基于流量分析与控制的DDoS攻击防御技术与体系研究

摘要

由于易于实施、危害严重且难于防御，拒绝服务攻击(Denial of Service，DoS)已成为目前互联网面临的最为严重的威胁之一，作为其分布式形式的分布式拒绝服务攻击(Distributed Denial of Service，DDoS)危害更大，因此已经成为互联网安全研究亟待解决的重点问题之一。　　 在对国内外当前的DDoS攻击的分类和DDoS防御技术研究现状综述的基础上，本文提出了根据DDoS攻击的特定网络流量特征，进行DDoS攻击检测的系列方法。本文主要针对DDoS洪泛攻击，并将其分为连接阻塞攻击和普通洪泛攻击。针对连接阻塞攻击流量存在周期性突发的特点，本文提出了以字节速率作为采样方法，通过频域分析，以功率谱密度作为统计手段，以低频功率和作为检测指标的检测方法，对连接阻塞攻击具较低的误差和可行的效率；利用普通洪泛攻击破坏服务器出入口双向流量的相关性的特点，本文提出了使用扩展的第一次连接密度作为采样指标，采用互相关函数作为相关性表征指标，通过模糊逻辑分类器学习和检测普通洪泛攻击的方法，具较低的误报率和漏报率；由于普通洪泛攻击中多个攻击源因采用相同或相似工具和参数发起攻击，因而产生的攻击流量具有相似性，流量内部相关性也要大于合法流量，本文的方法采用统计距离来衡量流量问相似性，采用哥洛夫复杂度计算流量的内部相关性，从而能更有效地区分单个攻击流和单个合法流，实现细粒度的攻击识别。　　 在DDoS攻击响应方面，本文提出了基于流量控制的DDoS攻击响应技术。由于连接阻塞攻击流量具有周期性突发，流量均衡将能有效降低其攻击效果，因此本文提出了多入口流量均衡的响应方法，将受害主机上游链路带宽在路由器多个入口链路之间分配，以极低的代价保证合法流量的合理的吞吐量；连接阻塞攻击中的周期性突发流量可以通过增大路由器缓存大小得到平滑，因此本文提出了在受害主机上游路由器处通过漏桶和包队列结合的方式，在不明显增加传输延时的情况下平滑攻击流量，实现对连接阻塞攻击的防御；在普通洪泛攻击方面，本文提出了以自治域为单位的基于多资源最大最小公平的分布式流量均衡机制，在该机制中，自治域边界路由器负责根据流量对受害机的资源的消耗，对流向受害机的流量进行限流，且周期性接收受害机的反馈信息以调整限流阈值，从而能够有效保护受害机的带宽和处理器资源。　　 在DDoS攻击预防方面，本文提出了基于自治域验证的动态权证机制，通过基于自治域的两级权证机制，降低了现有权证体系的开销；针对现有权证体系中大流量连接需要频繁申请资源，传输效率较低的问题，采用结合历史信息的权证资源动态分配机制，从而可以在满足安全性要求的前提下提高传输效率；针对现有权证体系无法有效预防连接阻塞攻击的问题，采用控制权证状态存活时间上限的流量验证机制，来抑制连接阻塞攻击产生的突发流量，实现对其的预防。实验表明该预防体系比原有权证体系具更低的传输开销并能有效防御更多DDoS攻击的变种。　　 最后，基于以上技术，本文提出了以自治域为单位的防御体系。自治域内各种元素能有效交互以检测和响应攻击，且自治域间积极交互提升防御效果，体系支持递增部署，实验证明其具有比当前最新体系更好的防御效果，并能适应更加恶劣的场景。　　 未来的研究方向包括：针对新一代DDoS攻击的检测技术，新颖的DDoS抑制手段，新的安全体系架构以及本文中的研究成果、思路和方法在其他大规模网络攻击中的应用。

目录

文摘

英文文摘

论文说明：图表目录

声明

致谢

第1章 绪论

1.1 研究背景

1.1.1 DDoS攻击简介

1.1.2 国内外研究现状

1.2 研究目标和意义

1.3 研究内容和创新点

1.3.1 研究内容

1.3.2 创新点

1.4 文章结构

第2章DDoS防御技术研究综述

2.1 基于流量分析的检测技术

2.1.1 基于单个包属性的检测

2.1.2 基于单个数据流属性的检测

2.1.3 基于聚集流量统计属性的检测

2.1.4 小结

2.2 基于流量控制的响应技术

2.2.1 过滤和限流

2.2.2 攻击抑制

2.2.3 攻击追溯

2.2.4 小结

2.3 基于流量规避的预防技术

2.3.1 非权证的预防技术

2.3.2 基于权证的预防技术

2.3.3 小结

第3章 基于流量统计分析的DDoS检测技术研究

3.1 利用流量频域特性的检测技术

3.1.1 连接阻塞攻击检测原理

3.1.2 基于功率谱密度的检测技术

3.1.3 基于功率谱密度的检测算法

3.1.4 算法验证

3.2 基于模糊逻辑的流量相关性分类检测技术

3.2.1 扩展的第一次连接密度采样原理

3.2.2 基于互相关函数的相关性分析技术

3.2.3 基于模糊分类器的DDoS攻击分类算法

3.2.4 算法验证

3.3 基于攻击流量间统计距离的检测技术

3.3.1 综合统计距离和哥洛夫复杂度的检测原理

3.3.2 基于统计距离和哥洛夫复杂度的检测技术

3.3.3 联合两类机制的检测算法

3.3.4 算法验证

3.4 小结

第4章 基于路由器流量控制的DDoS响应技术研究

4.1 基于入口流量均衡的连接阻塞攻击响应方法

4.1.1 基于入口流量均衡的响应原理

4.1.2 基于历史数据的流量均衡技术

4.1.3 基于入口流量均衡的响应算法

4.1.4 算法验证

4.2 基于出口流量缓存的连接阻塞攻击响应方法

4.2.1 连接阻塞攻击响应原理

4.2.2 基于出口流量缓存的响应技术

4.2.3 基于出口流量缓存的响应算法

4.2.4 算法验证

4.3 边界路由器反馈式的DDoS普通洪泛攻击限流技术

4.3.1 反馈式响应原理

4.3.2 基于多资源最大最小公平的响应技术

4.3.3 响应算法

4.3.4 算法验证

4.4 小结

第5章 基于自治域的预防DDoS的权证体系

5.1 基于自治域验证的动态权证体系

5.1.1 基于自治域的两级权证机制

5.1.2 面向大流量连接的权证资源动态分配机制

5.1.3 控制状态存活时间上限的流量验证机制

5.2 实验

5.2.1 实验一：正常流量的传输效率提升效果

5.2.2 实验二：连接阻塞攻击防御效果

5.3 小结

第6章 DDoS联合防御体系设计与验证

6.1 总体设计

6.1.1 假设和目标

6.1.2 DDoS联合防御体系结构设计

6.1.3 基于通用入侵检测体系的节点组件结构设计

6.2 关键性设计

6.2.1 攻击检测和响应

6.2.2 系统通信

6.2.3 安全问题

6.2.4 主要算法介绍

6.3 实验验证

6.3.1 普通洪泛攻击防御效果验证

6.3.2 连接阻塞攻击防御效果验证

6.4 小结

第7章 总结和展望

7.1 研究总结

7.2 研究展望

参考文献

攻博期间发表的学术论文、科研项目