DDoS攻击检测算法研究.docVIP

DDoS攻击检测算法研究 　　【 摘 要 】 网络安全问题的核心在于对网络攻击的检测。针对DDoS的恶意攻击方式，本文在统计方法原理上提出了同步技术检测算法，并以DDoS为例，进行了检测系统的性能测试和分析。 　　【 关键词 】 DDoS攻击；检测算法；同步技术 　　Research on DDoS Attack Detection Algorithm 　　Xin Yi-pei 　　（The Chinese PLA 92493 Troops LiaoningHuludao 125000） 　　【 Abstract 】 The core problem of network security is to detect the network attack. This paper presents a detection algorithm in statistical method against malicious attacks of DDoS. It tests and analyzes the performance taking DDoS as an example. 　　【 Keywords 】 DDoS attack； detection algorithm； simultaneous techniques 　　1 引言 　　网络安全问题的研究一直是一个比较热点的问题，如何对网络安全问题进行研究也是一个需要深入考虑的问题。尤其是近年来，宽带业务的推广，用户数量巨增，使得DDoS攻击变得更为严重，DDSo攻击成为了近年来对Internet具有巨大影响的恶意攻击方式。 　　2 基于统计方法的DDoS攻击检测和响应 　　Laura Feinstein等提出了计算熵（Entropy）和数据包属性分布式频率存储（Chi-Square）的方法来检测DDoS攻击的方法。 　　2.1 Entropy检测算法 　　一个信息源有n个独立的概率为Pi的信号，那么嫡H就定义为： 　　H=-■pi log2 pi 　　因此，熵可以用来计算一个样本里连续的包，将一些样本头域的嫡和从相同的Peering Point出来的样本的嫡相比较来检测随机变化。当网络不存在攻击，不同的头域嫡的值将落在一个很窄的范围内；当网络被攻击时，这些熵的值就会超出这些范围。 　　此算法只需要对每个包进行少量的计算，信包的熵可以通过宽为砰的滑动窗口来计算，这个算法中p的概率实际上是每个独立的信号对于总的样本标志中出现的频率。 　　一个有经验的攻击者会试图破坏这个算法，通过建立一个流量模型仿正常流量。一个攻击者若知道不同的被监测的包属性，则他就会建立一个产生可调熵值流量的攻击工具。通过猜测、渗透、跟踪，这个攻击者可以知道典型的嫡值和调整流量去匹配。这看起来似乎很容易，但如果有多个检测器安置在流量源和目标之间，那么检测器的典型??嫡值在不同的网络环境中就会不同。 　　窗口流量W是一个可以调整的参数，它用来控制检测器短期波动的平滑程度。增加牙值就会减少嫡值的变化并可以减少无关紧要的异常的误警率。但是W也不能太小，这样才能快速地检测出攻击来。通过实验发现10000个包是合理的。 　　2.2 Chi-square检测算法 　　Pearson的Chi-Square通常都是用来对分离的数值比较。例如它可以用来检测TCP SYN标志值（0和1）或协议数据的分布。这些数值的数目越少检测效果越好，一个样本包中它的可能包含的数值不少于五个，因此通过“BIN”可以把一定范围的数值看成一个。例如Chi-Suqare检测算法可以将服务端口看成四个值：HTTP、FTP、DNS和“其他”。相似地，包长度可以归类为这些范围：0-64字节，65-128字节，129-255字节等。 　　3 DDoS攻击检测同步技术算法 　　3.1 同步技术的硬件基础 　　硬件对同步技术最通用的支持功能是芯片级的原子操作和中断屏蔽功能。以i386系列CPU为例，大部分的汇编指令都是芯片级的原子操作，唯一的例外是前缀为rep的汇编指令，这条指令要求控制单元重复多次执行，在执行过程中可能被中断。 　　SMP环境下的情况要复杂一些。在SMP环境中，那些多次访问内存的指令不是原子的，例如inc或者dec指令，它们在执行过程中，首先从内存中读取数据，然后更新它，并将新的内容写回到内存中，在此过程中其它处理器上执行的程序可能会访问同一个内存区，从而发生竞争条件。解决这种竞争条件的办法之一是在指令之间增加lock前缀，使该指令在SMP环境下也是原子了。SMP同步的具体内容请参考“SMP系统中的同步机制”一节。 　　计算机的中断机制的实现依赖于可编程的中断控制器，CPU的INTR管脚和内部