在 這 些 模 型 分 析 中 , 協 定 位 元 元 組 統 計 分 析 方 法 是 一 種 比 較 簡 單 而 行 之 有 效 的 方 法 。 它 通 過 對 各 種 IP 網 路 協 定 、 協 定 位 元 元 組 的 流 量 參 數 以 及 它 們 之 間 的 比 例 參 數 進 行 概 率 分 析 以 實 現 網 路 狀 況 的 異 常 檢 測 。 在 網 路 正 常 時 , 這 些 參 數 會 根 據 其 所 服 從 的 分 佈 ( 例 如 對 於 網 路 邊 緣 分 佈 層 出 入 口 或 骨 幹 網 路 節 點 的 網 路 流 量 , 由 於 其 具 有 足 夠 多 的 封 包 分 組 數 量 , 根 據 中 心 極 限 定 理 , 其 網 路 流 量 均 值 會 服 從 或 接 近 正 態 分 佈 )顯 現 自 有 的 統 計 特 徵 , 而 攻 擊 流( 尤 其 是 DDoS)則 極 有 可 能 會 引 起 這 些 參 數 的 的 統 計 特 徵 發 生 異 常 變 化 , 通 過 檢 測 這 些 異 常 變 化 就 能 檢 測 到 攻 擊 的 發 生 。 通 過 觀 察 並 比 較 各 協 定 以 及 協 定 位 元 組 的 比 例 分 佈 來 觀 測 DDoS 攻 擊 是 否 存 在 及 其 一 些 攻 擊 特 性 。
而 在 檢 測 系 統 實 現 方 面 , 過 去 已 有 不 少 文 獻 嘗 試 利 用 協 定 位 元 組 統 計 分 析 對 DDoS 攻 擊 進 行 檢 測 並 取 得 一 定 效 果 。 一 些 做 法 如 [9]利 用 流 的 四 元 組 標 籤 ( 封 包 來 源 、 目 的 地 址 以 及 來 源 、 目 的 埠 號 ) 作 為 衡 量 標 準 來 進 行 檢 測 ; 另 外 一 些 文 獻 則 利 用 各 協 定 比 例 作 為 檢 測 參 數 , 如[10]中 以 五 元 組 參 數( UDP 協 定 比 例 、 ICMP 協 定 比 例 , 以 及 流 的 長 度、持 續 時 間、產 生 速 率 等 )作 為 特 徵 參 數 進 行 檢 測;還 有 如[11]、[12]、
[14]則 以 TCP 封 包 頭 協 定 的 某 些 位 元 組 作 為 參 數 進 行 檢 測 , 前 兩 者 分 別 通 過 簡 單 地 比 較 TCP 封 包 中 的 SYN 位 元 組 與 ACK、 FIN 位 元 組 的 數 量 大 小 來 判 定 是 否 出 現 SYN 洪 水 攻 擊 , 而 後 者 則 分 析 TCP 協 定 的 FLAG 位 元 元 組 中 各 個 標 誌 位 元 之 間 的 協 方 差,得 出 正 常 範 圍 以 及 受 到
18
DDoS 攻 擊 時 候 的 水 準,並 據 此 設 定 簡 單 的 閥 值 便 可 以 較 好 的 對 攻 擊 的 發 生 進 行 判 定 。
以 上 這 些 文 獻 均 取 得 了 一 定 程 度 的 成 果 , 但 由 於 它 們 的 監 察 參 數 或 者 只 是 針 對 流 標 籤 , 而 缺 乏 對 流 中 的 各 種 成 分 進 行 更 細 緻 的 分 類 檢 查 ; 或 者 只 是 針 對 個 別 TCP 位 元 組 ( FLAG 位 元 組 ), 僅 適 用 於 TCP 類 攻 擊 , 而 不 能 檢 測 前 面 介 紹 的 其 他 多 種 非 TCP 協 定 的 DDoS 攻 擊 , 故 此 實 際 中 應 該 同 時 對 其 他 一 些 應 用 廣 泛 的 協 定 如 IP、 UDP、 ICMP、
IGMP 及 其 協 定 位 元 組 均 作 出 分 析,才 能 有 效 防 範 多 種 類 型 以 及 混 合 型 的 攻 擊 。
對 此 , 文 獻 作 出 改 進 , 將 統 計 範 圍 擴 大 到 十 個 位 元 組 或 多 位 元 組 組 合 , 取 得 了 更 細 緻 和 精 確 的 檢 測 效 果 , 能 夠 檢 測 的 攻 擊 種 類 也 大 為 增 加 , 但 不 足 的 是 , 它 的 設 計 仍 然 未 能 對 更 多 的 位 元 組 做 出 全 面 的 分 析 以 更 好 的 反 映 網 路 狀 況 , 另 外 其 設 計 需 要 對 網 路 中 現 有 的 大 量 路 由 設 備 進 行 改 動 才 能 取 得 效 果 , 這 使 得 其 研 究 僅 限 於 實 驗 研 究 而 不 能 做 成 一 個 實 際 應 用 的 系 統 。
另 外 這 些 文 獻 中 當 發 現 有 可 疑 的 異 常 流 時 只 是 進 行 粗 細 微 性 處 理 , 即 僅 僅 簡 單 的 將 可 疑 資 料 分 組 或 可 疑 流 量 丟 棄 的 , 而 未 能 以 細 緻 的 分 級 限 制 措 施 來 處 理 , 從 而 導 致 在 系 統 誤 判 率 較 高 時 會 發 生 大 量 錯 誤 丟 棄 封 包 。
3.1
20
3.1.1 系 統 架 構 模 組
整 個 系 統 設 計 主 要 包 含 下 列 三 大 模 組
1.統 計 分 類 : 由 於 網 路 位 元 組 攜 帶 有 網 路 通 信 的 各 種 重 要 資 訊,對 它 們 進 行 統 計 分 析 有 助 於 深 入 瞭 解 網 路 的 運 行 狀 況 。 在 網 路 正 常 運 行 的 情 況 下 , 各 位 元 組 項 會 因 應 網 路 所 提 供 的 服 務 以 及 網 路 狀 況 而 各 自 出 現 特 定 統 計 特 徵 同 時 , 各 個 位 元 組 之 間 也 會 因 應 網 路 行 為 而 出 現 在 數 量 及 比 例 上 的 種 種 特 殊 聯 繫 。
2.異 常 檢 測 :一 旦 發 生 攻 擊 , 就 極 有 可 能 破 壞 這 些 固 有 的 特 徵 或 關 係 而 顯 現 異 常 。 本 模 組 針 對 這 種 特 點 , 對 各 項 統 計 資 料 進 行 異 常 性 分 析 , 並 得 出 其 異 常 程 度 指 數 , 當 有 異 常 情 況 顯 現 並 超 出 一 定 範 圍 時 可 以 將 異 常 程 度 指 數 最 高 的 位 元 組 編 號 記 錄 下 來 ( 本 設 計 中 對 異 常 指 數 最 高 的 四 個 位 元 組 項 進 行 記 錄 ),然 後 根 據 此 數 據 把 流 經 本 系 統 的 網 路 資 料 流 程 中 含 有 這 些 異 常 位 元 組 項 的 資 料 分 組 根 據 其 異 常 程 度 指 數 的 高 低 編 入 相 應 的 分 級 速 率 限 制 佇 列 進 行 流 量 控 制 , 從 而 抑 制 異 常 流 量 的 影 響 , 以 保 證 在 遭 受 攻 擊 時 仍 然 能 夠 維 持 網 路 的 正 常 運 行 。
3.流 量 控 制 :
流 量 控 制 應 用 於 正 常 流 量 時 , 就 是 對 正 常 流 量 按 照 需 求 進 行 資 料 流 程 分 類 並 引 導 到 不 同 的 控 制 佇 列 , 以 達 到 按 照 應 用 需 求 進 行 頻 寬 管 理 的 目 的 。 流 量 控 制 亦 可 以 應 用 於 異 常 流 量 的 控 制 , 這 時 則 根 據 預 定 的 策 略 對 檢 測 到 的 異 常 流 量 進 行 限 制 以 避 免 或 減 低 這 些 流 量 對 網 路 所 造 成 的 影 響 , 而 對 合 理 佔 用 的 則 給 予 較 高 QoS 的 佇 列 調 度 來 達 到 限 制 攻 擊 的 目 的 。
當 今 最 著 名 而 被 廣 泛 應 用 的 流 量 控 制 技 術 莫 過 於 TCP 協 定 中 採 用 的 滑 動 視 窗(Sliding Window);另 外,權 杖 桶 篩 檢(Token Bucket Filter,
TBF)流 量 控 制 也 是 一 種 較 常 用 的 流 量 控 制 技 術 。
21
圖 3-2 權 杖 桶 篩 檢
權 杖 桶 篩 檢 (Token Bucket Filter, TBF), 簡 稱 為 權 杖 桶 。 其 基 本 思 想 是 通 過 控 制 權 杖 流 入 流 出 權 杖 桶 來 調 控 網 路 中 流 經 的 封 包 ( 如 圖 3-2), 從 而 達 到 調 控 資 料 流 速 率 , 使 網 路 流 量 平 滑 , 避 免 過 大 的 突 發 流 量 , 以 達 防 禦 的 目 的 。
3.2 檢 測 演 算 法
本 系 統 的 異 常 檢 測 演 算 法 需 要 對 多 位 元 統 計 中 的 異 常 資 料 進 行 準 確 挖 掘 並 且 能 夠 對 異 常 程 度 進 行 恰 當 評 估 , 同 時 本 系 統 是 一 個 基 於 IXP2400 的 系 統 , 而 IXP2400 沒 有 除 法 指 令 , 不 支 援 浮 點 運 算 等 特 點 決 定 了 在 此 平 臺 上 不 適 合 進 行 一 些 高 等 的 或 過 於 繁 複 的 數 學 運 算 , 故 此 尋 找 一 種 能 線 上 實 現 而 且 能 有 效 進 行 檢 測 的 演 算 法 是 本 系 統 設 計 的 關 鍵 。
3σ 異 常 判 定 準 則 在 計 算 上 簡 捷 有 效 , 同 時 具 有 不 用 查 表 的 優 點 。 它 適 用 於 對 於 正 態 分 佈 的 統 計 資 料 進 行 異 常 檢 測 , 如 果 將 網 路 中 各 個 用 戶 的 各 個 流 量 資 料 看 作 獨 立 而 服 從 同 一 分 佈 的 序 列 , 則 根 據 獨 立 同 分 佈 中 心 極 限 定 理 , 在 數 量 足 夠 大 的 時 候 , 所 有 這 些 流 量 的 累 加 所 構
22
成 的 流 量 均 值 可 以 看 成 正 態 分 佈 或 近 似 正 態 分 佈 ( 對 於 骨 幹 網 或 分 佈 層 上 的 網 路 資 料 流 程 一 般 均 能 達 到 較 大 的 資 料 量 , 從 而 滿 足 中 心 極 限 定 理 條 件 )。 為 此 , 本 設 計 中 可 採 取 3σ 準 則 對 多 元 統 計 資 料 進 行 異 常 性 檢 測 。 但 鑒 於 在 IXP2400 中 運 行 該 演 算 法 仍 然 存 在 一 定 困 難 , 本 系 統 根 據 需 要 並 結 合 硬 體 條 件 , 在 保 留 了 原 準 則 演 算 法 特 點 的 基 礎 上 對 一 些 變 數 的 求 法 進 行 了 適 當 改 造 , 分 別 利 用 滑 動 標 準 差 以 及 滑 動 平 均 來 分 別 簡 化 原 演 算 法 求 標 準 差 和 平 均 數 的 計 算 , 這 樣 一 方 面 可 以 避 免 或 減 少 諸 如 開 平 方 等 不 適 合 在 IXP2400 上 實 現 的 計 算 , 另 一 方 面 也 可 以 避 免 儲 存 大 量 的 歷 史 統 計 資 料 , 以 節 省 儲 存 空 間 和 減 少 記 憶 體 通 路 時 間 , 提 高 效 率 。 由 此 得 到 的 新 的 演 算 法 如 下 :
設 自 統 計 開 始 第 n 個 統 計 間 隔 內 的 資 料 分 組 到 達 率 為 ARn, 而 自 統 計 開 始 的 前 n-1 個 統 計 間 隔 內 的 到 達 率 的 平 均 值 為 An - 1,則 可 以 計 算 n 個 統 計 間 隔 後 的 統 計 平 均 值 An:
An = (1- β )* An - 1 + β *ARn , 0≤β 1 ( 1) ≤
其 中, β 越 接 近 0 則 舊 有 統 計 平 均 值( 歷 史 狀 態 值 )的 權 重 越 大 , An 越 能 反 映 歷 史 狀 態 資 料 的 重 要 性,但 是 這 時 An 對 新 資 料 的 變 化 的 反 應 會 相 對 比 較 慢 ; 反 之 , β 越 接 近 1, 越 能 體 現 當 前 新 資 料 的 影 響 。 鑒 於 β一 般 設 為 較 接 近 0 的 值 以 便 更 能 體 現 歷 史 狀 態 值 的 重 要 性 , 同 時 考 慮 到 在 網 路 處 理 器 上 的 計 算 效 率 , 本 設 計 中 β取 為 1/4。
在 本 模 組 中 , 每 個 統 計 間 隔 設 為 1 秒 , 則 ARn的 獲 取 方 法 為 : 利 用 微 處 理 器 中 的 計 時 器 , 每 定 時 1 秒 讀 取 多 位 元 組 解 析 模 組 統 計 的 各 位 元 組 數 量 累 積 值 , 減 去 前 一 次 的 讀 取 值 , 即 可 得 到 本 統 計 間 隔 內 的 資 料 分 組 速 率 。
根 據 3σ 準 則 原 演 算 法,計 算 資 料 分 組 到 達 速 率 的 標 準 差 需 要 進 行 開 平 方 運 算 , 而 本 設 計 中 使 用 滑 動 標 準 差 來 求 得 。 首 先 計 算 ARn 相 對
於 上 一 個 統 計 平 均 值 An - 1 的 偏 離 變 化 ′
DIF 的 絕 對 值 : n
DIFn = | ′
DIF | = |ARn n - An - 1| (2)
23
接 著 使 用 偏 離 變 化 DIFn來 計 算 到 達 率 的 標 準 差σ 。
設 自 統 計 開 始 第 n 個 統 計 間 隔 內 的 資 料 分 組 到 達 率 偏 離 變 化 為 DIFn(單 位 : 資 料 分 組 個 數 /秒 ), 前 n-1 個 統 計 間 隔 內 的 到 達 率 的 滑 動 標 準 差 為σn−1, 則 可 以 計 算 n 個 統 計 間 隔 後 的 滑 動 標 準 差 值σn:
σn = (1- β ) * σn−1 + β * DIFn ( 3)
其 中 β 的 取 值 討 論 同 前;此 外,本 設 計 中 初 始 值 均 設 為 零,即 A0 = 0 以 及σ0= 0。
當 進 入 檢 測 階 段 後 , 將 求 取 各 位 元 組 的 異 常 程 度 指 數 。 設 封 包 含 某 一 位 元 組 項 k 的 第 n 個 統 計 間 隔 內 的 資 料 分 組 到 達 速 率 為 ARnk, 該
位 元 組 項 在 學 習 階 段 求 得 的 正 常 到 達 率 平 均 值 為 AK
, 則 令
DIFFnk = | ARnk -A | K ( 4)
則 當
k
DIFFn > 0 時 , 該 位 元 組 在 第 n 個 統 計 間 隔 的 異 常 程 度 為 :
ABLkn = σK DIFFnk
( 5)
其 中σ 為 在 學 習 階 段 求 得 的 位 元 組 k 的 標 準 差 的 正 常 參 考 值 ( 這K 裏 如 果σ = 0, 則 令K ABLkn= 0)。
如 果 ABLkn ≥ 3, 根 據 3σ 準 則 理 論 , 僅 有 小 於 千 分 之 三 的 概 率 會 出 現 這 種 情 況 , 即 表 明 該 位 元 元 組 第 n 個 統 計 間 隔 內 的 到 達 率 的 偏 離
24
程 度 超 出 正 常 範 圍 , 該 位 元 組 將 被 納 入 為 可 疑 位 元 組 進 行 規 管 。 如 果 這 種 偏 離 一 直 持 續 下 去 , 可 進 一 步 確 定 該 位 元 組 流 中 含 有 異 常 ( 攻 擊 流 ) 成 分 。
25 通 路 外 部 儲 存
異 常 程 度 指 數 運 算 器 異 常 指 數 排 序
1 . 異 常 性 檢 測 處 理 器 5 . 資 料 庫 控 制 處 理 器
2 . 濫 用 檢 測 3 . 均 值 / 標準差運 算 多 元 欄 位
累 積 資 料 庫
多 元 位 異 常 資 料 庫 多 元 字
段 正 常 參 數 庫
第 四 章 系 統 實 作
4.1 系 統 流 程
本 節 系 統 流 程 以 資 料 流 程 圖(Data Flow Chart)說 明,以 下 分 別 是 實 作 一:異 常 檢 測 的 流 程 和 實 作 二 :異 常 防 禦 的 流 程 。
4.1.1 實 作 一
異 常 檢 測 的 流 程
圖 4-1 統 計 異 常 檢 測 模 組 流 程 圖
26
1. 異 常 性 檢 測 處 理 器 : 對 封 包 的 統 計 資 料 中 的 每 一 個 位 元 組 項 求
1. 異 常 性 檢 測 處 理 器 : 對 封 包 的 統 計 資 料 中 的 每 一 個 位 元 組 項 求