攻击ddos攻击器

ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,Vol.
18,No.
10,October2007,pp.
26132623http://www.
jos.
org.
cnDOI:10.
1360/jos182613Tel/Fax:+86-10-625625632007byJournalofSoftware.
Allrightsreserved.
基于源目的IP地址对数据库的防范DDos攻击策略孙知信1,2+,李清东11(南京邮电大学计算机学院,江苏南京210003)2(南京邮电大学计算机技术研究所,江苏南京210003)DefendingDDosAttacksBasedontheSourceandDestinationIPAddressDatabaseSUNZhi-Xin1,2+,LIQing-Dong11(CollegeofComputer,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)2(InstituteofComputerTechnology,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)+Correspondingauthor:Phn:+86-25-85198095,Fax:+86-25-83492859,E-mail:sunzx@njupt.
edu.
cnSunZX,LiQD.
DefendingDDosattacksbasedonthesourceanddestinationIPaddressdatabase.
JournalofSoftware,2007,18(10):26132623.
http://www.
jos.
org.
cn/1000-9825/18/2613.
htmAbstract:Thispaperproposesaschemetodefenddistributeddenialofserviceattacks(DDos)basedonthesourceanddestinationIPaddressdatabase.
TheschemeestablishesthesourceanddestinationIPaddressdatabase(SDIAD)byobservingthenormaltrafficandstoragesSDIADinathreedimensionBloomFiltertable.
ThenthispapercumulatesandanalysesthenewpairofsourceanddestinationIPaddressbasedontheslidenon-parametriccumulativesum(CUSUM)algorithmtodetecttheDDosattacksquicklyandaccurately.
ThesechemeupdatesSDIADbyusingadelayedupdatepolicytokeepSDIADtimely,accurateandrobust.
ThissechemeismainlyappliedintheedgerouteranditcandetecttheDDosattacksefficientlyeithertheedgerouterorthelast-milerouteristhefirst-milerouter.
ThesimulationresultsdisplaythatthesechemedoagoodperformanceindetectingDDosattacks.
Keywords:Ddos(distributeddenialofserviceattacks);router;non-parametricCUSUM;bloomfilter摘要:提出了一种基于源目的IP地址对数据库的防范分布式拒绝服务攻击(distributeddenialofserviceattacks,简称DDos)攻击策略.
该策略建立正常流量的源目的IP地址对数据库(sourceanddestinationIPaddressdatabase,简称SDIAD),使用扩展的三维BloomFilter表存储SDIAD,并采用改进的滑动窗口无参数CUSUM(cumulativesum)算法对新的源目的IP地址对进行累积分析,以快速准确地检测出DDos攻击.
对于SDIAD的更新,采用延迟更新策略,以确保SDIAD的及时性、准确性和鲁棒性.
实验表明,该防范DDos攻击策略主要应用于边缘路由器,无论是靠近攻击源端还是靠近受害者端,都能够有效地检测出DDos攻击,并且有很好的检测准确率.
关键词:分布式拒绝服务攻击;路由器;无参数CUSUM算法;bloomfilter中图法分类号:TP393文献标识码:ASupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60572131(国家自然科学基金);theKeyTechnologiesR&DProgramofJiangsuProvinceofChinaunderGrantNo.
BE2007058(江苏省科技攻关项目);theScientificResearchFoundationofZTEandHuaweiCorporationofChina(中兴及华为基金);theScientificDevelopmentFoundationofGovernmentofChina(南京市科技发展计划);theScientificResearchFoundationofNUPTofChinaunderGrantNos.
NY206008,NY206050(南京邮电大学攀登计划及青蓝计划)Received2006-06-05;Accepted2006-11-132614JournalofSoftware软件学报Vol.
18,No.
10,October2007分布式拒绝服务攻击(Dos/DDos)是指有人恶意地对网络进行干扰,使服务受到一定的影响,严重的可以造成巨大的经济损失.
Yahoo,eBay,Amazon.
com,E*Trade,ZDnet,Buy.
com,FBI,DoubleClickInc等网站都遭受过其攻击[13].
近年来,DDos(distributeddenialofserviceattacks)攻击的频率和方式都呈上升的趋势[4],并且出现了攻击强度更大的高分布式拒绝服务攻击(highlydistributeddenialofserviceattack,简称HDDos)和反射式拒绝服务攻击(distributedreflectiondenialofserviceattacks,简称DRDos)[5].
Gibson研究团体认为[6],目前,DDos攻击将大幅度增加(据Gibson估计为每星期4000次),这将使互联网因为成百上千的DDos攻击而降低速度.
DDos攻击一般有两个目的:消耗主机资源和恶意占用网络带宽.
目前的保护机制主要是根据协议类型和端口号等在网关进行丢包.
这种方式的致命缺点是区分正常流量和攻击流量的准确率不高.
还有另一种称为"flashcrowd"的流量,即很多合法用户同时访问一个网络服务,造成流量的突然增加,这与DDos攻击在流量统计上有相似的地方,更加难以区分.
目前,有很多文献研究如何防范DDos攻击.
但是,这些策略应用在HDDos和DRDos攻击上效果并不明显,并且容易混淆DDos攻击流量和"flashcrowd"流量.
DDos攻击一般采用假冒源IP地址的策略,对于DRDos攻击,虽然它使用合法的IP地址,但对于受害者来说,这些IP地址大多数都是"新"的,即受害者在以前并没有与该地址进行过通信.
基于这样的本质特征,就形成本文防范DDos攻击的一种新策略.
根据已建立好的合法源目的IP地址历史数据库,在路由器上对新出现的IP地址对采用滑动窗口无参数CUSUM(cumulativesum)算法进行累积和分析,达到检测和过滤DDos攻击的目的.
1相关性研究目前的绝大多数检测DDos攻击的策略[713]在靠近受害者端的网络比较容易实施,随着与受害者距离的增加,检测就变得比较困难,而且在准确率上都会有所降低.
当DDos攻击的分布式程度越高,上面所引用的方法在检测准确率上也就越低.
此外,基于流量分析的策略[11,14,15]在检测过程中无法准确地区分DDos攻击流量和"flashcrowd"流量.
而一种好的检测策略必须尽可能地靠近源端,靠近攻击流量发起的网络,尽早地检测出攻击并过滤掉攻击流量,以免造成网络带宽的浪费,并且,这种策略要能够准确地区分DDos攻击流量和"flashcrowd"流量.
文献[16]提出一种通过监测新的源IP地址在时间内出现的个数的机制来判断是否有攻击发生,在一次带宽攻击过程中,这些IP地址对于受害者来说大多是新的,这种特征与"flashcrowd"中表现出来的是不同的,这种策略也被用于过滤攻击流量.
BloomFilter算法[17]的最初目的是研究一组给定信息之间的关系,在20世纪80年代它被用于减少访问磁盘不同文件的次数[18,19].
文献[20]中发展BloomFilter算法为CountingBloomFilter,文献[21,22]做了一些将CountingBloomFilter算法应用到DDos防范方面的工作,它们对不同IP地址的流量数据使用CountingBloomFilter算法进行计数统计,以发现那些超出门限的流量,进而检测出DDos攻击.

CUSUM算法是在统计过程控制中常用的算法,它可以检测到一个统计过程均值的变化.
在文献[23]中,使用非参数CUSUM算法来检测DDos攻击,减少了漏报率和误报率,并且消耗较少的计算机资源.
文献[24]中提出了矩阵式的多统计量CUSUM算法,应用于核心路由器,有较高的检测准确率.
文献[25]提出了基于攻击流量特征聚类的特征提取算法,能够有效地进行过滤,减少攻击包传播的危害,保护有限的网络资源.
但这些算法在检测攻击结束时刻的延迟比较大.
综上所述,现有的防范DDos攻击方法做了很多有益的工作,但在检测准确率或检测速度等方面都存在一定的不足.
因此,本文提出了一种基于源目的IP地址对数据库的防范DDos攻击策略.
本文使用扩展的三维BloomFilter表存储SDIAD(sourceanddestinationIPaddressdatabase),以节省存储空间和提高查找效率,并采用改进的滑动窗口无参数CUSUM算法对新的源目的IP地址对进行累积分析,以快速而准确地检测出DDos攻击.
2策略描述研究表明,现在的DDos攻击都是高分布式和高源IP地址伪装的(通过随机函数产生IP地址)[26,27],在一次孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2615DDos攻击中,只有0.
6%~14%的IP地址是在以前出现过的[26].
Jung[26,27]发现,在一次正常的"flashcrowd"中,大约有82.
9%的IP曾经发送过请求.
对网络流量的统计发现,网络中出现的IP地址有很大的概率在一定时期内重复出现,这就隐含着可以根据历史IP来检测异常的出现,本文即基于这样的策略.

设Anormal,Aflash,Aattack分别代表正常情况下、发生"flashcrowd"情况下和发生DDos攻击情况下的数据包个数,Anormal,Bflash,Battack分别代表正常情况下、发生"flashcrowd"情况下和发生DDos攻击情况下的新出现的IP地址个数.
文献[6,27]指出,当观察点靠近受害者的网络时,有Anormal=j,SetRDIAD表示在一段时间内(第j天到第k天)所记录到的合法的源目的IP地址对的集合,SDIAD即用于存储这样的集合.
在定义2中提到"达到一定频率的合法源目的IP地址对"这一说法,对于频率大小的衡量标准,使用下面两个规则:规则1.
R1(d),表示在SDIAD中至少出现过d天的源目的IP地址对的集合.
规则2.
R2(u),表示在SDIAD中至少有过u个IP包数据交换的源目的IP地址对集合.
在本文中,联合使用规则1和规则2,记F=R1(d)∩R2(u),表示在规则1和规则2的约束下所得到的常用的合法的源目的IP地址对集合.
SDIAD的存储采用上面提到的BloomFilter表,BloomFilter算法设置一个由k个独立hash函数组成的k*m的表结构[17],每个hash函数独立地计算k位的hash值aij并映射到存储空间为m位的对应位置上去,如图2所示.
13a24a33a3ka.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
hash1hash2hash3hashkStoragecontentFig.
2Thek*mhashtable图2k*m的hash映射表这里,要存储的是源目的IP地址对,并且还要存储在一段时间间隔d天内所有合法的源目的IP地址对.
因此,在上面的二维k*mBloomFilter表的基础上,还要加上一维——时间,即三维的BloomFilter存储表k*m*d.
考虑IP孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2617地址本身的A,B,C类特征和源目的IP地址对,共64位,这里将其分成8位一组,即k=8,m0时就等于x,否则等于0.
当yn超越一定的门限N时,就表明检测到统计特性的变化,即发生了攻孙知信等:基于源目的IP地址对数据库的防范DDos攻击策略2619击,其值累积得越大,表明攻击越强.
如图8所示,N为攻击检测门限,m为攻击发起时刻,τm为检测到攻击的时刻.
ynmτmNOFig.
8Non-ParameticCUSUMsequenceyn图8无参数CUSUM算法序列yn上面描述的是一种检测随机序列{Zn}有没有统计特性变化的无参数CUSUM算法,在应用到本文中检测源目的IP地址对的统计特性变化时,在攻击结束的下延,由于开始累积了很高的yn值,导致在攻击停止之后yn值下降得很慢,这对于检测攻击停止的时刻会有很大的延迟,由图7可以明显地看出这一点.
另一方面,考虑到时间和统计特征的相关性,已经过去很久的参数Zk对当前统计特性的判断影响比较小.
例如,前一次攻击所统计的Zn值对新的一次攻击的yn值的累积效应应该移除.
尽管yn值随着时间的推迟也能回到一个正常值,但这是一个缓慢的过程,对于检测攻击的灵敏度有很大的影响.
因此,在本文中采用滑动窗口无参数CUSUM算法来检测统计特性的变化.
滑动窗口无参数CUSUM算法的yn值只累积一定窗口时间内的Zn值.

定义8.
窗口时间T,共包含有k个时间,则滑动窗口累积函数yn如下:(7)≥+≤+=+++knZZyknZyyknnnnnn,)()(,)(11y0=0,yn即表示在窗口时间T内出现的新的源目的IP地址对的个数.
如图9所示,其中,N为攻击检测门限,m为攻击发起时刻,τm为检测到攻击的时刻,从该图中也可以看出,在攻击停止之后,yn下降得很快.

ynmτmNOFig.
9Slidenon-parameticCUSUMsequenceyn图9滑动窗口无参数CUSUM算法序列yn定义9.
攻击检测判决函数:(9)>≤=NyNydnnN,1,0N为攻击检测的门限,当yn>N时表明攻击已经产生.
衡量一个攻击检测机制有几项指标:检测延迟时间、误检率和漏检率.
然而,这几项指标又是互相制约的,Slidenon-parameticCUSUM算法通过设置恰当的β,N和T参数值来达到它们之间的平衡.
设h为时间内攻击所发送的平均新的源目的IP地址对数,Slidenon-parameticCUSUM算法窗口滑动时间T=k*,则有:攻击开始检测延迟:β*=hND1(10)攻击结束检测延迟:2620JournalofSoftware软件学报Vol.
18,No.
10,October2007β*=hNkD2,其中,β>hNk(11)由上面的公式可知,攻击强度h越大,则攻击开始检测延迟越短,攻击结束检测延迟越长;检测门限N越大,则攻击开始检测延迟越长,攻击结束检测延迟越短.
此外,N值越大,误检率越小,漏检率越大,反之亦然.
另一方面,参数的选取是与实际的网络环境密切相关的.
若取β=0.
5,h=2,N=10,=1s,k=10,即T=k*=10s,则有:β*=hND1=6.
7(s),β*=hNkD2=3.
3(s).
6策略比较文献[16,29]提出的使用源IP地址检测DDos攻击策略,由于仅仅考虑到源IP地址,只能从单个网络的范围内来限定合法的访问.
即,就同一个网络来说,该网络中的两个目的IP地址拥有完全相同的合法源IP地址集.
这是不合理的,也在一定程度上降低了检测的准确率.
设IADs,IADd分别表示靠近攻击者端和受害者端的合法源IP地址数据库,则在靠近攻击者端检测的时候,只要是非伪造的源IP地址都会属于IADs,也就是合法的,这给HDDos和DRDos攻击的检测带来了困难;在靠近受害者端检测时,只要源IP地址属于IADd,而IADd的范围很大,这也会降低DDos检测的准确率.

而本文的策略基于源目的IP地址对,虽然也定位于边缘路由器,但它却在单个连接上来限定合法的访问,对不同的目的IP地址,它们有着不同的合法源目的IP地址对集,显然,这种机制提高了攻击检测的准确率.
设SDIADs,SDIADd分别表示靠近攻击者端和受害者端的合法源目的IP地址数据库,在检测时,无论靠近攻击者端还是受害者端,我们的策略都会同时检测源和目的IP地址在SDIADs或SDIADd中的合法性,这极大地缩小了IP地址合法性的检测范围,对于HDDos和DRDos的检测同样也有效,提高了检测的准确率.