您的位置: 首页 >> 文章首页 >> 信息安全 >> 漏洞入侵检测 >>
站内搜索
分类列表
本类阅读排行
本类推荐文章
广告
防御DDoS攻击的实时监测模型
作者:    来源:    点击:    日期:2007-12-13 10:44:50   
  TFN2K[5]是一种基于TFN结构的DDoS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进行了加密[6]。真正攻击者和控制主程序之间的通信用基于密钥的CAST-256算法进行加密。控制者可以通过TCP,UDP,ICMP来发送攻击命令,可以用这三种中随机的一种,或者是把这三种全用上,则通过网络扫描就更难发现TFN2K攻击了。

  Stacheldraht[7]是基于TFN并去掉TFN工具中的一些缺点发展起来的。它结合了Trinoo(操作者/客户端结构)的特征,而这些特征是从TFN得出的。在代理端它也可以自动升级。Stacheldraht也提供了在攻击者和操作者的系统之间用对称加密技术进行安全的远程连接。新版本的Stacheldraht程序增加了很多新的特征和不同的数字签名。

  Mstream[8]工具通过改变TCP数据包的ACK标志来攻击目标。Mstream是一个简单的点对点TCP ACK洪水攻击工具。它通过TCP和UDP数据包来传输,通信过程是没有经过加密的,主攻击者通过远程登录到受害者的机器,而且访问操作是经过密码保护的。在其它的DDoS攻击工具中都没有这个特征。

  Sharft[9]是Trinoo的一个派生的工具。它用UDP在操作者和代理端之间进行通信。攻击者通过TCP远程连接来和操作者进行通信。Sharft攻击可以独立的运行,也可以联合UDP/TCP/ICMP洪水攻击中的一种发起攻击。数据包中的源IP地址和源端口号都被设置成随机的。在攻击中数据包的大小是固定。一个新的特征是在攻击中可以实时改变操作者的IP地址和端口,使检测工具很难检测出来。Shaft的另一个与众不同的特征是它可以实时改变控制的主服务器和端口,因此使的入侵检测工具就更难检测出来,更重要的是shaft提供了在洪水攻击中的统计特征。这个统计特征对攻击者来说是非常有用的,通过这些特征,攻击者可以查出受害者的系统何时彻底崩溃,以便于知道何时停止增加机器来进行DDoS攻击。

  在分析完上述有效的DDoS攻击的工具后,我们可以发现DDoS攻击具有如下的特征:

  ①数据包的源IP地址被设成随机的;

  ②数据包的源端口和目的端口被设成随机的;

  ③一些标志位(URG,ACK),片断,TCP属性,TTL和客户端的SEQ序列号由伪随机数生成器产生。

  DDoS攻击不需破解密码,也不要窃取系统资料,只要在网络上的任一角落都可以发动攻击。DDoS攻击由来自不同的源地址的数据包流组成,这类攻击控制Internet上合作的主机来耗尽目标机一些关键资源使得服务器合法用户的请求被拒绝。更重要的是,DDoS攻击流没有很明显的特征能够用来直接和大规模的检测和过滤。

  3、基于RBF-NN的实时监测DDoS攻击的模型

 

  3.1、模型概述

  实时监测模型包括三个模块:

  1)数据采集器

  因为TCP协议是应用最广泛的协议而且WWW是Internet上应用最广的服务。所以这个模型是针对TCP洪水攻击的,当然这种模型也可以用到UDP和ICMP协议中。

  TCP数据报格式如图2所示。

防御DDoS攻击的实时监测模型2

图2 TCP数据报格式

  数据采集器用sniffer嗅探器抓到每个数据包的如下字段:源端口号,客户端的SEQ序列号,窗口大小,和SYN,ACK,FIN,PSH,URG,RST六个标志位。同时把每个数据包的时间戳也记录下来以便把数据包分到重叠的时间帧中。不同的源端口和窗口大小的数目用来评估每一个时间帧。SEQ序列号是由客户端产生的32位的随机数作为TCP连接的认证。估算出不同的SEQ序列号需要很大的存储空间和计算能力。实验结果显示,尽管客户端的SEQ序列号不同,但是用高16位足够可以估算出SEQ序列号的特征。16位可以存储65535字节长的信息。

  每一时间帧的统计信息是来自下面六个标志出现时被设置的频率:SYN,ACK,FIN,PSH,URG,RST。实验显示,这些标志在DDoS攻击的出现时提供了重要的信息。

  需要强调的是尽管源IP地址提供了重要的信息,但在采集过程中没有用到,主要是基于以下几方面的原因:

  ①它需要很高的计算能力来存储每个地址;

  ②它不能够提供有关包长度的信息;

  ③IP源地址可能已经被更改,而被设置成随机的地址;

  由TCP/IP传输的数据包中的其它一些域例如Time- To-Live域,就没有包含关于DDoS攻击出现时的信息,所以也不记录。

  2)特征估计器

  用六个标志位出现的频率,源端口的地址,SEQ序列号和窗口大小来评估每个时间帧。六个标记的每个时间帧的统计特性是每个标记被设置的概率。用源端口,SEQ序列号和窗口大小的每个时间帧的数据包的总数来划分不同的值。

  3)DDoS检测器

  每个时间帧用9个特征向量来激活有两个输出的基于RBF的神经网络。最活跃的输出神经元检测出DDoS攻击的出现,或者判断出时间帧是常规的流量。研究显示,少量的隐单元用来检测DDoS攻击就能够获得很高的检测效率。评价RBF-NN区分是DDoS攻击流量还是常规的数据流的分类的能力,用一个仅包含三个特征的输入向量来实现。

首页 上一页 [1] [2] [3]  下一页 尾页 
防御DDoS攻击的实时监测模型 评论