大規(guī)模拒絕服務(wù)（DDoS）攻擊的防御與清洗系統(tǒng)

李振興 王萌 李光程 陳炫慧 盧文靜

摘要：首先建立DDoS攻擊特征的選擇、表示、分析以及模型求解。然后，在此基礎(chǔ)上研究基于敏感訪問參數(shù)可變閾值約束的DDos攻擊防御方法。最后，研究基于可變概率標(biāo)記的DDoS攻擊流量清洗技術(shù)。

關(guān)鍵詞：DDoS；攻擊特征；防御方法；流量清洗

中圖分類號：TP309.5 文獻標(biāo)識號：A

Abstract： Firstly， the selection， representation， analysis and model solution of DDoS attack feature are established. Then， proceeding from this， the DDos attack defense method based on the variable threshold constraint of sensitive access parameters is provided. Finally， the DDoS attack traffic cleaning technique based on the variable probability mark is studied.

Keywords：DDOS； attack feature； defense method； traffic cleaning

1 研究現(xiàn)狀

為了減少DDoS 攻擊對網(wǎng)絡(luò)帶來的危害，國內(nèi)外研究人員一直在開展相關(guān)研究，并研制推出了一系列的防御設(shè)備和方法。在國外，比較有代表性的有TrafficMaster，CaptIO G-2 和TopAppSwitch等3 500個產(chǎn)品。在國內(nèi)，綠盟公司的Collapsar 產(chǎn)品采用了反向檢測等新算法，可有效抵擋SYN Flood、UDP Flood 和Stream Flood 等攻擊。該算法可通過辨識報文是否來自網(wǎng)絡(luò)中的信任主機，判斷是否丟棄；同時還會根據(jù)報文特定的“指紋”來判定報文的非法性[2]。為了盡量減少對正常網(wǎng)絡(luò)流量的影響，產(chǎn)品將算法設(shè)定運行在網(wǎng)絡(luò)協(xié)議棧的最底層[3]。同時，該類產(chǎn)品還實現(xiàn)了網(wǎng)絡(luò)隱身技術(shù)，使用該技術(shù)主機在網(wǎng)絡(luò)上相當(dāng)于一個透明單元，攻擊者將無法達成目標(biāo)，因此安全性較好[4]。只是，現(xiàn)有的這些防護產(chǎn)品還不能完全的防御DDoS 攻擊，防御技術(shù)還需要進一步的提升與改善。入侵防御系統(tǒng)（IPS）是最近提出的一種防范攻擊的新技術(shù)，其中融合了目前主要的各種進展成果：IDS 技術(shù)，報文過濾和實時監(jiān)測等。不過IPS 目前還處于研究階段[5]，因此DDoS 防御工作仍是一個非常重要的網(wǎng)絡(luò)安全難題。

本課題的新穎之處是解決了目前國內(nèi)外對標(biāo)記設(shè)備無法逐步部署的限制和攻擊路徑檢測的時效性

問題，研究中提出基于遺傳算法的DDoS攻擊特征分析，較好地解決了這一問題；而且，還設(shè)計實現(xiàn)了基于CDN的異常流量攻擊的攻擊清洗技術(shù)這種方法，有效解決了傳統(tǒng)的方法遇到組合爆炸或者必須全網(wǎng)部署才能運作的問題。

2 基于遺傳算法的DDoS攻擊特征分析

異常流量攻擊檢測的重點在于新攻擊特征的分析，因此本課題主要進行如下問題研究，解決了異常流量攻擊特征的選擇、 異常流量攻擊特征的表示、 異常流量攻擊特征的分析和異常流量攻擊特征的模型求解這4個關(guān)鍵技術(shù)問題。

設(shè)定 表示時間片 內(nèi)出現(xiàn)的所有IP地址的集合， 表示時間片 結(jié)束時刻白名單中的所有IP地址的集合。那么， 就表示 內(nèi)新出現(xiàn)IP地址的數(shù)量，顯然 的大小與 大小相關(guān)。為此，選擇 用于表示不同時間片 內(nèi)新出現(xiàn)IP地址數(shù)量變化函數(shù)，即 表示時間片 內(nèi)新IP地址占IP地址總數(shù)的比值，這樣 的值就不會受到 大小的影響。

顯然 （ ）是一個隨機序列。正常狀況下（包括高峰流量狀況下） 是一個輕微抖動的序列，當(dāng)發(fā)生分布式拒絕服務(wù)攻擊時，由于出現(xiàn)大量新IP地址，會引起 劇烈抖動。具體如圖1所示。

在m時刻 呈現(xiàn)上升趨勢。因此，可以設(shè)定閾值N，當(dāng) 大于N時，就可認為發(fā)生了DDoS攻擊。

3 基于CDN的異常流量攻擊的攻擊清洗技術(shù)

解決異常流量攻擊下網(wǎng)絡(luò)的檢測、響應(yīng)、保護，是切實保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施可用的最終目的。如果攻擊生效后才發(fā)現(xiàn)，對網(wǎng)絡(luò)的保護已失去意義。在異常流量攻擊生效后，從被攻擊網(wǎng)絡(luò)邊界網(wǎng)關(guān)出口處看，該網(wǎng)絡(luò)對外已經(jīng)失效，成為了因特網(wǎng)中的“網(wǎng)絡(luò)孤島”。攻擊定位與保護的最大難點在于，對標(biāo)記信息片段的重構(gòu)模型設(shè)計。設(shè)計實施過程研究要點如下：

1） 計算要快。在攻擊流量快速增長，攻擊效果尚未突現(xiàn)時，準確定位攻擊路徑，臨時切斷最遠處攻擊源。如果運算復(fù)雜，缺等大流量攻擊實施生效后才計算出結(jié)果，就將失去保護網(wǎng)絡(luò)的最后機會。

2） 不會引起組合爆炸問題。一些PPM研究成果只適合單源異常流量攻擊，就是因為多源時引起定位分片的組合爆炸問題。

3）攻擊樹圖的恢復(fù)逐層展開。攻擊樹圖的生成考慮可視化逐層展開，流量動態(tài)顯示。傳統(tǒng)方法需要確定全部路徑后才能精確給出整張樹圖，必然是攻擊完成后的補救顯示了。

CDN技術(shù)就是在互聯(lián)網(wǎng)范圍內(nèi)廣泛設(shè)置多個節(jié)點作為代理緩存，并將用戶的訪問請求聯(lián)傳向最近的緩存節(jié)點， 以加快訪問速度的一種技術(shù)手段。用戶的訪問請求是通過智能 DNS來實現(xiàn)的。對于資源和服務(wù)的訪問請求是以域名的形式發(fā)出的. 傳統(tǒng)的域名解析系統(tǒng)會將同一域名的解析請求轉(zhuǎn)換成一個現(xiàn)實恒定的 IP地址，因此，整個互聯(lián)網(wǎng)對于該域名的訪問都會被導(dǎo)向同一個IP地址。 CDN節(jié)點在收到用戶的請求時， 會在其存儲的緩存內(nèi)容中尋找用戶請求的資源， 如果找到，就直接將資源響應(yīng)給用戶；如果在 CDN節(jié)點中找不到用戶請求的資源，則CDN節(jié)點會作為代理服務(wù)器向源站請求該資源， 獲取資源后將結(jié)果緩存并返回給用戶。對于有大量靜態(tài)資源的網(wǎng)站，使用 CDN進行代理緩存一般能夠減少源站80%的訪問流量。綜上可知，在使用CDN技術(shù)之后，互聯(lián)網(wǎng)上的用戶可以通過智能 DNS利用 CDN的節(jié)點快速獲取所需要的資源和服務(wù)， 同時由于CDN節(jié)點的緩存作用， 能在寬廣范圍內(nèi)減輕源站的網(wǎng)絡(luò)流量負載，因而更在相當(dāng)程度上降低了高防服務(wù)器的壓力，獲得了滿意的防御異常流量攻擊的技術(shù)效果。在發(fā)生了異常流量攻擊時，智能 DNS會將來自不同位置的攻擊流量分敏到對應(yīng)位置的CDN節(jié)點上，這使得CDN節(jié)點成為區(qū)域性的流量吸收中心，從而達到流量稀釋的效果。 在流量被稀釋到各個CDN 節(jié)點后，就可以在每個節(jié)點處進行流量清洗，只將正常的請求交付給高防服務(wù)器，從而達到防護源站的目的。

4 總結(jié)展望

課題通過對大規(guī)模攻擊的流量特征分析，標(biāo)記和檢測、保護模型的建立，研制原理樣

機分布式部署在真實網(wǎng)絡(luò)環(huán)境下，通過 CDN 及時發(fā)現(xiàn)攻擊并切斷疑似攻擊路徑（或報告管理人員，人工協(xié)助切斷路徑），以保證正常網(wǎng)絡(luò)業(yè)務(wù)的進行。流量與清洗系統(tǒng)的實施將進一步改善任務(wù)關(guān)鍵信息系統(tǒng)因為入侵而導(dǎo)致的服務(wù)能力降低，大大提高系統(tǒng)可用的彈性，增強其可用性和可靠性。下一步研究著眼于具有應(yīng)用背景或前景的關(guān)鍵信息系統(tǒng)，結(jié)合典型分布式攻擊，設(shè)計出更具實用性、適應(yīng)性和擴展性和部分部署的標(biāo)記與匯聚方案。

參考文獻：

[1] 秦曉明，趙建功，姜建國. 一種DDoS防御系統(tǒng)模型的設(shè)計研究[J]. 計算機與數(shù)學(xué)工程， 2008， 36（1）： 67-68.

[2] SPECHT S M， LEE R B. Distributed denial of service：taxonomied of attacks，tools and countermeasures[C]// 2004 International Workshop on Security in Parallel and Distributed Systems. San Francisco， CA， USA：[s.n.]，2004： 543-550.

[3] CARL G， KESIDIS G， BROOKS R R， et a1.Denial-of-service attack detection technique[J].IEEE Internet Computing， 2006， 10（1）：82-89.

[4] 尚占鋒，章登義. DDoS防御機制研究[J]. 計算機技術(shù)與發(fā)展， 2008， 18（1）： 7-10，36.

[5] 趙江巖. DDOS及防御DDOS攻擊[J]. 商場現(xiàn)代化， 2008（17）： 396-397.