DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測(cè)算法的研究.pdf

1、以勻速DDoS攻擊流的源端網(wǎng)絡(luò)自適應(yīng)檢測(cè)算法研究為核心，重點(diǎn)討論了與源端網(wǎng)絡(luò)DDoS對(duì)抗有關(guān)的五個(gè)問(wèn)題，即： (i)DDoS攻防技術(shù)； (ii)對(duì)TCP DDoS攻擊流的行為建模； (iii)針對(duì)勻速DDoS攻擊流的源端網(wǎng)絡(luò)自適應(yīng)檢測(cè)算法的設(shè)計(jì)； (iv)不同發(fā)送方式下DDoS攻擊流的破壞性； (v)源端網(wǎng)絡(luò)中不同發(fā)送方式下DDoS攻擊流的可檢測(cè)性。 首先，系統(tǒng)地分析了DDoS攻擊的分類、

2、組織形式、典型的攻擊方法以及其他攻擊過(guò)程中涉及到的關(guān)鍵問(wèn)題，提出“源端網(wǎng)絡(luò)將成為未來(lái)DDoS攻防對(duì)抗的焦點(diǎn)”，并以集中式防御結(jié)構(gòu)中的末端網(wǎng)絡(luò)防御、中間網(wǎng)絡(luò)防御和源端網(wǎng)絡(luò)防御為主線，對(duì)當(dāng)前的DDoS防御技術(shù)進(jìn)行了分析。 其次，提出了一種新的攻擊流發(fā)送方式--組群式脈沖發(fā)送，并以FCFS和SFQ這兩種典型的調(diào)度方式為例，對(duì)勻速發(fā)送、進(jìn)發(fā)式脈沖發(fā)送和組群式脈沖發(fā)送下DDoS攻擊流的攻擊性能進(jìn)行了討論，重點(diǎn)研究了目標(biāo)網(wǎng)絡(luò)中調(diào)度方式的選擇

3、與配置對(duì)不同發(fā)送方式下DDoS攻擊流破壞性的影響。仿真試驗(yàn)結(jié)果表明，在三種攻擊流發(fā)送方式下，組群式脈沖攻擊流不僅具有較強(qiáng)的破壞性，而且可以通過(guò)靈活的攻擊配置來(lái)對(duì)抗目標(biāo)網(wǎng)絡(luò)調(diào)度方式對(duì)攻擊流的抑制作用。 第三，建立了描述TCP DDoS攻擊流破壞行為的數(shù)學(xué)模型。在攻擊源數(shù)目和攻擊源發(fā)送速率相同的情況下，利用該模型可以對(duì)勻速攻擊流、進(jìn)發(fā)式脈沖攻擊流和組群式脈沖攻擊流三者之間的行為差異做出如下解釋： (i)勻速攻擊流和組群式脈沖

4、攻擊流對(duì)網(wǎng)絡(luò)資源的占用均與時(shí)間無(wú)關(guān)，但二者相比，組群式脈沖攻擊流的鏈路帶寬占用率和資源占用函數(shù)值均低于勻速攻擊流。 (ii)對(duì)于進(jìn)發(fā)式脈沖攻擊流而言，其鏈路帶寬占用率、資源占用函數(shù)和網(wǎng)絡(luò)資源占用增益函數(shù)均與時(shí)間有關(guān)，但其突發(fā)期間對(duì)網(wǎng)絡(luò)資源的占用與勻速攻擊流的情況接近。 第四，分析了當(dāng)前國(guó)內(nèi)外有關(guān)源端網(wǎng)絡(luò)DDoS攻擊流檢測(cè)方法研究的發(fā)展現(xiàn)狀和最新成果，重點(diǎn)關(guān)注了三類檢測(cè)方法，即基于攻擊特征匹配的攻擊流檢測(cè)、基于網(wǎng)絡(luò)流量自相

5、似性的攻擊流檢測(cè)和基于雙向報(bào)文比的攻擊流檢測(cè)。提出了基于雙向報(bào)文比統(tǒng)一構(gòu)建源端網(wǎng)絡(luò)TCP/UDP DDoS攻擊流檢測(cè)統(tǒng)計(jì)量的方法，并建立了相應(yīng)的數(shù)學(xué)模型。 第五，提出了一種基于正態(tài)分布假設(shè)的自適應(yīng)EWMA算法——A-EWMA算法，并就虛警概率、攻擊期間的漏警概率、檢測(cè)概率和檢測(cè)時(shí)延等檢測(cè)指標(biāo)對(duì)其檢測(cè)性能進(jìn)行了理論分析。與傳統(tǒng)的EWMA算法相比，A-EWMA算法具有以下三個(gè)典型特征： (i)根據(jù)對(duì)檢測(cè)統(tǒng)計(jì)量序列統(tǒng)計(jì)特性的在

6、線估計(jì)進(jìn)行異常檢測(cè)。 (ii)根據(jù)檢測(cè)結(jié)果自動(dòng)調(diào)整檢測(cè)門限，增強(qiáng)了算法對(duì)網(wǎng)絡(luò)流量狀況的自適應(yīng)性。 (iii)采用連續(xù)累計(jì)檢測(cè)法降低突發(fā)網(wǎng)絡(luò)異常對(duì)檢測(cè)性能的干擾。 針對(duì)SYN洪流攻擊和UDP洪流攻擊的仿真試驗(yàn)結(jié)果表明： (i)在遵循相同的有效檢測(cè)確認(rèn)標(biāo)準(zhǔn)的前提下，無(wú)論是針對(duì)SYN洪流攻擊還是針對(duì)UDP洪流攻擊，采用A-EWMA算法進(jìn)行檢測(cè)的結(jié)果均優(yōu)于采用固定門限方法進(jìn)行檢測(cè)的結(jié)果； (ii)與現(xiàn)有文

7、獻(xiàn)中針對(duì)同類攻擊的檢測(cè)結(jié)果相比，A-EWMA算法在檢測(cè)性能方面也占有較大的優(yōu)勢(shì)； (iii)采用A-EWMA算法對(duì)SYN洪流攻擊的檢測(cè)結(jié)果優(yōu)于其對(duì)UDP洪流攻擊的檢測(cè)結(jié)果，但相對(duì)于固定門限檢測(cè)而言，A-EWMA算法針對(duì)SYN洪流攻擊和UDP洪流攻擊的檢測(cè)結(jié)果間的差異要更小一些。 第六，提出了一種非參量自適應(yīng)CUSUM算法--A-CUSUM算法。該算法基于切比雪夫不等式解決了傳統(tǒng)CUSUM算法中檢測(cè)門限無(wú)法自適應(yīng)設(shè)置的問(wèn)題

8、，并增加了在告警后實(shí)施異常終止監(jiān)控的功能。同時(shí)，對(duì)該算法的虛警概率、異常發(fā)生期間的漏警概率、攻擊起始/終止檢測(cè)時(shí)延等檢測(cè)性能指標(biāo)進(jìn)行了理論推導(dǎo)，給出了相應(yīng)的表達(dá)式。比較了A-CUSUM算法與A-EWMA算法針對(duì)SYN洪流攻擊和UDP洪流攻擊的仿真試驗(yàn)結(jié)果，并建議利用A-CUSUM算法和A-EWMA算法對(duì)網(wǎng)絡(luò)流量實(shí)施并行檢測(cè)，以進(jìn)一步提高防御系統(tǒng)對(duì)微弱DDoS攻擊流的檢測(cè)能力。 最后，以一種獨(dú)立于具體檢測(cè)算法的方式考察并比較了勻速