DDoS攻击检测的挑战.doc

DDoS攻击检测的挑战 摘要：网络入侵检测一直是一个充满挑战和激情的研究与应用领域。随着计算机网络和网络入侵手段的不断进化，网络入侵检测需要持续不断改进并创新已有的检测手段，以便及时为网络安全提供必要的保障。当前，分布式拒绝服务（Distributed Denial of Services, 缩写为DDoS）攻击已经成为威胁计算机网络可靠性的重大因素之一。由于难以利用已经成熟的检测技术将DDoS攻击有效地检测出来，而且即使检测出来也存在难以及时将DDoS攻击流量从正常的网络流量中剥离从而达到阻断DDoS攻击流量的目的存在的诸多DDoS检测的困难使得对DDoS攻击进行有效检测已经成为提高网络保护机制的一个至关重要的问题。本文通过分析当前DDoS攻击检测的现状，探讨了DDoS检测所面对的问题，并指出了当前DDoS攻击检测领域所面临的诸多挑战。 关键词：DDoS攻击；攻击；网络入侵检测；网络安全 DDoS攻击通过利用大量的被攻破主机在同一个时间段内向受害节点发送无用的网络包而致使该台主机的网络服务不可用；某种泛洪垃圾邮件蠕虫通过在短期内发送大量垃圾邮件而耗费网络带宽和邮件服务器资源。 尽管业界非常重视应对泛洪攻击，也提出了大量的应对泛洪攻击的检测方法，然而，目前泛洪攻击的检测性能还远远不能令人满意。在2005年美国联邦调查局关于计算机犯罪的报告中指出，DDoS攻击仍然是增长最快的网络入侵事件之一。如何有效地检测不同的泛洪攻击至今仍然挑战着已经存在的检测方法。通常来说，一个基于特征匹配的检测系统可以保证检测已知攻击的有效性。但是，当攻击特征稍微变了一点，原来的检测规则就会失效。例如：[9]指出一种被ISS（IBM Internet Security System）采用的防御技术在抵御当前的DDoS攻击软件是非常有效的，但是当DDoS攻击软件稍微修改了一点点，该防御技术就变得无效了。因此，人们更愿意使用异常检测方法而不是基于特征的检测方法来检测泛洪攻击。然而，大部分异常监测方法一般将关注点放在如何形成正常网络流量和已知DDoS攻击之间的界线，但仍然无法分辨不同的DDoS攻击；而且，即使实现了在一定程度上检测DDoS攻击，但仍然无法将DDoS攻击流量与正常的网络流量区分开来。 是否能够进一步提高DDoS的检测效率，是否能够将不同种类的DDoS攻击有效地区分开来，是否能分辨每一种不同的DDoS攻击各自的特点，能否对新的未知的DDoS攻击进行检测，能否在技术上解决将DDoS流量与正常的网络流量区分开来的问题，能否在技术上实现快速的检测，如何评测不同的DDoS检测技术等问题，一直困扰着DDoS检测领域的工作者。本质上来说，我们还没有找到合适的工具或技术手段对于正常网络流量和DDoS流量的不同特征进行描述。也恰恰是这些问题的存在使得在DDoS检测领域的工作者既充满着困惑，同时又充满着探索的激情。 入侵检测技术的发展 DDoS的检测属于入侵检测领域。自1987年登宁（D. E. Denning）首次提出入侵检测系统的概念以来，在过去的几十年间，入侵检测领域的研究和应用一直处于蓬勃发展中。人们所使用的检测方法以及所检测的入侵种类各有不同。在整个入侵检测的领域，检测方法大致可以分为两大类：误用检测和异常检测。 误用检测 误用检测技术是将信息系统中被观察对象的行为与事先建立好的已知的入侵的场景集合进行匹配，如果匹配成功，则产生报警。一个误用检测系统对于已知攻击的检测的准确性非常高。防病毒软件就可以看成是最简单的误用检测系统。 预先建立好的入侵场景集合由规则或者状态序列组成。这些规则或状态序列一般是由一些安全专家手工构造或者通过某些机器学习的方法自动学习得到。著名的误用检测产品Snort就是基于规则来检测多种入侵的免费检测工具。许多机器学习的方法也应用于误用检测领域。例如，MIDAS (Multics Intrusion Detection and Alerting System)利用专家系统技术来抽取误用检测所使用的检测规则。相似的，IDES (Intrusion Detection Expert System)利用专家系统的工具集来构造误用检测系统。NEDAA (Exploitation Detection Analyst Assistant)将人工智能和专家系统结合起来以便检测入侵。USTAT (Unix State Transition Analysis Tool)使用状态序列转换来构造入侵检测工具集合。 误用检测的缺点是无法检测出未知攻击，甚至无法检测出仅仅略微修改的已知的攻击。因此，当某种新的攻击的特征被发现时，检测系统不得不为此增加一条新的检测规则。随着未知攻击的增加，误用检测系统的规则集合也越变越大。如何缩减误用检测集合，同时又能减缓由此而