分布式检测论文.docxVIP

33/33

分布式检测

分布式检测（精选十篇）

分布式检测篇1

I在IPv4/v6互联网中,DNS是最关键的基础核心服务之一,其服务的开放性及其对网络服务影响的广泛性,往往使得其DDoS分布式拒绝服务攻击的首要焦点,其典型的安全相关事件包括2009年“5.19断网事件”、2014

年“1.21宕机事件”等。而作为衔接IPv4/v6网络服务桥梁、并正在快速普及的DNS64服务,其安全性保障正在逐渐受到人们的重视与关注。

目前,已涌现出多种基于流量的DNS拒绝服务攻击检测技术。秦勇等[1]提出了一种通过对DNS流量摘要记录进行分析来实现DNS异常检测的方法;Musashi等[2]实现了一种针对多种类型DNS日志流量报文实施异常检测的方法;Ren等[3]提出一种DNS流量可视化分析方法以解决DDoS所导致的缓冲中毒等问题。上述方法对于流量统计发生突变的DNS攻击场合均非常有效,然而却普遍不能有效应对日益流行的流量渐进攻击方式,由于渐进攻击并不会导致流量统计突变,因此此类基于流量统计的检测方法均在不同程度上具有一定的局限

性。

而基于熵估计的入侵检测思路则有助于克服这一问题。在流量统计的过程中,结合相应的异常信息成分估计来实现相应的攻击检测,是该思路的主要特点。目前针对这一方法的研究尚处发展阶段,丁森林[4]等使用信息熵对若干现实攻击事件进行了分析,其结果证实了信息熵能够及时发现攻击点;张洁[5]等在信息熵检测方法基础上进一步提出了分级阈值的思路,并从一定程度上降低了DDoS攻击检测的误报率。

本文结合DNS64分布式拒绝服务攻击的具体攻击场景,提出了一种基于熵估计的异常流量检测技术,该技术采用了统计阈值而非固定阈值的攻击检测方式,并结合DNS64协议特点,有针对性地引入了相应的攻击特征分类机制,以解决当前基于固定阈值的熵估计攻击检测技术所普遍存在的误报率较高的问题。该文同时针对上述检测思路进行了实验验证。分析结果表明,上述技术能够在较大提升DNS64分布式拒绝服务攻击的检测率的同时,降低其检测误报率,从而具备良好的实际应用价值。

1DNS64技术与熵估计方法简介

1.1DNS64并存过渡技术

DNS64[6]是一种IPv4-IPv6过渡技术。其一般用来与IPv6/IPv4转换设备(如NAT64[7]设备等)协同工作,以保证IPv6-only主机可通过域名与IPv4-only的服务器建立通信。其中,NAT64通常用来实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议报文的转换。而DNS64则主要是配合NAT64工作,用于在建立连接伊始,将DNSv4查询信息中的A记录(IPv4地址)合成到AAAA记录(Pv6地址)中,继而将合成后AAAA记录用户给Pv6侧用户。

IIDNS64与NAT64配合工作的协议流程如下图所示。

在上述跨协议域的交互过程中,不难发现,DNS64服务器极易成为分布式拒绝服务攻击的重点目标。这主要是因为,首先,由于该服务涉及到多次DNSv4、DNSv6请求的发起与组装返回,而这一过程是有状态的,如果针对该服务进行DDoS攻击的话,势必能够以更高的效率耗尽DNS64服务的处理能力及其状态保存相关的存储

资源;其次,对于背后的双栈DNS服务器而言,遭受到DDoS攻击的DNS64服务器恰好成为了一个放大攻击流量的跳板,在遭受DDoS攻击的场合下,其势必也将导致背后的DNS服务也遭受到至少同等强度的拒绝服务攻击。

由此不能看出,DNS64作为一种被广泛应用的64过渡机制,其在应对DDoS攻击方面实际上存在着显著缺陷,其本身不仅容易受到攻击,而且在受到攻击的情况下,其还将连带波及到其他关键服务网元。因此,及时检测出针对DNS64服务器的攻击并采取相应的防护措施,对于保障其正常服务而言非常关键。

1.2基于信息熵度量的攻击检测

信息熵的概念最先由信息论之父香农于1948年提出,作为一个衡量事件信息含量的基本度量,其认为所有的信息均不同程度的存在着冗余,而冗余的大小与信息中的符号出现概率相关,而在剔除信息中冗余信息之后所剩余的平均信息量则被定义为“信息熵”。信息熵这一概念被广泛地应用于描述随机事件出现的不确定性;如某系统中事件出现的越随机、越杂乱无章,则其含有的信息量就越大,其熵值也应越大。

假设存在某个随机事件X,则其发生时所包含的信息量应该是该事件发生时先验概率P(X)的函数,于是可将事件X所包含的自信息量I(X)(单位bit)以如下形式定义:

而各离散随机事件自信息的数学期望即为信息熵,则信息熵H(X)的定义如下所示:

信息熵一般具有非负性,即其通常为正数;同时,其还具有对称性,其值并不会因为事