据包分类,从而丢弃真正的DDoS 攻击包。在数据包分类器前增加一个初级的异常流量检测器的好处:(1异常流量检测器是初步检测DDoS 攻击存在与否,对待测点整体流量特征操作而不对每一个数据包特征操作,它处理速度快,传输延迟短,也就对正常流量影响小;(2数据包大部分特征在传输过程中是不变的,因而在攻击点处可能是伪装的;而对DDoS 攻击流量的伪装与隐藏是非常困难的,流量特征在传输过程中都在改变,在攻击点根本无法预知在检测点各时刻的流量特征,因而提高了该系统的可靠性。2 异常流量检测器文献1是对长相关流量的DDoS 攻击的模式识别,具有低误报概率、低漏报概率、算法简单

9、、响应快速等特点。利用待测流量的自相关函数r yy 与无攻击时正常流量自相关函数r xx 之差距,见式(1,将与我们预定的阈值V 进行比较。V ,判为异常流量;反之,判为正常流量。(是误差函数,u 和分别是序列的期望值与方差,根据式(2,可求得P i =1, P f =0的阈值V 的范围,其异常流量的检测流程见图1。yy xx r r = (1(,(11i f P u P V , (20(1>i u 图1 异常流量检测设一个待检测流量单元总长度Q ,将其划分为不重叠的N基金项目:国家自然科学基金资助项目(60573125作者简介:李 俊(1980,男,硕士生,主研方向:网络安全; 李 明

10、,教授、博导收稿日期:2005-10-08 E-mail :51041202040130个子段,再将每个子段均分为M 个更小子块,每块长度为L ,于是得到。在一个子段内,以L 长的块流量为计算单元,称为计算块,计算其自相关函数与正常流量的自相关函数之差距,将M 个的均值N M L Q ××=m m n 作为该子段的判决值,判决该子段是否为攻击流量。这N 个子段在N 足够大时, n 服从高斯分布,就得到识别概率P i 、误报概率P f 与漏报概率P m 与我们选择的阈值有关,P i 、P f 和P m 的计算公式如下:(=u V ti u V dt e P /12122(3/

11、(12122V dt e P t Vf =(4=u V t m u V dt e P /(2122(5 这种方法的优点是:由式(2可知,阈值V 根据预定P f 和P m 提前计算,可以结合具体应用情况来指定防御系统的准确性;式(1计算简单、处理速度快。缺点是:该算法在某时段内的流量被判决为攻击流量后,全部丢弃,在丢弃的流量中还可能包含一些合法的数据包,这就使得P f 增加。因此还需要次级的数据包分类器。3 数据包分类器文献2的数据包打分(PacketScore定义为一个数据包在具有若干统计特征的条件下,据此来计算它是合法数据包的概率,即数据包条件合法概率(Conditional Legitim

12、ate Probability, CLP ,由CLP (p 进行决策,丢弃CLP (p 值低于一个动态阈值的数据包,CLP (p 计算见式(6,通过求,可以将数据包的每个统计特征分别进行计算处理后求和,也易于增加新的统计特征,所以一般将CLP (p 的对数作为判决值,与阈值比较后判决该数据包是否合法。该算法可以并行分布计算,提高处理速度。通过仿真结果(log p LCP 3可知,它的性能很好,判决的P f 与P m 都很小,故PacketScore 是一个比较理想的数据包分技术,其分类过程如图2所示。=(p m p n p m p n p m p n m n c C P c C P b B P

13、 b B P a A P a A P p CLP (6 其中,数据包p 的属性A,B,C 分别等于时,该数据包p 的条件合法概率,这也需要一个在无攻击情况下的标准模板值,和是应用系统指定的,分别是对观察的总数据包个数与合法数据包个数的标准贝叶斯估计值。p p p c b a ,m n 该算法优点:在图2的分类系统中,有负荷控制,可以保证大流量攻击包到来时该模块还能工作;自动动态更新数据库标准模板,可以跟踪最新类型的DDoS 攻击;算法实现上简单,通过求将复杂乘除法运算变成了简单的加减法,可以分布同时计算然后求和,新属性增添容易,增加新属性准确性提高了,但算法复杂度根本不会增加;使用了动态阈值,

14、准确性高。该算法缺点:需要获得每个检测的数据包的统计属性,对通过的每个数据包都进行若干属性的统计并计算,与流量特征的处理比较要慢很多,因此对合法数据包的延迟大;当处理的数据包较多时,虽然有负荷控制,但是没有预检而随机丢弃数据包,很有可能直接将合法数据包丢弃,增加。因此需要有一个初级预检装置来配合。(log p LCP f P 实时流量轮廓Port800.394 防御DDoS 攻击的集成方法通过前面应用算法分析,我们采取了分级防御思想。初级目标是要检测出在某一时段的流量中DDoS 攻击是否存在,对此处的检测算法要求是:处理速度快,对正常流量影响小,能够处理高速DDoS 攻击流量。而典型的检测算法

15、要对每个数据包的统计特征进行处理,处理速度慢,如文献5的特征矩阵算法,时间增加了,都不符合要求,故用流量特征算法来检测。次级防御目标是从存在DDoS 攻击的流量中挑选出真正的DDoS 攻击数据包,并丢弃之。这要求有很高的准确性,必须对数据包若干特征统计并计算,由于算法复杂,最好能进行同步分布计算,加快计算速度。因此,对DDoS 攻击,我们提出的集成防御方法是将异常流量检测技术与数据包分类技术集成在一起,异常流量检测器作为初级检测,数据包分类器作为次级分类,构成的新系统具有更强的功能,该集成方法如图3所示。这种集成的DDoS 攻击防御方法弥补了流量检测不够准确与PacketScore 分类延迟时

16、间长的缺点,具有处理速度快及准确度高的优点。同时,在大量DDoS 攻击到来时,初级检测器能够很好地配合次级的负荷控制模块,丢弃部分可疑攻击流量,从而有效防止次级的阻塞,也降低了P f 。图3 集成的DDoS 攻击防御方法初级检测用异常流量检测器,实时检测待测点的流量是否异常。这种对一个时段内流量处理,比对每个数据包处理,速度快得多;异常检测的算法比较简单,对数据传输延迟就相当于多增加了一个普通的路由器,因此流量检测器可以应用于大型高速网络的DDoS 攻击防御中。但是此时检测出来的可疑流量中,不全是攻击数据包,还包括部分合法数据包,因此不能进行全部丢弃,需要次级分类器进行进一步识别。初级使用了快

17、速的异常流量检测器,检测出来的都是可疑的流量,因此在次级就要求能够更加精确地识别出DDoS 攻击数据包。传输延迟允许的情况下,对次级的精确度的要求非常高。对于次级的数据包分类器,由于PacketScore 分类器加入了流量控制,周期性更新数据库标准模板和动态阈值,131更能体现实时性、高性能3等原因,因此使用Yoohwan Kim 等人的PacketScore 分类器作为我们的次级分类器。整个集成在一起的系统,就可以充分发挥流量检测快速与PacketScore 数据包分类准确的长处,从而能有效、快速、自动地防御DDoS 攻击。5 DDos 该防御方法的性能与应用分析我们异常流量检测算法是根据流

18、量特征统计,而不是每个数据包的特征统计,因此算法简单,处理及响应速度快,对正常流量影响小。同时,异常流量检测器还能有效防止攻击点对DDoS 攻击数据包的伪装。 次级分类中对可疑流量进一步分类,比单一的异常流量检测更准确。将可疑流量通过PacketScore 数据包分类器,对每个数据包进行若干特征的统计,以logCLP (p 为判决值,可以并行分布计算,便于增加新数据包新特征属性,在计算复杂度不增加的情况下,能够保证数据包分类的更准确,降低了P f 。对于异常流量检测器后的正常流量,只通过了初级的异常流量检测器,故对它们的传输延迟小,该系统对DDoS 攻击的响应就快;然而,在正常流量中还可能隐藏

19、有少量的DDoS攻击,即P m 会有一定增加,但对网络不构成威胁。正是允许存在这样的漏报率使得整个DDoS 攻击防御系统的响应速度提高,以至于在大规模DDoS 攻击到来时,该系统还能正常工作。这种高速的响应系统以漏报小量的DDoS 攻击为代价,可以根据DDoS 攻击防御的应用要求得到一个均衡。在初级和次级都采用了动态判决阈值,可由具体的应用来调整,便于广泛有效的应用。无论是终端的DDoS 攻击还是基础结构的DDoS 攻击,该防御系统都有效。在流量较大的网络中防御DDoS 攻击,更能体现该集成系统的优越性。6 结论本文提出了对DDoS 攻击分级防御的思想,集成了异常流量检测与PacketScor

20、e 数据包分类的DDoS 攻击防御方法,弥补了前者缺分类功能与后者处理速度慢的缺点,使得该系统具有可靠性高、响应速度快及对合法数据包影响小的特点。参考文献1 Li Ming. An Approach to Reliably Identifying Signs of DDoS FloodAttacks Based on LRD Traffic Pattern RecognitionJ. Computers & Security, 2004, 27(3.2 Kim Y , Lau W C, Chuah M, et al. PacketScore: Statistics-based Over

21、load Control Against Distributed Denial-of-service AttackC. IEEE Inform. Conference on Computer Communications, 2004-03: 2594-2604.3 Chuah M, Lau W C, Kim Y , et al. Transient Performance of PacketScore for Blocking DDoS AttacksC. IEEE International Conference on Communications, 2004-06: 1892-1896.4

22、 Background on DDoSZ. products/background.html, 2005-06.5 Hussain L A, Dutta D. Effect of Malicious Traffic on the NetworkEB/OL. /courses/netsec/arts/3758.pdf, 2004.(上接第121页 滤波和几何攻击(剪切、缩放、平移、旋转情况下提取水印的测试结果。表1 攻击实验检测结果Attack Method Parameter Correlation Quality = 25 0.421 8 Qualit

23、y = 55 0.586 0 Quality = 75 0.728 3 JPEG CompressionQuality = 95 0.985 3 Gaussian: Mean=0,Variance=0.01 0.784 6Gaussian: Mean=0,Variance=0.020.628 3salt & pepper: Density=0.02 0.723 5 salt & pepper: Density=0.05 0.579 4Speckle: Mean=0 ,Variance=0.02 0.825 5NoiseSpeckle: Mean=0 ,Variance=0.04

24、 0.734 6Median 3 X 3 0.857 4 Filter Average 3 X 3 0.836 510% 0.863 5 Cut 20% 0.783 0Factor =0.8 0.838 5 ScaleFactor =1.2 0.916 0 Horizontal 5 pixels 0.995 1 Horizontal 10 pixels 0.995 1 Vertical 5 pixels 0.995 1 TranslationVertical 10 pixels 0.995 1 Angle =5 0.702 1 Angle =10 0.652 2 Angle =15 0.647 0 Angle =20 0.532 9 Angle =30 0.557 8 RotateAngle =45 0.453 0从表1的结果中可以看出,该算法对常规攻击中的JPEG 压缩具有很好的性能,对噪声攻击和滤波攻击也有具相当的抵抗能力;对常见的几何攻击该算法也体现了较好的性能。4 结论本文根据图像傅立叶变换幅度谱