基于双向流量的DDoS检测机制.pdfVIP

维普资讯 182008年3月 苏 盐 科 技 JiangsuSaltScienceTechnology 第 1期 基于双向流量昀 DDoS趁测相制 吴小叶 王 微 肖继 民 (1．南京邮电大学计算机学院，江苏 南京 210003；2．摩托罗拉电子(中国)有限公司，江苏 南京 211102) 【摘 要 】随着网络的快速发展，各式各样的异常流量限制了Internet提供正常的带宽服务，其中包括现 在最流行的DDoS攻击。鉴于传统的用单向流量来分析、检测异常流量的方法无法正确区分突 发的正常流量和DDoS攻击流量，本文提 出了一种基于双向流的分析检测机制，通过对网络节 点的输入、输出流量关系的分析，从而区分异常流量和正常的突发流量。在此基础上，提 出了 对研究Internet实际网络异常流量检测有重要意义的8种状态模型。并在NS2．30上进行了仿 真，验证 了这种检测机制的有效性和可行性。 【关键词 】DDoS 双向流 异常检测 正常的突发流量 随着计算机网络的发展，网络安全已成为一个亟 以起到辅助发现网络异常行为，如拒绝服务、新型蠕虫 待解决的问题，其 中DoS攻击 已成为网络安全领域最 等。流量分析包括对流量状况的监测和异常流量变化 为严重的问题之一，据 2004年美 国FBUCSI的调查表 的发现，通过流量状况的监测可以看到当前网络流量 明，DoS攻击导致的经济损失位居第二，仅次于病毒。 总量及分类信息：通过对流量变化的阈值设置 ，发现流 DoS攻击就是利用合理的服务请求来占用过多的服务 量异常的现象。 目前误用监测的最大难点就是阈值的 资源 ，从而使合法用户无法得到服务的响应。分布式 设置。 拒绝服务攻击(DDoS)是在 DoS攻击基础上产生的一 传统的方法无法正确区分流量异常隋况和真正的 类攻击方式．它是指处于不同位置的多个攻击者 同时 恶意攻击 。比如当同时有大量的客户端连接时，这种异 向一个或数个 目标发起攻击 ，或者一个或多个攻击者 常并不是恶意攻击。早上刚上班时间8：00左右 ，员工 控制 了位于不同位置 的多台机器并利用这些机器对 会同时大量上网，此时网络的连接就会突然增加 。呈现 受害者同时实施攻击。 大流量状况。所 以仅仅从单向流的异常变化或值的改 DDoS攻击的现象大致可 以归纳为以下几类 ：(1) 变是无法判断主机是否受到攻击。针对这种情况，我 被攻击的主机上 由大量等待的TCP连接 ；(2)网络 中 们提出了一种基于双向流的检测机制，通过对输入、输 有大量的无用的数据包 (不是正常用户的正常请求， 出流的的速率比分析，来判断是否为恶意攻击。 但从单个来看是合法的、无害的)占用过多资源 以达 1网络模型 到拒绝服务的目的；(3)网络中充斥着高流量的源地 我们对受保护的网络节点进行分析，网络结构图 址为假的数据包；(4)利用受害者提供的服务或传输 如图1所示。 协议本身的缺陷，发出大量的特殊服务请求 ，使受害 1．1分析与讨论 主机无法及时处理所有正常请求；(5)严重时造成系 一 个正常的网络访问中，如果节点有越多的请求 统死机。 包，那么就会有越多的应答包从该节点返回。所 以，在 目前对网络异常检测的技术有很多．如统计分 正常情况下，一个服务器的输入与输出的数据包吞吐 析、机器学习、数据挖掘等等。其中通过流量分析．可 量 比是一个常数。然而当发生DDoS攻击时，攻击者发 维普资讯 第 1期 吴小叶等：基于双向流量的DDoS检测机制 19 送大量的数据包，但受害者却无法提供服务的响应。 述如表 2。 这种情况下输入、输出流量就不成一定的比例 ．增长 表 2假设和 DDoS攻击时8种 同网络状态 不同步。