大流量分布式拒绝服务攻击的防御策略研究

发布时间:2009-10-19 10:15 作者:王冬琦郭剑峰常桂然来源:第二届中国信息安全博士论坛点击:加载中...次

（1. 东北大学信息学院，沈阳市 110004；2. 辽宁省信息安全与软件测评认证中心，沈阳市 110001； 3. 东北大学信息学院，沈阳市 110004）

摘要：大流量分布式拒绝服务攻击(High-rate Distributed Denial of Service Attack)是指导致网络流量激增，呈明显异常的“淹没受害者”式的DDoS，简称HDDoS。与其相对应的概念是低流量DDoS^[1]。通过建立、分析HDDoS的概念模型总结了其特点、分析了当前HDDoS防御策略的发展趋势。提出了一种基于离群数据挖掘算法的HDDoS防御策略ODM方法。实验证明，ODM方法解决了DDoS过滤中产生的间接伤害无法恢复的问题，是防御HDDoS的一种新思路。
关键词：网络安全；分布式拒绝服务攻击；离群数据挖掘；间接伤害

Research on high-rate distributed denial of services attack
Dongqi Wang1，Guo Jianfeng2，Chang Guiran3
(1. Collage of Information Science and Engineering , Northeastern University, Shenyang 110004;
2. Liaoning Information Technology Security Evaluation Centre, Shenyang 110001;
3. Collage of Information Science and Engineering , Northeastern University, Shenyang 110004)

Abstract：High rate distributed denial of service attack(HDDoS) refers to DDoS attack that whose traffic is huge, and lead to a great abnormity comparing to normal circumstance. It is a flood-style DDoS. This paper summarizes characteristics of HDDoS, analyzes trends of HDDoS defense strategy. Give out a outlier detection based HDDoS defense strategy, the ODM method. Experiments show that the ODM method figures out how to mitigate the indirect damage caused by DDoS filtering. The ODM method shows a new way to handle HDDoS.
Key words：network security; DDoS; outlier detection; collateral damage

0 引言
分布式拒绝服务攻击是一种大范围网络攻击。它与蠕虫、网络扫描活动等类似，发生在Internet大背景下，破坏效果也因为大范围、分布式的特点而巨大。可根据攻击流量大小将分布式拒绝服务攻击分为大流量DDoS（HDDoS）和低流量DDoS（LDDoS）。二者的共同点是都利用分布式网络环境将攻击流量从数个代理向受害服务汇聚。不同点是HDDoS攻击会引起通信量短期内急剧增加，呈明显异常，这导致受害服务崩溃或性能急剧下降；LDDoS不会产生通信量急剧增加，它降低受害服务性能，不让其丧失提供服务的能力，实现攻击的同时，减轻了攻击者的工作量，逃过了普通监控手段^[1]。防御HDDoS的研究有很多。检测研究主要有两个方向：寻找用于检测的属性集；利用检测属性识别攻击。属性选择方法有两类^[2]：Wrapper法用机器学习算法的性能评估属性集的优劣，如文献^[3]把神经网络的分类效果用作遗传算法的评价函数，确定次优属性集。Filter法把属性本身特点作为衡量标准判断属性优劣，如距离测度、相关性测度等。如文献^[4]把基于IP流特性的单边连接密度作为检测属性；文献^[5]用统计学方法分析、挑选抽样取得属性。识别攻击的研究旨在提高检测系统识别攻击的能力，一般集中在寻找好的技术，如人工神经网络、隐马尔科夫模型、支持向量机和数据挖掘^[6-9]等。对抗攻击研究大体包含四类：一、追查攻击源。典型方法IP traceback技术^[10-13]；二、在网络关键点上对异常流量限流^[14-16]。三、攻击过滤^[17,20]。四、改变网络拓扑结构，容忍或遏制DDoS，如使用负载均衡技术^[21]、虚拟专用网技术^[22]等。如何实现本领域知识的分享，更好地利用这些丰硕的研究成果是十分值得关注的课题。本文通过研究以往HDDoS防御机制，从本体角度出发建立HDDoS的概念化模型，总结了HDDoS防御研究所涉及的各个方面。提出一种基于离群数据挖掘的HDDoS防御策略,ODM方法，通过实验证明了该方法的有效性。

1 HDDoS防御策略分析
HDDoS研究涉及到许多复杂的技术问题，建立一个概念化的模型有助于理清清研究思路，实现领域内不同研究者之间的知识共享。本节在HDDoS本体的概念化模型基础上总结了HDDoS研究所涉及的各个方面。