大規(guī)模拒絕服務(wù)（DDoS）攻擊的防御與清洗系統(tǒng)

李振興 王萌 李光程 陳炫慧 盧文靜

摘要：首先建立DDoS攻擊特征的選擇、表示、分析以及模型求解。然后，在此基礎(chǔ)上研究基于敏感訪問參數(shù)可變閾值約束的DDos攻擊防御方法。最后，研究基于可變概率標(biāo)記的DDoS攻擊流量清洗技術(shù)。

關(guān)鍵詞：DDoS；攻擊特征；防御方法；流量清洗

中圖分類號(hào)：TP309.5 文獻(xiàn)標(biāo)識(shí)號(hào)：A

Abstract： Firstly， the selection， representation， analysis and model solution of DDoS attack feature are established. Then， proceeding from this， the DDos attack defense method based on the variable threshold constraint of sensitive access parameters is provided. Finally， the DDoS attack traffic cleaning technique based on the variable probability mark is studied.

Keywords：DDOS； attack feature； defense method； traffic cleaning

1 研究現(xiàn)狀

為了減少DDoS 攻擊對(duì)網(wǎng)絡(luò)帶來的危害，國內(nèi)外研究人員一直在開展相關(guān)研究，并研制推出了一系列的防御設(shè)備和方法。在國外，比較有代表性的有TrafficMaster，CaptIO G-2 和TopAppSwitch等3 500個(gè)產(chǎn)品。在國內(nèi)，綠盟公司的Collapsar 產(chǎn)品采用了反向檢測(cè)等新算法，可有效抵擋SYN Flood、UDP Flood 和Stream Flood 等攻擊。該算法可通過辨識(shí)報(bào)文是否來自網(wǎng)絡(luò)中的信任主機(jī)，判斷是否丟棄；同時(shí)還會(huì)根據(jù)報(bào)文特定的“指紋”來判定報(bào)文的非法性[2]。為了盡量減少對(duì)正常網(wǎng)絡(luò)流量的影響，產(chǎn)品將算法設(shè)定運(yùn)行在網(wǎng)絡(luò)協(xié)議棧的最底層[3]。同時(shí)，該類產(chǎn)品還實(shí)現(xiàn)了網(wǎng)絡(luò)隱身技術(shù)，使用該技術(shù)主機(jī)在網(wǎng)絡(luò)上相當(dāng)于一個(gè)透明單元，攻擊者將無法達(dá)成目標(biāo)，因此安全性較好[4]。只是，現(xiàn)有的這些防護(hù)產(chǎn)品還不能完全的防御DDoS 攻擊，防御技術(shù)還需要進(jìn)一步的提升與改善。入侵防御系統(tǒng)（IPS）是最近提出的一種防范攻擊的新技術(shù)，其中融合了目前主要的各種進(jìn)展成果：IDS 技術(shù)，報(bào)文過濾和實(shí)時(shí)監(jiān)測(cè)等。不過IPS 目前還處于研究階段[5]，因此DDoS 防御工作仍是一個(gè)非常重要的網(wǎng)絡(luò)安全難題。

本課題的新穎之處是解決了目前國內(nèi)外對(duì)標(biāo)記設(shè)備無法逐步部署的限制和攻擊路徑檢測(cè)的時(shí)效性

問題，研究中提出基于遺傳算法的DDoS攻擊特征分析，較好地解決了這一問題；而且，還設(shè)計(jì)實(shí)現(xiàn)了基于CDN的異常流量攻擊的攻擊清洗技術(shù)這種方法，有效解決了傳統(tǒng)的方法遇到組合爆炸或者必須全網(wǎng)部署才能運(yùn)作的問題。

2 基于遺傳算法的DDoS攻擊特征分析

異常流量攻擊檢測(cè)的重點(diǎn)在于新攻擊特征的分析，因此本課題主要進(jìn)行如下問題研究，解決了異常流量攻擊特征的選擇、 異常流量攻擊特征的表示、 異常流量攻擊特征的分析和異常流量攻擊特征的模型求解這4個(gè)關(guān)鍵技術(shù)問題。

設(shè)定 表示時(shí)間片 內(nèi)出現(xiàn)的所有IP地址的集合， 表示時(shí)間片 結(jié)束時(shí)刻白名單中的所有IP地址的集合。那么， 就表示 內(nèi)新出現(xiàn)IP地址的數(shù)量，顯然 的大小與 大小相關(guān)。為此，選擇 用于表示不同時(shí)間片 內(nèi)新出現(xiàn)IP地址數(shù)量變化函數(shù)，即 表示時(shí)間片 內(nèi)新IP地址占IP地址總數(shù)的比值，這樣 的值就不會(huì)受到 大小的影響。

顯然 （ ）是一個(gè)隨機(jī)序列。正常狀況下（包括高峰流量狀況下） 是一個(gè)輕微抖動(dòng)的序列，當(dāng)發(fā)生分布式拒絕服務(wù)攻擊時(shí)，由于出現(xiàn)大量新IP地址，會(huì)引起 劇烈抖動(dòng)。具體如圖1所示。

在m時(shí)刻 呈現(xiàn)上升趨勢(shì)。因此，可以設(shè)定閾值N，當(dāng) 大于N時(shí)，就可認(rèn)為發(fā)生了DDoS攻擊。

3 基于CDN的異常流量攻擊的攻擊清洗技術(shù)

解決異常流量攻擊下網(wǎng)絡(luò)的檢測(cè)、響應(yīng)、保護(hù)，是切實(shí)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施可用的最終目的。如果攻擊生效后才發(fā)現(xiàn)，對(duì)網(wǎng)絡(luò)的保護(hù)已失去意義。在異常流量攻擊生效后，從被攻擊網(wǎng)絡(luò)邊界網(wǎng)關(guān)出口處看，該網(wǎng)絡(luò)對(duì)外已經(jīng)失效，成為了因特網(wǎng)中的“網(wǎng)絡(luò)孤島”。攻擊定位與保護(hù)的最大難點(diǎn)在于，對(duì)標(biāo)記信息片段的重構(gòu)模型設(shè)計(jì)。設(shè)計(jì)實(shí)施過程研究要點(diǎn)如下：

1） 計(jì)算要快。在攻擊流量快速增長(zhǎng)，攻擊效果尚未突現(xiàn)時(shí)，準(zhǔn)確定位攻擊路徑，臨時(shí)切斷最遠(yuǎn)處攻擊源。如果運(yùn)算復(fù)雜，缺等大流量攻擊實(shí)施生效后才計(jì)算出結(jié)果，就將失去保護(hù)網(wǎng)絡(luò)的最后機(jī)會(huì)。

2） 不會(huì)引起組合爆炸問題。一些PPM研究成果只適合單源異常流量攻擊，就是因?yàn)槎嘣磿r(shí)引起定位分片的組合爆炸問題。

3）攻擊樹圖的恢復(fù)逐層展開。攻擊樹圖的生成考慮可視化逐層展開，流量動(dòng)態(tài)顯示。傳統(tǒng)方法需要確定全部路徑后才能精確給出整張樹圖，必然是攻擊完成后的補(bǔ)救顯示了。

CDN技術(shù)就是在互聯(lián)網(wǎng)范圍內(nèi)廣泛設(shè)置多個(gè)節(jié)點(diǎn)作為代理緩存，并將用戶的訪問請(qǐng)求聯(lián)傳向最近的緩存節(jié)點(diǎn)， 以加快訪問速度的一種技術(shù)手段。用戶的訪問請(qǐng)求是通過智能 DNS來實(shí)現(xiàn)的。對(duì)于資源和服務(wù)的訪問請(qǐng)求是以域名的形式發(fā)出的. 傳統(tǒng)的域名解析系統(tǒng)會(huì)將同一域名的解析請(qǐng)求轉(zhuǎn)換成一個(gè)現(xiàn)實(shí)恒定的 IP地址，因此，整個(gè)互聯(lián)網(wǎng)對(duì)于該域名的訪問都會(huì)被導(dǎo)向同一個(gè)IP地址。 CDN節(jié)點(diǎn)在收到用戶的請(qǐng)求時(shí)， 會(huì)在其存儲(chǔ)的緩存內(nèi)容中尋找用戶請(qǐng)求的資源， 如果找到，就直接將資源響應(yīng)給用戶；如果在 CDN節(jié)點(diǎn)中找不到用戶請(qǐng)求的資源，則CDN節(jié)點(diǎn)會(huì)作為代理服務(wù)器向源站請(qǐng)求該資源， 獲取資源后將結(jié)果緩存并返回給用戶。對(duì)于有大量靜態(tài)資源的網(wǎng)站，使用 CDN進(jìn)行代理緩存一般能夠減少源站80%的訪問流量。綜上可知，在使用CDN技術(shù)之后，互聯(lián)網(wǎng)上的用戶可以通過智能 DNS利用 CDN的節(jié)點(diǎn)快速獲取所需要的資源和服務(wù)， 同時(shí)由于CDN節(jié)點(diǎn)的緩存作用， 能在寬廣范圍內(nèi)減輕源站的網(wǎng)絡(luò)流量負(fù)載，因而更在相當(dāng)程度上降低了高防服務(wù)器的壓力，獲得了滿意的防御異常流量攻擊的技術(shù)效果。在發(fā)生了異常流量攻擊時(shí)，智能 DNS會(huì)將來自不同位置的攻擊流量分敏到對(duì)應(yīng)位置的CDN節(jié)點(diǎn)上，這使得CDN節(jié)點(diǎn)成為區(qū)域性的流量吸收中心，從而達(dá)到流量稀釋的效果。 在流量被稀釋到各個(gè)CDN 節(jié)點(diǎn)后，就可以在每個(gè)節(jié)點(diǎn)處進(jìn)行流量清洗，只將正常的請(qǐng)求交付給高防服務(wù)器，從而達(dá)到防護(hù)源站的目的。

4 總結(jié)展望

課題通過對(duì)大規(guī)模攻擊的流量特征分析，標(biāo)記和檢測(cè)、保護(hù)模型的建立，研制原理樣

機(jī)分布式部署在真實(shí)網(wǎng)絡(luò)環(huán)境下，通過 CDN 及時(shí)發(fā)現(xiàn)攻擊并切斷疑似攻擊路徑（或報(bào)告管理人員，人工協(xié)助切斷路徑），以保證正常網(wǎng)絡(luò)業(yè)務(wù)的進(jìn)行。流量與清洗系統(tǒng)的實(shí)施將進(jìn)一步改善任務(wù)關(guān)鍵信息系統(tǒng)因?yàn)槿肭侄鴮?dǎo)致的服務(wù)能力降低，大大提高系統(tǒng)可用的彈性，增強(qiáng)其可用性和可靠性。下一步研究著眼于具有應(yīng)用背景或前景的關(guān)鍵信息系統(tǒng)，結(jié)合典型分布式攻擊，設(shè)計(jì)出更具實(shí)用性、適應(yīng)性和擴(kuò)展性和部分部署的標(biāo)記與匯聚方案。

參考文獻(xiàn)：

[1] 秦曉明，趙建功，姜建國. 一種DDoS防御系統(tǒng)模型的設(shè)計(jì)研究[J]. 計(jì)算機(jī)與數(shù)學(xué)工程， 2008， 36（1）： 67-68.

[2] SPECHT S M， LEE R B. Distributed denial of service：taxonomied of attacks，tools and countermeasures[C]// 2004 International Workshop on Security in Parallel and Distributed Systems. San Francisco， CA， USA：[s.n.]，2004： 543-550.

[3] CARL G， KESIDIS G， BROOKS R R， et a1.Denial-of-service attack detection technique[J].IEEE Internet Computing， 2006， 10（1）：82-89.

[4] 尚占鋒，章登義. DDoS防御機(jī)制研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2008， 18（1）： 7-10，36.

[5] 趙江巖. DDOS及防御DDOS攻擊[J]. 商場(chǎng)現(xiàn)代化， 2008（17）： 396-397.