基于流量分析與控制的DDoS攻擊防御技術與體系研究.pdf

1、由于易于實施、危害嚴重且難于防御，拒絕服務攻擊(Denial of Service，DoS)已成為目前互聯(lián)網(wǎng)面臨的最為嚴重的威脅之一，作為其分布式形式的分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)危害更大，因此已經(jīng)成為互聯(lián)網(wǎng)安全研究亟待解決的重點問題之一。
　　 在對國內(nèi)外當前的DDoS攻擊的分類和DDoS防御技術研究現(xiàn)狀綜述的基礎上，本文提出了根據(jù)DDoS攻擊的特定網(wǎng)絡流量特征，進

2、行DDoS攻擊檢測的系列方法。本文主要針對DDoS洪泛攻擊，并將其分為連接阻塞攻擊和普通洪泛攻擊。針對連接阻塞攻擊流量存在周期性突發(fā)的特點，本文提出了以字節(jié)速率作為采樣方法，通過頻域分析，以功率譜密度作為統(tǒng)計手段，以低頻功率和作為檢測指標的檢測方法，對連接阻塞攻擊具較低的誤差和可行的效率；利用普通洪泛攻擊破壞服務器出入口雙向流量的相關性的特點，本文提出了使用擴展的第一次連接密度作為采樣指標，采用互相關函數(shù)作為相關性表征指標，通過模糊邏輯

3、分類器學習和檢測普通洪泛攻擊的方法，具較低的誤報率和漏報率；由于普通洪泛攻擊中多個攻擊源因采用相同或相似工具和參數(shù)發(fā)起攻擊，因而產(chǎn)生的攻擊流量具有相似性，流量內(nèi)部相關性也要大于合法流量，本文的方法采用統(tǒng)計距離來衡量流量問相似性，采用哥洛夫復雜度計算流量的內(nèi)部相關性，從而能更有效地區(qū)分單個攻擊流和單個合法流，實現(xiàn)細粒度的攻擊識別。
　　 在DDoS攻擊響應方面，本文提出了基于流量控制的DDoS攻擊響應技術。由于連接阻塞攻擊流量具有

4、周期性突發(fā)，流量均衡將能有效降低其攻擊效果，因此本文提出了多入口流量均衡的響應方法，將受害主機上游鏈路帶寬在路由器多個入口鏈路之間分配，以極低的代價保證合法流量的合理的吞吐量；連接阻塞攻擊中的周期性突發(fā)流量可以通過增大路由器緩存大小得到平滑，因此本文提出了在受害主機上游路由器處通過漏桶和包隊列結合的方式，在不明顯增加傳輸延時的情況下平滑攻擊流量，實現(xiàn)對連接阻塞攻擊的防御；在普通洪泛攻擊方面，本文提出了以自治域為單位的基于多資源最大最小公

5、平的分布式流量均衡機制，在該機制中，自治域邊界路由器負責根據(jù)流量對受害機的資源的消耗，對流向受害機的流量進行限流，且周期性接收受害機的反饋信息以調(diào)整限流閾值，從而能夠有效保護受害機的帶寬和處理器資源。
　　 在DDoS攻擊預防方面，本文提出了基于自治域驗證的動態(tài)權證機制，通過基于自治域的兩級權證機制，降低了現(xiàn)有權證體系的開銷；針對現(xiàn)有權證體系中大流量連接需要頻繁申請資源，傳輸效率較低的問題，采用結合歷史信息的權證資源動態(tài)分配機制

6、，從而可以在滿足安全性要求的前提下提高傳輸效率；針對現(xiàn)有權證體系無法有效預防連接阻塞攻擊的問題，采用控制權證狀態(tài)存活時間上限的流量驗證機制，來抑制連接阻塞攻擊產(chǎn)生的突發(fā)流量，實現(xiàn)對其的預防。實驗表明該預防體系比原有權證體系具更低的傳輸開銷并能有效防御更多DDoS攻擊的變種。
　　 最后，基于以上技術，本文提出了以自治域為單位的防御體系。自治域內(nèi)各種元素能有效交互以檢測和響應攻擊，且自治域間積極交互提升防御效果，體系支持遞增部署，