高效识别DDoS攻击的检测技术研究.docVIP

　　高效识别DDoS攻击的检测技术研究 　　1 引 言 　　DDoS［1］全名是 Distributed Denial of service ( 分布式拒绝服务攻击) ，它是一种分布式的协同发起的拒绝服务攻击，借助数百、甚至数万台被入侵后安装了攻击进程的主机同时发起的集团行为． 它是危害更大、更易于达到攻击效果、更难以抵御和追踪的一种拒绝服务攻击． 在这种严峻的形势下，对DDoS 攻击的研究逐渐称为热点，大量的 DDoS 检测和防御技术应运而生． 然而 DDoS 攻击技术在不断发展，呈现出一些新的发展趋势，这对攻击检测和防御提出了更高的要求． 主要表现有: 攻击方式不断更新、隐蔽性越来越强、攻击准备时间缩短、随着X络技术的发展，漏洞会不断产生、攻击工具更加智能以及攻击强度的不断拉大这些都给检测与防御造成很大的困难．根据防御策略防御可分为攻击前，攻击中，攻击后的三个阶段，防御技术可分为 4 大类［2］攻击预防、攻击检测、攻击源追踪和攻击缓解． DDoS 攻击的检测技术主要有异常检测和误用检测两大类． 如模式匹配［3］等． 本文研究重点在 DDoS 攻击的检测技术，怎样及时高效的识别 DDoS 攻击．传统的 DDoS 检测方法效率低下、系统开销大、易产生单点失效且单点的异常检测对分布式异常检测处理能力弱． 基于协议特征分析的 DDoS 检测方法不能检测没有明显协议区别特征的 DDoS 攻击，而基于X络流量统计的 DDoS 检测方法不能区分正常的大流量和 DDoS 的攻击流量，可能会发生误判且不可恢复． 由于存在这样的问题迫切需要一种及时快速有效的检测系统，尽早发现潜在的攻击从而可以采取必要的措施来使损失降到最低．本文在现在有的检测基础上提出了一种新的检测方法．我们通过在 P2P 骨干X的路由节点上部署 DDoS 检测系统，在单点局部检测的基础上对检测结果进行信息融合，采用全局决策的方式来判断是否产生了 DDoS 攻击． 目前单点检测存在的问题有准确性不高，单点检测阈值不好估算，计算量大，协同通信量大等问题，因此我们在单点检测上基础上修改了数据存储结构，采用了信息熵与子空间以及聚类算法的方式来提空检测效率．本文的贡献主要有: 突破传统集中式单点检测在分布式情况下的局限性，利用局部检测节点对X络流量进行监控并发现潜在的被攻击目标，再通过全X检测节点信息的协同融合，实现在攻击流量到达目标之前发现攻击行为的目的． 利用连续的概要矩阵存储采集得到的数据，对X络报文的目的 IP地址信息进行压缩存储，即便于数据分析，采用信息熵的理论对X络流量的变化进行统计，然后用子空间与聚类方法相结合的方式来来确认可疑的X络行为． 优化了存储空间，可以实时进行X络流量监控，提高了单点检测的准确性与及时性．通过对本文中分布式协同 DDoS 协同检测系统的功能进行模拟仿真测试表明本系统可以满足检测率和假阳率的要求，与其它方案相比也具有很好的及时性与准确性，能够及时准确的检测到 DDoS 的攻击． 　　 　　2 相关研究 　　针对 DDoS 攻击流量的大幅度增加特点利用流量变化来检测 DDoS 是应用最广泛的方法． 由此可以将检测策略分为基于正常流特征和异常流特征的检测． 如文献［4，5］提到的基于 IPv6 下对泛洪 DDoS 攻击时发生时流量显着变化的特点进行检测的方法．Jin［6］提出了一种利用协方差分析检测 SYN flooding 攻击的方法，它是通过对单位时间内不同的 TCP 报文累积量化计算协方差矩阵来得出其变化情况从而判断是否发生了攻击．此外，基于熵的攻击检测方式也越来越受到关注，如: 文献［7］提到的基于小波理论与信息相结合的方式进行 DDoS攻击的检测方法以及 文献［8］提到的应用滑动窗口理论的目的 IP 熵计算方法来检测 DDoS 攻击． 但是存在存储空间大、只是单点检测没有多个节点协同检测的缺点．由此可见，仅通过攻击流特征或者正常流特征难以准确识别 DDoS 攻击． 根据现在检测方法的不足，提出了基于 DHT技术的协同分布式拒绝服务攻击检测系统，攻击检测平台的工作内容主要着眼为: 单个检测点和全局协同判断． 单点检测描述了如何收集和压缩大量的X络信息，并从中判断出可疑行为． 全局检测主要介绍在分布式X络中运行 DHT 技术贮存信息的优势，并解释为了使用X络中单个检测节点协同工作，是如何运用 DHT 技术进行信息共享从而做出全局决策的． 本文着重介绍了基于熵的聚类算法来分析流量特征的单点检测技术．3 熵聚类的单点检测技术。 　　X络中分布部署的单个检测点共同构成了协同检测平台，当检测点获取到X络流量信息后对数据进行压缩，并利用其结果更新连续概要矩阵，存储数据． 检测点根据信息熵与聚类算法对连续概要矩阵中的内容对流量做出初步的判断，得到局部检测结