DdoS检测技术的研究的方法综述.docVIP

DdoS检测技术的研究的方法综述 　　[摘要]本文基于DDoS(分布式拒绝服务攻击)的工作原理，介绍了DDoS预防技术中的关键技术：蜜罐技术和数据开采技术，并展望了新的检测入侵技术及其研究方法。 　　[关键词]分布式拒绝服务攻击　入侵检测 　　 　　Internet在全球的迅猛发展，给人们的生活带来了巨大的变化，人类社会进入了一个崭新的信息化时代。信息化社会在为人类的生活带来诸多方便的同时，也带来了很多的问题，其中信息安全是一个突出问题，它直接关系到国家的安全和经济的发展。现实生活中，网络安全事故时有发生，信息的保密性、完整性和可用性受到了前所未有的挑战。各种网络攻击方式层出不穷，木马、欺骗等技术是黑客手中的利器，而分布式拒绝服务攻击(DDoS，Distributed Denial of Service attack)更是它们中的佼佼者。由于DDOS攻击比较容易实现而且难以防范，因此一直没有好的防御方法。2002年2月，Yahoo、ebay、Amazon等诸多知名网站均受到了DDOS攻击，致使一些站点中断服务长达数小时甚至几天，国内的新浪等站点也遭到了类似的攻击，这次的攻击浪潮使DDoS名声大振。2001年5月，在中美黑客大战中，DDOS也被广泛使用。因此，DDoS已成为影响网络安全的一个不容忽视的问题。 　　 　　一、DDoS工作原理分析 　　 　　在解释DDoS之前，首先必须知道什么是DoS(De-nial of Service，拒绝服务)。DoS是指这样一种攻击手段：攻击者在一定时间内发送大量的服务请求来“轰炸”目的主机或其它网络设备，使其不能提供正常的服务。这种方式类似于某人通过不停拨打某个公司的电话来阻止其它电话打进，从而导致公司通信瘫痪。 　　DDOS是DoS的进一步演化。简单的DoS攻击是由源主机直接攻击目的主机，是1：1的映射。而DDoS引进了Client／Server机制，增加了分布式的概念。“分布”是指把较大的计算量或工作量分配给多个处理器或多个节点共同协作完成。DDoS攻击就是指攻击者控制大量的攻击源，使其同时向目标机发起的拒绝服务攻击。一个典型的分布式拒绝服务攻击网络结构如下图所示。 　　 　　 　　二、DDoS攻击防御关键技术 　　 　　1　蜜罐技术。在防御DDOS攻击中，主要用到蜜罐技术的网络流量的动态仿真。蜜罐主机采用一个缺省配置的linux系统来仿真真实系统，在该蜜罐系统中故意存在一些漏洞和不安全因素，因为在带宽不断增大时，造成了DDoS攻击的一定难度，同时由于DDOS攻击技术本身的缺陷，如移植DDOS攻击的服务器程序到其它系统或主机就不是一件很容易的事情，需要较多的知识，并且较繁琐。如果攻击者能够轻易发现漏洞，就会采用其它攻击力一法，以此减轻DDOS攻击的可能性。同时，在真实系统中增加对IP地址和日志进行分析的能力，由真实系统对访问该系统的IP地址根据访问历史和日志进行可靠性分析，曾经访问过该系统，并且经过可靠性分析的IP允许访问，不切换到蜜罐系统。而第一次访问和没有经过可靠性分析的IP就转向到蜜罐系统，该蜜罐系统的数据捕获能够记录进入和流出的连接、记录，并显示攻击者在蜜罐主机中的操作，对入侵者在蜜罐主机中的操作信息进行日志记录，分析请求服务的内容，确定该服务的性质，如是正常访问，就再次切换到真实系统，如是DDOs攻击或其它攻击，则通过网络流量仿真软件，能够模拟正常服务的网络流量，使欺骗系统产生与真实网络系统仿真的网络流量，减少对该IP的响应给攻击者造成错拒绝服务的错觉，减轻对真实系统的攻击。同时，在防火墙中封锁该IP，在真实系统中对该IP进行不可靠认定，提高网络欺骗质量，使得通过流量分析不能分辨欺骗系统与真实系统。在欺骗系统中产生仿真流量采用实时力一式或重现力一式，复制真正的网络流量到欺骗系统，这使得欺骗系统与真实系统十分相似，因为所有的访问连接也都被同时复制了，还必须动态地配置欺骗网络来模拟正常的网络行为，使欺骗网络也像真实网络那样随时间而动态变化。为了使欺骗网络动态配置有效，还须使欺骗具有真实系统的一些特性，如办公室的计算机在下班之后关机，那么欺骗计算机也应该在同一时刻关机。另外，假期、周末和特殊时刻也须同步考虑，否则入侵者将很可能被发现欺骗。 　　蜜罐技术在防御DDoS攻击力一面提供了新的方法，网络欺骗在信息安全中有很大作用：误导入侵者，使它按照我方的意志进行“选择入侵”，进入我方预先设置的网络陷阱。通过网络探测，迅速地检测到入侵者的进攻企图，及时修补系统可能存在的安全漏洞，并获知敌方的进攻技术和意图。通过与入侵者周旋，消耗其资源，伺机反击。在该系统的实现中还有一些功能有待研究和实现。 　　2　数据开采。数据开采(Data Mining，DM)是从大量