專利名稱:一種分布式DDoS攻擊流識(shí)別方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域����,具體涉及一種基于聚合樹結(jié)構(gòu)的分布式DDoS攻 擊流識(shí)別方法。
背景技術(shù):
DDoS攻擊通常采用幾百臺(tái)甚至幾千臺(tái)分布的主機(jī)并發(fā)地對(duì)單個(gè)或多個(gè)目標(biāo)進(jìn)行 攻擊���,消耗目標(biāo)主機(jī)或目標(biāo)網(wǎng)絡(luò)的資源�����,從而干擾或完全阻止為合法用戶提供服務(wù)。DDoS攻 擊因其發(fā)動(dòng)容易而追蹤困難的特點(diǎn),導(dǎo)致了 DDoS攻擊的廣泛發(fā)生�,成為目前網(wǎng)絡(luò)上的嚴(yán)重 威脅,其所造成的經(jīng)濟(jì)損失在各種網(wǎng)絡(luò)安全問題導(dǎo)致的損失中排第二位��,僅次于第一位的 計(jì)算機(jī)病毒�。對(duì)于目前環(huán)境下DDoS攻擊的防御,大致分為基于DDoS檢測的事前防御方法��,基 于緩解策略的事中防御方法��,基于DDoS追蹤的事后防御方法�����?;贒DoS檢測的事前防御通常基于網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征模型���,通過各種度量值 來檢測DDoS攻擊����?;诰徑獠呗缘氖轮蟹烙椒▌t通常基于各種安全手段來實(shí)施DDoS防 御����。防御手段一般包括路由器過濾�、設(shè)置IP廣播無效�、應(yīng)用安全補(bǔ)丁、關(guān)閉未使用的服務(wù)��、 進(jìn)行入侵檢測等����。這種防御方法是用手工的方式進(jìn)行,需要用戶有一定的安全意識(shí)和安全 防護(hù)經(jīng)驗(yàn)�,對(duì)于每年增加的大量互聯(lián)網(wǎng)新手來說,難以實(shí)施這種防御方法�。基于追蹤的防御方法���,是在攻擊發(fā)生時(shí)或攻擊發(fā)生后����,有效地重現(xiàn)攻擊路徑或定 位攻擊源���。DDoS攻擊者通常采用假冒的源IP地址而使追蹤變得十分困難���。為了能夠找出 攻擊源,威懾和懲罰惡意的DDoS攻擊者�,已經(jīng)提出了一系列的追蹤方法,包括日志的方法����、 ICMP方法、pushback方法����、centertrack方法、入口過濾方法��、輸入調(diào)試方法��、受控淹沒方 法����、包標(biāo)記方法等,但是各種方法都有其相應(yīng)的缺點(diǎn)���。日志的方法是在數(shù)據(jù)包的傳輸過程中��,路由器將數(shù)據(jù)包的信息記錄下來����。受害端 將提取出的攻擊包特征與路由器中的信息比較,一級(jí)級(jí)地恢復(fù)出攻擊包所經(jīng)過的路由器����, 最后找到攻擊源,但日志信息會(huì)占用路由器的系統(tǒng)資源�,并需要數(shù)據(jù)庫來支持日志信息的 集成和分析,路由器的負(fù)擔(dān)較重���。對(duì)此�����,A. C. Snoeren提出了一種基于摘要的IP追蹤方法�, 這一方法要求�����,所有的路由器都保存其轉(zhuǎn)發(fā)過的數(shù)據(jù)包的部分信息的摘要���,這個(gè)摘要包含 IP頭中不變的字段和數(shù)據(jù)載荷中的前8字節(jié)數(shù)據(jù)��。為了進(jìn)一步節(jié)省存儲(chǔ)空間�,采用了很高 空間效率的BloomFilter���,并把摘要以位圖的方式來存貯���,但由于路由器的存儲(chǔ)周期很短, 因此要求追蹤查詢必須在短周期內(nèi)進(jìn)行��,這在發(fā)生洪水攻擊時(shí)很難做到��。ICMP方法�����,最早提出的是Bellovin的一種I-Trace機(jī)制�,它的基本思想是路由 器以一定概率(l/20k)對(duì)經(jīng)過的包抽樣,產(chǎn)生ICMP消息��,消息內(nèi)容包括被采樣包的IP頭 部����、轉(zhuǎn)發(fā)包的上一節(jié)點(diǎn)、下一節(jié)點(diǎn)��、時(shí)間��、以及對(duì)此包的認(rèn)證信息���,然后將此ICMP包發(fā)向和 被采樣包同樣的目的地址�����。對(duì)于大量的攻擊包��,就會(huì)產(chǎn)生充分的IcMP采樣包�����,被攻擊的節(jié) 點(diǎn)根據(jù)這些采樣包就可以構(gòu)造出攻擊路徑�����。因?yàn)镮CMP消息發(fā)出的概率很小����,需要成千上 萬的消息才能還原攻擊路徑,對(duì)DDoS攻擊��,由于流量分散����,該方法近乎失效。針對(duì)DDoS反射攻擊的定位���,Barros對(duì)ICMP方法進(jìn)行了改進(jìn)�����,路由器在向目的主機(jī)發(fā)送ICMP消息的同 時(shí)也向源主機(jī)發(fā)送����。為了避免小概率采樣路由器可能在靠近攻擊源處產(chǎn)生不了足夠多的 的ICMP信息����,A. Mankin提出了目的驅(qū)動(dòng)的ICMP機(jī)制,在路由器的路由表和轉(zhuǎn)發(fā)表中引入 intension-bit����,為1表示在該表中的目標(biāo)網(wǎng)絡(luò)需要接收ICMP消息,減少了網(wǎng)絡(luò)流量負(fù)擔(dān)�, 但需要改變路由設(shè)施。ICMPCaddie消息技術(shù)使iCaddie消息始終追隨產(chǎn)生該消息的數(shù)據(jù) 包并沿途收集路由器的身份信息�,能較好地對(duì)付DDoS攻擊,但計(jì)算開銷成線性增加�。帶累 積路徑的ICMP技術(shù),讓路由器以一定的概率產(chǎn)生iTrace-CP消息�����,如果某個(gè)數(shù)據(jù)包和其 iTrace-CP消息都到達(dá)同一路由器,由該路由器產(chǎn)生新的iTrace-CP消息�,并附上自己的 IP,該技術(shù)計(jì)算����、存儲(chǔ)、網(wǎng)絡(luò)開銷都較iTrace小��,改進(jìn)后應(yīng)用于Ad-hoc網(wǎng)絡(luò)中��。Pushhck是一種基于路由器的主動(dòng)防御措施���。每個(gè)路由器加入檢測控制和優(yōu)先丟 包功能��,在不妨礙那些好包的情況下盡可能的發(fā)現(xiàn)壞包����,解決DDOS攻擊造成的擁塞問題����。 為了使路由器的資源都被合理的數(shù)據(jù)流使用,也需要通知上游路由器丟棄攻擊包�����,而這類 包需要路由器能夠準(zhǔn)確地進(jìn)行特征描述。這種方法的實(shí)施需要大范圍的路由器功能支持����。Centerback是一個(gè)覆蓋網(wǎng)絡(luò),通過物理鏈����、IP隧道或者第二層虛擬連接方式與邊 界路由器相連。此方案的優(yōu)點(diǎn)在于�����,它不僅能追蹤�,還能通過丟棄攻擊性數(shù)據(jù)包而起到防范 攻擊或減輕攻擊力度的作用���;另一方面��,路由器被攻破時(shí)會(huì)失去作用�����。如果攻擊者不僅控制 了用于攻擊的主機(jī)�����,而且控制了其邊界路由器�,則這些邊界路由器可以不將攻擊數(shù)據(jù)包路 由到追蹤網(wǎng)絡(luò),從而使得追蹤失效�����,因些��,除追蹤網(wǎng)絡(luò)外����,邊界路由器的安全是至關(guān)重要的, 而要保證所有的邊界路由器的安全是比較困難的����。入口過濾是在網(wǎng)絡(luò)的邊界路由器上,通過配置路由器����,對(duì)來自內(nèi)部的報(bào)文進(jìn)行檢 查,如果報(bào)文的源地址不合理�,則對(duì)其進(jìn)行過濾。入口過濾可以有效地抵制IP欺騙�,在源頭 過濾掉大部分DDoS攻擊報(bào)文��,同時(shí)也使追蹤攻擊報(bào)文的源頭更加容易�。但要求路由器能夠 區(qū)分正常和不正常的地址���,有足夠的時(shí)間去檢查每個(gè)數(shù)據(jù)包的源地址����,它的綜合效果取決 于該技術(shù)在網(wǎng)絡(luò)中路由器上的部署程度����,不幸的是,目前大多數(shù)的路由器都沒有采用這種 策略����。受控淹沒是一種基于鏈路測試的跟蹤方法,不需要對(duì)現(xiàn)有路由器的配置和功能作 任何改動(dòng)�����。利用預(yù)先生成的網(wǎng)絡(luò)拓?fù)?�,?duì)可能位于攻擊路徑上的路由器發(fā)送突發(fā)性流量��,觀 察對(duì)DDoS攻擊流的影響�。如果發(fā)現(xiàn)收到的攻擊數(shù)據(jù)流受到影響,則說明有攻擊數(shù)據(jù)流通過 了該連接���。利用已有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息�,可以從最接近受害機(jī)的路由器開始����,測試其上游 所有鏈路,找出是哪一條鏈路傳輸了攻擊的數(shù)據(jù)流�����,然后向更上一級(jí)路由器重復(fù)該過程���,直 到發(fā)現(xiàn)攻擊源��。這個(gè)方法除了必須在攻擊發(fā)生的同時(shí)進(jìn)行�,從而有很強(qiáng)的時(shí)間限制外�����,它本 身也構(gòu)成了拒絕服務(wù)攻擊���。當(dāng)有單個(gè)攻擊源時(shí)���,這種方法對(duì)于分布式的攻擊�,效果很差�����。包標(biāo)記方法是目前研究得最多的一種追蹤方法��。最早由Mvage等提出���,基本思想 是在路由器處以一定的概率向經(jīng)過的數(shù)據(jù)包中填充部分路徑信息�。當(dāng)受害端收到大量的攻 擊包時(shí)����,受害端收集數(shù)據(jù)包中的路徑信息,重構(gòu)出完整的�、攻擊數(shù)據(jù)包經(jīng)過的路徑。這種方 法不需要ISP之間的合作�����,具有較低的管理負(fù)擔(dān)�����、較少的負(fù)載�����、較好的安全性�。由于&wage 方案的諸多優(yōu)點(diǎn),使該方案自提出來以后一直備受追蹤領(lǐng)域的關(guān)注��。各國DDoS研究人員在 此基礎(chǔ)上進(jìn)行了大量的進(jìn)一步研究��。包括高級(jí)的認(rèn)證的標(biāo)記方案��,即時(shí)概率多邊IP標(biāo)記方 案�,Huffman編碼方案,基于自治系統(tǒng)編號(hào)的標(biāo)記方案�����,概率流水包標(biāo)記方案��,自適應(yīng)包標(biāo)記方案���,基于權(quán)重的包標(biāo)記方案�����,快速互聯(lián)網(wǎng)追蹤方案等���。這些防御方法大多部署在受害端���,因?yàn)樵诳拷芎Χ说木W(wǎng)絡(luò)節(jié)點(diǎn)上,攻擊數(shù)據(jù)流 量很大�,DDoS仍然可以通過阻塞防御系統(tǒng)之外的網(wǎng)絡(luò)甚至防御系統(tǒng)自身,所以受害端部署 不能實(shí)現(xiàn)對(duì)DDoS攻擊的有效防御和快速響應(yīng)�。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)現(xiàn)有DDoS防御技術(shù)的不足,提出一種基于聚合樹結(jié)構(gòu)的分 布式DDoS攻擊流識(shí)別方法�,實(shí)現(xiàn)了跨域DDoS攻擊的協(xié)同檢測。其目的是利用分布式網(wǎng)絡(luò)結(jié) 構(gòu)���,依靠網(wǎng)絡(luò)自治域中設(shè)立的聚合樹服務(wù)器之間的協(xié)作����,實(shí)現(xiàn)DDoS攻擊流的檢測和識(shí)別�����。在給出本發(fā)明技術(shù)方案之前���,先對(duì)以下基本概念進(jìn)行說明��。CUSUM檢測算法=CUSUM檢測算法是一種非確定模型的檢測方法�。其實(shí)質(zhì)是一種隨 機(jī)過程分析方法�,通過檢測網(wǎng)絡(luò)流量序列與期望值之間的差值序列進(jìn)行流量異常檢測。該 方法具有很多其它序列和非參數(shù)檢測算法的優(yōu)點(diǎn)����。同時(shí),算法計(jì)算量很小����,能夠完全滿足實(shí) 時(shí)檢測的要求。對(duì)于廣域改變點(diǎn)檢測問題���,CUSUM是接近最優(yōu)的檢測算法�。門限值Tm����,β 各自治域中源端主機(jī)、路由器發(fā)送報(bào)警包的閾值����。超過設(shè)定的閾 值,源端主機(jī)�、路由器向自治域中的聚合樹服務(wù)器發(fā)送報(bào)警包���,證實(shí)在源端主機(jī)和路由器端 檢測到攻擊流。帶權(quán)聚合樹聚合樹中的每條邊(i�,j)都有相應(yīng)的權(quán)值w(i,j)�����,w(i�����,j)的值為i 路由器所連接的到達(dá)目標(biāo)經(jīng)過路由器j的攻擊源數(shù)���,因?yàn)楣粼丛诒O(jiān)控窗口內(nèi)檢測到可疑 情況時(shí)即向所連接的路由器發(fā)送報(bào)警包���,因此路由器可根據(jù)所收到的此種報(bào)警包的數(shù)目確 定其所連接的攻擊源數(shù)。域內(nèi)聚合樹服務(wù)器在監(jiān)控窗口內(nèi)��,基于所收到的各路由器的報(bào)警 包���,構(gòu)造帶權(quán)聚合樹��。門限值Y 各自治域中聚合樹服務(wù)器判定DDoS攻擊流的閾值�。自治域聚合樹服務(wù) 器構(gòu)造全局帶權(quán)聚合域樹后,計(jì)算域樹的權(quán)值�,超過設(shè)定的閾值,判定本自治域遭受了 DDoS 攻擊��。本發(fā)明的目的是這樣實(shí)現(xiàn)的采用分布式的體系結(jié)構(gòu)���,如圖1所示。方法在每個(gè)自 治域中設(shè)立一個(gè)聚合樹服務(wù)器����,將檢測任務(wù)分布到源端主機(jī)、域內(nèi)路由器�、各域聚合樹服務(wù)
ο 首先,在一個(gè)監(jiān)控周期內(nèi)�����,源端主機(jī)利用⑶SUM算法�,基于到達(dá)目標(biāo)地址包數(shù)量的 變化進(jìn)行檢測,發(fā)現(xiàn)可疑情況即發(fā)送報(bào)警包到與之相連的路由器���;然后��,域內(nèi)路由器基于超 級(jí)流的變化檢測是否存在攻擊和是否傳播攻擊�,同時(shí),路由器以攻擊主機(jī)數(shù)作為該路由器 與上游路由器間對(duì)應(yīng)邊的權(quán)值��,基于收到的本地報(bào)警包數(shù)確定攻擊主機(jī)數(shù)��,在檢測到攻擊 后發(fā)送包含權(quán)值為主機(jī)數(shù)的報(bào)警包到本地域聚合樹服務(wù)器�。各域聚合樹服務(wù)器根據(jù)報(bào)警包 構(gòu)造帶權(quán)聚合樹子樹,計(jì)算子樹的權(quán)值����,并將權(quán)值連同域名發(fā)送到受害端所在域的聚合樹 服務(wù)器,受害端服務(wù)器構(gòu)造全局帶權(quán)聚合域樹��,構(gòu)造成功的三級(jí)聚合域樹如圖2所示�����,頂層 的受害端聚合域樹服務(wù)器計(jì)算全局帶權(quán)聚合域樹的權(quán)值����,即各域發(fā)送的子樹之和,超過門 限值����,則識(shí)別為發(fā)生了 DDoS攻擊�。本發(fā)明相對(duì)于現(xiàn)有技術(shù)具有以下有益效果本發(fā)明將DDoS攻擊流識(shí)別處理分布在各級(jí)主機(jī)���、路由器和聚合樹服務(wù)器���,可以極大的減輕DDoS攻擊受害端的處理和存儲(chǔ)開銷,并且在路由器端考慮了其所連的源端主機(jī) 的攻擊情況�,避免了少數(shù)路由器下發(fā)生的大量攻擊被漏檢的情況。
圖1為實(shí)現(xiàn)本發(fā)明所述方法的一種分布式DDoS攻擊流識(shí)別系統(tǒng)架構(gòu)示意圖���。圖2為實(shí)現(xiàn)本發(fā)明所述方法的一種聚合域樹結(jié)構(gòu)圖。圖3為本發(fā)明所述的一種分布式DDoS攻擊流識(shí)別方法的流程圖����。
具體實(shí)施例方式以下結(jié)合附圖3對(duì)本發(fā)明的實(shí)現(xiàn)進(jìn)一步說明,具體包含以下步驟(1)源端主機(jī)攻擊檢測�。源端主機(jī)利用⑶SUM算法,基于到達(dá)目標(biāo)地址包數(shù)量的變 化進(jìn)行檢測���,發(fā)現(xiàn)可疑情況即發(fā)送報(bào)警包到與之相連的路由器�。CUSUM算法將通過源端主機(jī)的數(shù)據(jù)包數(shù)與大小之乘積作為檢測指標(biāo)進(jìn)行檢測��,在 流量變化緩慢��、異常信息和攻擊特征不明顯的源端主機(jī)處進(jìn)行DDoS攻擊檢測。設(shè)xm,n代表 時(shí)間η內(nèi)到達(dá)目標(biāo)地址Dm的數(shù)據(jù)包數(shù)與大小之乘積�,MaxEx為網(wǎng)絡(luò)無攻擊情況下期望 的最大值,計(jì)算 ym,n = max(O, ymj^!+Xnijn-MaxEx), η = 1,2, · · ·���,m = 1,2, . . .�����,ym,n 與 ym,n 門 限值Tm比較����,如果ym,n> Tm���,則向路由器結(jié)點(diǎn)發(fā)送報(bào)警包.報(bào)警包為五元組〈源主機(jī)�����,目標(biāo)主機(jī)���,源端口,目標(biāo)端口���,協(xié)議類型〉(2)路由器端攻擊檢測����。采用CUSUM算法檢測路由器處超級(jí)流的變 化。將單位時(shí)間tm內(nèi)到達(dá)端口 i的包數(shù)x(tm)作為觀測序列���,包的平均數(shù)為 x(tm) = (1 - a)x(tm -1) + ax(tm) , s (tm)為單位時(shí)間tm內(nèi)進(jìn)入端口 i的包數(shù)相對(duì)于平均值的 偏離�,彳加)= max(0X加-l) + x(加加))���。當(dāng)s > β時(shí)����,β為路由器門限����,則認(rèn)為路由器 處存在可疑的DDoS攻擊����。(3)路由器端攻擊傳播的檢測。通過測量端口 i的流入流量iin的流偏離值與 端口 i的流出流量i��。ut的流偏離值的比值D來確定路由器端攻擊傳播情況���。設(shè)y(tm) 為單位時(shí)間tm內(nèi)離開端口 i的包數(shù)���,則單位時(shí)間tm內(nèi)離開端口 i的包數(shù)的平均數(shù)為 y(tm) = (1- a)y{tm -1) + ay(tm)���。設(shè)SD。ut (tm)為單位時(shí)間tm內(nèi)離開端口 i的包數(shù)相對(duì)于平均值的偏離���,SDout (tm) = max(0, SDout (tm-1) + y(tm) - y(tm))則偏離的比值可定義為D = SDout (tm)/SDin (tm)當(dāng)D > 1時(shí)���,當(dāng)前路由器傳播甚至放大攻擊到下游路由器。此時(shí)路由器向本地聚 合樹服務(wù)器發(fā)送報(bào)警包〈路由器ID���,流ID���,上游路由器ID,下游路由器ID��,路由器連接的攻擊源數(shù)〉(4)構(gòu)造帶權(quán)聚合樹子樹�����。路由器根據(jù)所收到的報(bào)警包的數(shù)目確定其所連接的攻 擊源數(shù)����。域內(nèi)聚合樹服務(wù)器在監(jiān)控窗口內(nèi)�,基于所收到的各路由器的報(bào)警包����,構(gòu)造帶權(quán)聚合 樹子樹。構(gòu)造帶權(quán)聚合樹子樹的具體方法為聚合樹服務(wù)器從DN_ID為O的結(jié)點(diǎn)開始�,該造的樹按層次存儲(chǔ)在CATjree (d)中,d為層次���。從CAT_ Tree (0)開始��,在報(bào)警包中查找所有DN_ID為0的結(jié)點(diǎn)�,并插入CAT_Tree (1)中����,對(duì)CAT_ Tree(I)中的每個(gè)結(jié)點(diǎn),依照上述方法��,將相應(yīng)結(jié)點(diǎn)存入CAT_Tree (2)中�����,依此類推�����,直到 CAT_Tree(d)為空����。最后輸出 CAT_Tree (η)。(5)全局聚合域樹的檢測���。各自治域聚合域服務(wù)器完成帶權(quán)聚合域子樹構(gòu)造后����,計(jì) 算各子樹的權(quán)值H��,發(fā)送報(bào)警包到受害端聚合域服務(wù)器�����,報(bào)警包為三元組〈本AS域號(hào)���,下游AS域號(hào)�,聚合樹子樹的權(quán)值>受害端聚合域服務(wù)器根據(jù)收到的報(bào)警包�,構(gòu)造全局帶權(quán)聚合域樹,即構(gòu)造以受害 端域?yàn)楦Y(jié)點(diǎn)�����,其他各域?yàn)樽咏Y(jié)點(diǎn),以域間連接為邊��,邊帶權(quán)值的樹����。構(gòu)造方法為從受害端 域出發(fā),將受害端域的各域加為其子結(jié)點(diǎn)����,再從該子結(jié)點(diǎn)出發(fā),將該子結(jié)點(diǎn)的所有域結(jié)點(diǎn)加 為該子結(jié)點(diǎn)的子結(jié)點(diǎn)�,依此類推,直到所有域結(jié)點(diǎn)處理完畢�。受害端構(gòu)造全局帶權(quán)聚合域樹 后,計(jì)算域樹各邊權(quán)值H之和�,當(dāng)H > γ時(shí),判定受害端遭受了 DDoS攻擊�。
權(quán)利要求
1. 一種分布式DDoS攻擊流識(shí)別方法,該方法由以下步驟組成(1)源端主機(jī)攻擊檢測源端主機(jī)利用⑶SUM算法�����,基于到達(dá)目標(biāo)地址包數(shù)量的變化進(jìn) 行檢測�,發(fā)現(xiàn)可疑情況即發(fā)送報(bào)警包到與之相連的路由器����;設(shè)xm,n代表時(shí)間η內(nèi)到達(dá)目標(biāo)地 址Dm的數(shù)據(jù)包數(shù)與大小之乘積����,MaxEx為網(wǎng)絡(luò)無攻擊情況下xm,η期望的最大值���,計(jì)算ym,n = max(O, ym,n-i+xm,n"MaxEx)�,η = 1,2, . . . , m = 1,2, ... , ym,n 與 ym,n 門限值 Tm 比較�,如果 ym, n> Tm,則向路由器結(jié)點(diǎn)發(fā)送報(bào)警包�����,報(bào)警包為五元組源主機(jī)��,目標(biāo)主機(jī)����,源端口,目標(biāo)端 口����,協(xié)議類型;(2)路由器端攻擊檢測采用CUSUM算法檢測路由器處超級(jí)流的變化.將單位時(shí)間內(nèi) 到達(dá)端口 i的包數(shù)作為觀測序列,s為單位時(shí)間內(nèi)進(jìn)入端口 i的包數(shù)相對(duì)于平均值的偏離�����; 當(dāng)s > β時(shí)���,β為路由器門限�����,則認(rèn)為路由器處存在可疑的DDoS攻擊��;(3)路由器端攻擊傳播的檢測通過測量端口的流入流量的流偏離值與端口的流出流 量的流偏離值的比值D來確定路由器端攻擊傳播情況�;當(dāng)D > 1時(shí)�����,當(dāng)前路由器傳播甚至放 大攻擊到下游路由器���;此時(shí)路由器向本地聚合樹服務(wù)器發(fā)送報(bào)警包路由器ID����,流ID���,上游 路由器ID�����,下游路由器ID���,路由器連接的攻擊源數(shù);(4)帶權(quán)聚合樹子樹的構(gòu)造路由器根據(jù)所收到的報(bào)警包的數(shù)目確定其所連接的攻擊 源數(shù)�;域內(nèi)聚合樹服務(wù)器在監(jiān)控窗口內(nèi),基于所收到的各路由器的報(bào)警包���,構(gòu)造帶權(quán)聚合樹 子樹構(gòu)造方法如下聚合樹服務(wù)器從DN_ID為O的結(jié)點(diǎn)開始����,該結(jié)將其作為聚合樹的根結(jié) 點(diǎn)�,構(gòu)造的樹按層次存儲(chǔ)在CAT_Tree(d)中,d為層次��;從CAT_Tree (0)開始�,在報(bào)警包中查 找所有DN_ID為O的結(jié)點(diǎn),并插入CAT_Tree (1)中��,對(duì)CAT_Tree⑴中的每個(gè)結(jié)點(diǎn)�,依照上述 方法�����,將相應(yīng)結(jié)點(diǎn)存入CATjree (2)中�����,依此類推����,直到CATjree (d)為空���;最后輸出CAT_ Tree (η)����。(5)全局帶權(quán)聚合域樹的檢測各自治域聚合樹服務(wù)器完成帶權(quán)聚合樹子樹構(gòu)造后��, 計(jì)算各子樹的權(quán)值H���,發(fā)送報(bào)警包到受害端聚合樹服務(wù)器�,報(bào)警包為三元組本AS域號(hào)��,下 游AS域號(hào)���,聚合樹子樹的權(quán)值����;受害端聚合樹服務(wù)器根據(jù)收到的報(bào)警包,構(gòu)造全局帶權(quán)聚 合域樹��,即構(gòu)造以受害端域?yàn)楦Y(jié)點(diǎn)�����,其他各域?yàn)樽咏Y(jié)點(diǎn)����,以域間連接為邊����,邊帶權(quán)值的樹; 受害端構(gòu)造全局帶權(quán)聚合域樹后���,計(jì)算域樹的權(quán)值�,即域樹各邊權(quán)值H之和����,當(dāng)H > γ時(shí)���, 判定受害端遭受了 DDoS攻擊。
全文摘要
本發(fā)明公開一種分布式DDoS攻擊流識(shí)別方法��,該方法采用分布式的三級(jí)體系結(jié)構(gòu)��,通過在每個(gè)自治域中設(shè)立一個(gè)聚合樹服務(wù)器���,將源端主機(jī)檢測到達(dá)目標(biāo)地址包數(shù)量的變化�,發(fā)現(xiàn)可疑情況即發(fā)送報(bào)警包到與之相連的路由器�,檢測是否存在攻擊和是否傳播攻擊,同時(shí)路由器基于收到的本地報(bào)警包數(shù)確定攻擊主機(jī)數(shù)�����,在檢測到攻擊后發(fā)送包含權(quán)值為主機(jī)數(shù)的報(bào)警包到本地域聚合樹服務(wù)器���;各域聚合樹服務(wù)器根據(jù)報(bào)警包構(gòu)造帶權(quán)聚合樹子樹��,受害端服務(wù)器構(gòu)造全局帶權(quán)聚合域樹���,根據(jù)設(shè)定的條件識(shí)別DDoS攻擊流。實(shí)驗(yàn)表明�,本方法可以極大的減輕DDoS攻擊受害端的處理和存儲(chǔ)開銷����,并且在路由器端考慮了其所連的源端主機(jī)的攻擊情況��,避免了少數(shù)路由器下發(fā)生的大量攻擊被漏檢的情況�。
文檔編號(hào)H04L29/08GK102123136SQ20101060580
公開日2011年7月13日 申請(qǐng)日期2010年12月26日 優(yōu)先權(quán)日2010年12月26日
發(fā)明者周再紅, 熊偉, 綦科, 謝冬青 申請(qǐng)人:廣州大學(xué)