论文部分内容阅读
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击是Internet面临的最严重安全威胁之一。与传统攻击手段相比,DDoS攻击具有隐蔽性强、强度大、攻击源分散、持续时间长等特点,尚缺乏切实有效的防御机制。目前,DDoS攻击的频繁程度与危害性逐年增加,网络安全形势日益严峻。因此,探索应对DDoS攻击的有效防御手段,具有重要的研究价值和广阔的应用前景。DDoS攻击的应对措施主要包含检测、响应、溯源与预防四类。其中,检测与响应是最基本的防御手段,也是当前研究的核心问题。本文在归纳总结现有工作的基础上,重点针对检测和响应两大基础问题展开研究,主要研究成果如下:1.提出一种多阶段的DDoS攻击早期检测方法。在靠近攻击源的位置对DDoS攻击进行早期检测,能够有效提高攻击预警能力。然而,攻击初期的流量具有明显的隐蔽性,可识别度低,这种情况下如何有效检测DDoS攻击是一个挑战性问题。论文首先建立DDoS攻击模型,分析攻击早期流量特征。在此基础上,融合多种基本流量属性,提出网络流量状态和联合偏离率两种复合流量属性,解决了单一属性可检测性差和多维属性计算复杂度高的矛盾。基于复合流量属性,提出一种多阶段的DDoS攻击早期检测方法MADOP,将检测过程分为网络流量状态预测、细粒度流量奇异点检测和可疑目的地址提取三个阶段,逐步精化DDoS攻击的时空特征。通过合理设置各阶段检测目标,MADOP有效提高早期检测效费比,优化利用资源。实验结果表明,MADOP对攻击流量比例小、异常不明显的DDoS攻击,具有较高的敏感度。攻击流量仅占总体流量5%时,MADOP就能准确检测异常并定位攻击发起时间,受害者识别的准确度达96%。MADOP对慢速拒绝服务攻击也有很好的检测效果。2.提出一种基于分布式概要数据结构的DDoS攻击检测方法。由于DDoS攻击源分散,检测这种攻击存在信息统计开销大和全局异常关联困难等问题。论文提出一种基于分布式概要数据结构的流量信息统计组织技术,该技术采用新型哈希函数BitHash,显式关联IP地址与哈希值,支持基于目的IP的流量统计和基于哈希值的反向地址重构,一方面避免保存数据流状态信息,减少计算和存储开销;另一方面通过概要数据的分布化计算、处理和存储,适应DDoS攻击源分散的特点,全面统计全局范围的流量特性。基于分布式概要数据结构,论文设计了DDoS攻击分布式检测方法FLOW,提出基于BitHash和PCA的局部异常检测机制,以及面向全局检测的异常消息传递与预处理算法、基于异常爆发期的决策算法和轻量级地址重构算法等核心技术。仿真结果表明,FLOW能够准确检测DDoS攻击,受害者识别结果能有效辅助过滤恶意流量。利用地址重构结果过滤报文,误报率不超过3%。理论分析显示,FLOW的整体性能开销优于现有方法,特别是存储开销方面,节省了近70%的空间。3.提出一种基于包标记的分布式DDoS攻击检测机制。现有分布式检测方法普遍通过融合控制平面的异常警报检测DDoS攻击,存在全局检测过分依赖局部检测结果、检测效果受限于局部检测准确度等问题。论文提出在数据平面进行DDoS协同检测的新思路,设计了基于包标记的分布式DDoS攻击检测机制VicSifter。VicSifter将攻击嫌疑流量抽象为检测视图,利用基于概要数据结构的流量筛子,逐跳剔除上游节点检测视图中的正常流量,最后在全局异常流量基础上判定攻击。针对检测视图的高效传递与精简问题,设计了基于包标记的检测视图传递机制和流量精简算法。针对攻击诊断和受害者识别问题,提出基于流量异常环模型和全局异常度的全局决策算法。实验结果表明,VicSifter能够有效检测DDoS攻击并识别受害者,同时具备节点负载小、可扩展性强等特点。通过流量精简,VicSifter迅速将嫌疑目的IP数量减小到原来的2%,3跳之内即可将检测视图精简到仅包含访问攻击受害者的流量。VicSifter采用带内传输方式,不会加剧网络拥塞状况。4.提出基于异常流量演化模式的非均衡速率限制机制。速率限制是DDoS攻击响应的主要技术之一。由于缺乏对聚合流的细粒度划分和对异常聚合流的有效判定,现有速率限制机制对正常流量的错误抑制问题突出。为此,论文提出基于异常流量演化模式的基本非均衡速率限制机制BaURL,根据流量传播的聚散特点判定聚合流的异常性,并依此将聚合流划分为不同优先级集合,施加不同程度的流量抑制,重点限制异常流的带宽分配,从而减少速率限制对正常流量的影响。结合BaURL和细粒度聚合流划分方法,提出基于BitHash的细粒度非均衡速率限制机制FiURL和基于协同的非均衡速率限制机制CoURL,实现对聚合流速率限制的精细化控制。最后,提出基于报文重定向的防御互助组机制,有效解决了基于聚合流的速率限制可能造成的正常用户饿死问题。实验结果表明,上述机制能够显著降低速率限制机制对正常流量的损害,通过调整参数FiURL能够将过滤掉的正常流量控制在10%以下,CoURL对聚合流的精细抑制可达到单个目的IP流的层次。