大规模拒绝服务（DDoS）攻击的防御与清洗系统

李振兴 王萌 李光程 陈炫慧 卢文静

摘要：首先建立DDoS攻击特征的选择、表示、分析以及模型求解。然后，在此基础上研究基于敏感访问参数可变阈值约束的DDos攻击防御方法。最后，研究基于可变概率标记的DDoS攻击流量清洗技术。

关键词：DDoS；攻击特征；防御方法；流量清洗

中图分类号：TP309.5 文献标识号：A

Abstract： Firstly， the selection， representation， analysis and model solution of DDoS attack feature are established. Then， proceeding from this， the DDos attack defense method based on the variable threshold constraint of sensitive access parameters is provided. Finally， the DDoS attack traffic cleaning technique based on the variable probability mark is studied.

Keywords：DDOS； attack feature； defense method； traffic cleaning

1 研究现状

为了减少DDoS 攻击对网络带来的危害，国内外研究人员一直在开展相关研究，并研制推出了一系列的防御设备和方法。在国外，比较有代表性的有TrafficMaster，CaptIO G-2 和TopAppSwitch等3 500个产品。在国内，绿盟公司的Collapsar 产品采用了反向检测等新算法，可有效抵挡SYN Flood、UDP Flood 和Stream Flood 等攻击。该算法可通过辨识报文是否来自网络中的信任主机，判断是否丢弃；同时还会根据报文特定的“指纹”来判定报文的非法性[2]。为了尽量减少对正常网络流量的影响，产品将算法设定运行在网络协议栈的最底层[3]。同时，该类产品还实现了网络隐身技术，使用该技术主机在网络上相当于一个透明单元，攻击者将无法达成目标，因此安全性较好[4]。只是，现有的这些防护产品还不能完全的防御DDoS 攻击，防御技术还需要进一步的提升与改善。入侵防御系统（IPS）是最近提出的一种防范攻击的新技术，其中融合了目前主要的各种进展成果：IDS 技术，报文过滤和实时监测等。不过IPS 目前还处于研究阶段[5]，因此DDoS 防御工作仍是一个非常重要的网络安全难题。

本课题的新颖之处是解决了目前国内外对标记设备无法逐步部署的限制和攻击路径检测的时效性

问题，研究中提出基于遗传算法的DDoS攻击特征分析，较好地解决了这一问题；而且，还设计实现了基于CDN的异常流量攻击的攻击清洗技术这种方法，有效解决了传统的方法遇到组合爆炸或者必须全网部署才能运作的问题。

2 基于遗传算法的DDoS攻击特征分析

异常流量攻击检测的重点在于新攻击特征的分析，因此本课题主要进行如下问题研究，解决了异常流量攻击特征的选择、 异常流量攻击特征的表示、 异常流量攻击特征的分析和异常流量攻击特征的模型求解这4个关键技术问题。

设定 表示时间片 内出现的所有IP地址的集合， 表示时间片 结束时刻白名单中的所有IP地址的集合。那么， 就表示 内新出现IP地址的数量，显然 的大小与 大小相关。为此，选择 用于表示不同时间片 内新出现IP地址数量变化函数，即 表示时间片 内新IP地址占IP地址总数的比值，这样 的值就不会受到 大小的影响。

显然 （ ）是一个随机序列。正常状况下（包括高峰流量状况下） 是一个轻微抖动的序列，当发生分布式拒绝服务攻击时，由于出现大量新IP地址，会引起 剧烈抖动。具体如图1所示。

在m时刻 呈现上升趋势。因此，可以设定阈值N，当 大于N时，就可认为发生了DDoS攻击。

3 基于CDN的异常流量攻击的攻击清洗技术

解决异常流量攻击下网络的检测、响应、保护，是切实保证网络基础设施可用的最终目的。如果攻击生效后才发现，对网络的保护已失去意义。在异常流量攻击生效后，从被攻击网络边界网关出口处看，该网络对外已经失效，成为了因特网中的“网络孤岛”。攻击定位与保护的最大难点在于，对标记信息片段的重构模型设计。设计实施过程研究要点如下：

1） 计算要快。在攻击流量快速增长，攻击效果尚未突现时，准确定位攻击路径，临时切断最远处攻击源。如果运算复杂，缺等大流量攻击实施生效后才计算出结果，就将失去保护网络的最后机会。

2） 不会引起组合爆炸问题。一些PPM研究成果只适合单源异常流量攻击，就是因为多源时引起定位分片的组合爆炸问题。

3）攻击树图的恢复逐层展开。攻击树图的生成考虑可视化逐层展开，流量动态显示。传统方法需要确定全部路径后才能精确给出整张树图，必然是攻击完成后的补救显示了。

CDN技术就是在互联网范围内广泛设置多个节点作为代理缓存，并将用户的访问请求联传向最近的缓存节点， 以加快访问速度的一种技术手段。用户的访问请求是通过智能 DNS来实现的。对于资源和服务的访问请求是以域名的形式发出的. 传统的域名解析系统会将同一域名的解析请求转换成一个现实恒定的 IP地址，因此，整个互联网对于该域名的访问都会被导向同一个IP地址。 CDN节点在收到用户的请求时， 会在其存储的缓存内容中寻找用户请求的资源， 如果找到，就直接将资源响应给用户；如果在 CDN节点中找不到用户请求的资源，则CDN节点会作为代理服务器向源站请求该资源， 获取资源后将结果缓存并返回给用户。对于有大量静态资源的网站，使用 CDN进行代理缓存一般能够减少源站80%的访问流量。综上可知，在使用CDN技术之后，互联网上的用户可以通过智能 DNS利用 CDN的节点快速获取所需要的资源和服务， 同时由于CDN节点的缓存作用， 能在宽广范围内減轻源站的网络流量负载，因而更在相当程度上降低了高防服务器的压力，获得了满意的防御异常流量攻击的技术效果。在发生了异常流量攻击时，智能 DNS会将来自不同位置的攻击流量分敏到对应位置的CDN节点上，这使得CDN节点成为区域性的流量吸收中心，从而达到流量稀释的效果。 在流量被稀释到各个CDN 节点后，就可以在每个节点处进行流量清洗，只将正常的请求交付给高防服务器，从而达到防护源站的目的。

4 总结展望

课题通过对大规模攻击的流量特征分析，标记和检测、保护模型的建立，研制原理样

机分布式部署在真实网络环境下，通过 CDN 及时发现攻击并切断疑似攻击路径（或报告管理人员，人工协助切断路径），以保证正常网络业务的进行。流量与清洗系统的实施将进一步改善任务关键信息系统因为入侵而导致的服务能力降低，大大提高系统可用的弹性，增强其可用性和可靠性。下一步研究着眼于具有应用背景或前景的关键信息系统，结合典型分布式攻击，设计出更具实用性、适应性和扩展性和部分部署的标记与汇聚方案。

参考文献：

[1] 秦晓明，赵建功，姜建国. 一种DDoS防御系统模型的设计研究[J]. 计算机与数学工程， 2008， 36（1）： 67-68.

[2] SPECHT S M， LEE R B. Distributed denial of service：taxonomied of attacks，tools and countermeasures[C]// 2004 International Workshop on Security in Parallel and Distributed Systems. San Francisco， CA， USA：[s.n.]，2004： 543-550.

[3] CARL G， KESIDIS G， BROOKS R R， et a1.Denial-of-service attack detection technique[J].IEEE Internet Computing， 2006， 10（1）：82-89.

[4] 尚占锋，章登义. DDoS防御机制研究[J]. 计算机技术与发展， 2008， 18（1）： 7-10，36.

[5] 赵江岩. DDOS及防御DDOS攻击[J]. 商场现代化， 2008（17）： 396-397.