基于異常流量攻擊的特征識別和防御系統

王萌 宋汝鑫 嚴林濤 高宏佳 紀雷

Abstract： Abnormal traffic attacks have always been the weakness in Internet defenses. With the rapid development of science and technology， data traffic is becoming more and more cheaper. When the network bandwidth is gradually increasing， abnormal traffic attack is constantly developing. For the abnormal traffic attack， the attack scale is expanding and the attack means change quickly. The feature recognition and defense system based on abnormal traffic attack is determined to identify the data packet of the abnormal traffic attack and source IP of the abnormal traffic attack on the feature recognition， use the new IP address method for feature identification， and perform traffic cleaning based on CDN to defend it.

引言

在時下的各類涉及網絡安全的新聞報道中，關于異常流量攻擊的事件長期以來就一直吸引著學界各方的關注目光[1]。近年來，國內外的技術人員和相應機構均已對各種典型異常流量攻擊工具（Trin00、TFN、Stacheldraht、TFN2K、Shaft、mstream等）展開了大量研究[2]。提出了IP追蹤的包標記技術、判斷每個HTTP會話的異常性等技術 [3-4]。然而，目前所有的防護產品還不足以防御異常流量的攻擊，防御技術需要隨著異常流量攻擊的升級發展而獲得更進一步的研發完善。

本課題的目的是建立異常流量攻擊特征的選擇、表示、分析模型，然后基于敏感訪問參數，使用可變閾值約束相應的源IP和數據包的流通；最后，又研究探討了基于內容分發網絡CDN模型的異常流量攻擊流量清洗技術。

1系統需求分析

對于異常流量攻擊的防御主要包括如下內容：特征識別、特征分析和流量清洗。構建一個綜上所述的防御體系將會有效防御異常流量攻擊。本文中，就將圍繞這3個方面展開如下研究論述。

（1）基于遺傳算法的異常流量攻擊特征分析。對于新攻擊的特征能否進行分析識別，將直接影響到對于異常流量攻擊的實時檢測[5]，所以本課題設計研發的4個問題可表述如下：異常流量攻擊特征的表示、異常流量攻擊的選擇、異常流量攻擊特征動態分析以及異常流量攻擊特征模型求解。

（2）基于敏感訪問參數可變閾值約束的異常流量攻擊防御方法。本課題定義新的檢測模型，標記策略上采用同一設備不同接口隨訪問參數自我調整的智能化標記策略。主要包括4個關鍵技術，分別是：訪問參數確定、綜合防御方法、自主資源控制單元、仿真測試。

（3）基于CDN的異常流量攻擊的攻擊清洗技術。異常流量攻擊常常會使得網絡癱瘓、甚至崩潰，如何在異常流量攻擊下，確保網絡的服務，保護網絡設備的系統，即是本次研究力爭維持網絡基礎設施可用的最終目的[6]。在異常流量攻擊生效后，該網絡對外已經失效，成為了信息孤島，在被攻擊的網絡邊界上無法準確探得其IP地址[7]。本課題研究基于CDN的異常流量攻擊的攻擊清洗技術，使用CDN節點的特性很好地克服信息孤島的問題。使用節點的方式來疏通網絡，達到清洗的目的。

2技術路線

對于異常流量攻擊的研究首先就是分析異常流量攻擊的攻擊特點，然后使用合理的參數對異常流量攻擊進行判斷，并且對其數據包以及源IP做出限制，以防御異常流量攻擊，最后再建立基于CDN技術的模型，從而對異常流量攻擊進行清洗。具體研究可闡釋解析如下。

2.1基于遺傳算法的異常流量攻擊的攻擊特征分析

設Tn為時間片Δn（n=1，2，3，......）內所有的IP地址集，Dn表示時間片Δn結束時白名單中的所有IP地址的集合。則Tn-Tn∩Dn表示Δn內新出現IP地址的數量，并與Δn大小直接相關。為此，構造Xn=Tn-Tn∩DnTn用于表示在時間片Δn內新出現IP地址數量的變化。如果出現大量新IP地址，Xn就會呈現出大幅度的變化趨勢。Xn的結果曲線波動繪制即如圖1所示。