基于源目的ip链接的数据库防范分布式拒绝服务攻击策略.docxVIP

基于源目的ip链接的数据库防范分布式拒绝服务攻击策略 分布式拒绝服务攻击（ddos）是指有人恶意干扰网络，对服务产生一定影响，并在一定程度上造成巨大的经济损失。它可能会导致严重的经济损失，如电子邮件、电子邮件、谷歌特洛伊木马、网络欺诈、真负责任等网站。 DDos攻击一般有两个目的:消耗主机资源和恶意占用网络带宽.目前的保护机制主要是根据协议类型和端口号等在网关进行丢包.这种方式的致命缺点是区分正常流量和攻击流量的准确率不高.还有另一种称为“flash crowd”的流量, 即很多合法用户同时访问一个网络服务, 造成流量的突然增加, 这与DDos攻击在流量统计上有相似的地方, 更加难以区分. 目前, 有很多文献研究如何防范DDos攻击.但是, 这些策略应用在HDDos和DRDos攻击上效果并不明显, 并且容易混淆DDos攻击流量和“flash crowd”流量.DDos攻击一般采用假冒源IP地址的策略, 对于DRDos攻击, 虽然它使用合法的IP地址, 但对于受害者来说, 这些IP地址大多数都是“新”的, 即受害者在以前并没有与该地址进行过通信.基于这样的本质特征, 就形成本文防范DDos攻击的一种新策略.根据已建立好的合法源目的IP地址历史数据库, 在路由器上对新出现的IP地址对采用滑动窗口无参数CUSUM (cumulative sum) 算法进行累积和分析, 达到检测和过滤DDos攻击的目的. 1 基于源目的ip地址的ddos攻击防范技术 目前的绝大多数检测DDos攻击的策略 文献 CUSUM算法是在统计过程控制中常用的算法, 它可以检测到一个统计过程均值的变化.在文献 综上所述, 现有的防范DDos攻击方法做了很多有益的工作, 但在检测准确率或检测速度等方面都存在一定的不足.因此, 本文提出了一种基于源目的IP地址对数据库的防范DDos攻击策略.本文使用扩展的三维Bloom Filter表存储SDIAD (source and destination IP address database) , 以节省存储空间和提高查找效率, 并采用改进的滑动窗口无参数CUSUM算法对新的源目的IP地址对进行累积分析, 以快速而准确地检测出DDos攻击 2 ddos攻击检测 研究表明, 现在的DDos攻击都是高分布式和高源IP地址伪装的 (通过随机函数产生IP地址) 设A 当观察点靠近攻击者的网络时, 有 上面的公式指出, 当发生DDos攻击时, 所观察到的新IP地址的增加是显著的, SIM (source IP address monitoring) 机制就基于这种特征来检测DDos 离线训练将合法的IP地址添加到数据库中, 离线是确保这些IP地址数据不包括DDos攻击成分.在线更新将保证SDIAD的及时性.网络是一个复杂的实体, 总会不停地有主机增加进来也会有新的IP地址增加进来, 就需要保持对SDIAD的更新.当检测到DDos攻击时, 在线学习机制必须挂起, 以免将恶意的IP地址添加到数据库中.为此, 采用三维的Bloom Filter表来存储SDIAD.在检测时, 采用滑动窗口无参数CUSUM算法 (slide non-parametic CUSUM) 统计在?时间内的进入流量和在此期间新IP地址对出现的个数, 当它们超过一定的阈值时, 则表明有攻击发生.前者主要用于检测一些低分布式的使用合法IP地址进行的拒绝服务攻击, 而后者根据新IP地址对出现的异常可以检测到那些高分布式和反射式拒绝服务攻击.我们的系统主要定位于边缘路由器, 对于边缘网络, 它比骨干网络有着相对稳定的源目的历史IP地址数据库, 这将有利于攻击检测, 确保了检测的准确率, 系统架构如图1所示. 3 ddos攻击的源目的ip地址对 本文采用扩展的三维Bloom Filter表来存储庞大的源目的IP地址对信息, 主要考虑到源目的IP地址对存储、存储空间要求以及查找和计算效率等方面的要求. 定义1.SD 定义2.F F 定义3.A={a A表示在一次DDos攻击中所出现的源目的IP地址对.正常流量的源目的IP地址对绝大多数都在以前出现过, 而DDos攻击流量的源目的IP地址则很少, 因此有下面的公式: 显然有 P 定义4.Set 在定义2中提到“达到一定频率的合法源目的IP地址对”这一说法, 对于频率大小的衡量标准, 使用下面两个规则: 规则1.R 规则2.R 在本文中, 联合使用规则1和规则2, 记F=R 设SD 4 sdiad更新策略 因特网是一个动态而复杂的不断变化的实体, 这就要求SDIAD必须不断地进行自我更新, 确保SDIAD中的源目的IP地址对是最近一段时间内记录到的.在本文中, 采用先验规则2和延迟更新策略, 即首先记录下满足规则2的新的源目的I