基于ICA算法的攻击源研究

摘要：近些年来，分布式拒绝攻击DDoS(Distributed Denial of Service)因其实施简单、破坏力及危害性巨大，已经成为目前网络安全中最大的威胁之一，如何有效的防范DDoS攻击、减少DDoS攻击带来的危害已成为当前的研究热点。本文重点分析了基于包标记算法的DDoS攻击源追踪技术，对于各种基于包标记算法的攻击源追踪技术进行了原理研究，并对其各自优缺点分别进行了分析与总结。根据各种基于包标记算法的攻击源追踪技术原理，给出了其算法流程。同时，通过模拟实验，对相关的基于流量模式匹配技术的攻击源追踪技术进行了对比与分析，验证了本文提出的算法的性能。

关键词：DDoS 包标记 流量模式 独立分量分析 攻击源追踪

中图分类号：TP393.省略”域名系统的攻击等都说明了现在的拒绝服务攻击已经不再单纯的针对公司、企业等的网站，而是开始向针对网络基础设施的方向转移。

因此，防范拒绝服务攻击的问题已日渐迫切，研究拒绝服务攻击及其对策，是个事关社会、经济和国家安全的日渐迫切的问题。

2、基于流量模式匹配的DDoS攻击源追踪技术研究

流量模式是指将IP数据包按照如下规则进行划分而得到的特征模式：

(1)按照时隙划分(Time slot-based)。得到数据包数目的时隙分布模式。

(2)按照数据包大小划分(Packet size-based)。

(3)动态编程划分(Dynamic Programming)。

根据DDoS原理可知，分布式拒绝服务DDoS攻击具有一定时期内，有超量数据包涌向受害者即目标主机。那么，监测位置的各个节点在监测到数据包数目的异常增长时，即刻从其他监测节点位置获得流量模式。获得的流量模式被作为时隙数据处理。

当追踪DDoS攻击源时，计算监测到的输出模式O与各个来自于其他监测节点的输入模式Ii(i=0,1,2,…,n)进行相似性比较。输入模式I中与输出模式O相关性超过阈值的输入模式所在的监测节点即被认定为攻击端。

截止目前主要有两种模式形状相似性检测算法：相关度算法和二次方程求解算法。

3、实验与结果分析

本实验中，我们采用多路DDoS攻击聚合的方式进行，并将结果与前述两种算法进行比较。实验环境如下说明：

(1)采用了21路聚合连接，其中20路为输入连接，1路为输出连接，如图1所示；

(2)实验在局域网环境下实现；

(3)对于所有的连接，分别对其按照间隔时间为Δt、持续1天的采集，本实验中Δt=10s；

(4)上述算法过程中获取样本模式长度需要选定的DDoS攻击持续时间T是随机设定的，此次试验中T=600s，这是根据文[43]中提及的DDoS攻击一般持续300s，并且考虑到多组攻击聚合情况下模式的变化的时间延迟而选定的，模式的产生如图2所示；

(5)对于实验中的网络流量模拟，所有的正常流量都认为流向与它邻近的连接，所有的DDoS攻击流量都认为直接流向了输出连接。在输出连接O出，将监测到所有攻击流量；

(6)对于多路攻击流量的聚合，以首先监测到攻击发生为参照，其他攻击在5分钟内聚合完毕。

实验按照如上说明进行，并对实验结果进行了作图与分析。

4、实验结果分析

经过对比实验，我们得到了图3关于追踪正确率的结果,追踪正确率按照下式计算得到：

在实验当中，聚合攻击连接数目在2到20之间变化，并进行了100次模拟实验，最终得到该平均结果。从追踪正确率对比图可以看出，基于独立分量分析的攻击源追踪算法在多路攻击聚合时表现最优，追踪正确率最高。并且从图中可以看出，随着聚合数目的增加，本文算法已经趋于平稳，而不像相关度算法与二次规划算法呈现线性递减的现象。可以看出，基于独立分量分析的攻击源追踪算法不易受到攻击源数目以及正常流量的影响，这是因为本文算法通过将模式进行分离的方法来判别DDoS攻击的关联。

同时，我们还得到追踪漏报率的对比图，如图4所示。从图中可以看出，本文算法在漏报率方面具有极高的优势，漏报率在3%以下。

总的来讲，本文算法在整体性能上要优于传统的两种算法，特别在追踪正确率以及漏报率方面，性能有明显优势。虽然在误报率方面相对稍高，但在可接受范围之内。因此，本文算法比传统算法具有更好的性能。

参考文献

[1] S.Savage, D.Wetherall, A.Karlin, and T.Anderson, Network Support for IP Traceback, IEEE/ACM Trans. Networking, vol.9, no.3, pp.226-237,Jun. 2001.

[2]D.Song and A.Perrig, Advanced and authenticated marking schemes for IP Traceback, Proc. IEEE Infocom 2001 Conf., Anchorage, Alaska USA, April 2001. University of California, Berkeley, Jun. 2000.

[3]H.Lee and K.Park, On the effectiveness of probabilistic packet marking for IP Traceback under denial of service attack, Proc. IEEE Inforcom 2001 Conf., Anchorage, Alaska USA, April 2000.

[4]S.M.Bellovin, ICMP Traceback Messages, InternetDraft, IETF, draftietf-itrace-02.txt(work in progress), Nov. 2002.

[5]A.C.Snoren, C.Partridge, L.A.Sanchez, C.E.Jones, F.Tchakountio, S.T.Kent, and W.T.Strayer, Hash-Based IP Traceback, Proc. of ACM SIGCOMM ’01, Aug. 2001.

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文