發(fā)布時(shí)間:所屬分類(lèi):計(jì)算機(jī)職稱(chēng)論文瀏覽:1次
摘 要: 摘要:在流量統(tǒng)計(jì)的過(guò)程中,結(jié)合相應(yīng)的異常信息成分估計(jì)來(lái)實(shí)現(xiàn)相應(yīng)的攻擊檢測(cè),是該思路的主要特點(diǎn)。目前針對(duì)這一方法的研究尚處發(fā)展階段,丁森林[4]等使用信息熵對(duì)若干現(xiàn)實(shí)攻擊事件進(jìn)行了分析,其結(jié)果證實(shí)了信息熵能夠及時(shí)發(fā)現(xiàn)攻擊點(diǎn);張潔[5]等在信息熵檢測(cè)
摘要:在流量統(tǒng)計(jì)的過(guò)程中,結(jié)合相應(yīng)的異常信息成分估計(jì)來(lái)實(shí)現(xiàn)相應(yīng)的攻擊檢測(cè),是該思路的主要特點(diǎn)。目前針對(duì)這一方法的研究尚處發(fā)展階段,丁森林[4]等使用信息熵對(duì)若干現(xiàn)實(shí)攻擊事件進(jìn)行了分析,其結(jié)果證實(shí)了信息熵能夠及時(shí)發(fā)現(xiàn)攻擊點(diǎn);張潔[5]等在信息熵檢測(cè)方法基礎(chǔ)上進(jìn)一步提出了分級(jí)閾值的思路,并從一定程度上降低了DDoS攻擊檢測(cè)的誤報(bào)率。
本文結(jié)合DNS64分布式拒絕服務(wù)攻擊的具體攻擊場(chǎng)景,提出了一種基于熵估計(jì)的異常流量檢測(cè)技術(shù),該技術(shù)采用了統(tǒng)計(jì)閾值而非固定閾值的攻擊檢測(cè)方式,并結(jié)合DNS64協(xié)議特點(diǎn),有針對(duì)性地引入了相應(yīng)的攻擊特征分類(lèi)機(jī)制,以解決當(dāng)前基于固定閾值的熵估計(jì)攻擊檢測(cè)技術(shù)所普遍存在的誤報(bào)率較高的問(wèn)題。該文同時(shí)針對(duì)上述檢測(cè)思路進(jìn)行了實(shí)驗(yàn)驗(yàn)證。分析結(jié)果表明,上述技術(shù)能夠在較大提升DNS64分布式拒絕服務(wù)攻擊的檢測(cè)率的同時(shí),降低其檢測(cè)誤報(bào)率,從而具備良好的實(shí)際應(yīng)用價(jià)值。
1 DNS64技術(shù)與熵估計(jì)方法簡(jiǎn)介
1.1 DNS64并存過(guò)渡技術(shù)
DNS64[6]是一種IPv4-IPv6過(guò)渡技術(shù)。其一般用來(lái)與IPv6/IPv4轉(zhuǎn)換設(shè)備(如NAT64[7]設(shè)備等)協(xié)同工作,以保證IPv6-only主機(jī)可通過(guò)域名與IPv4-only的服務(wù)器建立通信。其中,NAT64通常用來(lái)實(shí)現(xiàn)TCP、UDP、ICMP協(xié)議下的IPv6與IPv4網(wǎng)絡(luò)地址和協(xié)議報(bào)文的轉(zhuǎn)換。而DNS64則主要是配合NAT64工作,用于在建立連接伊始,將DNSv4查詢(xún)信息中的A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中,繼而將合成后AAAA記錄用戶(hù)給IPv6側(cè)用戶(hù)。
DNS64與NAT64配合工作的協(xié)議流程如下圖所示。
在上述跨協(xié)議域的交互過(guò)程中,不難發(fā)現(xiàn),DNS64服務(wù)器極易成為分布式拒絕服務(wù)攻擊的重點(diǎn)目標(biāo)。這主要是因?yàn)椋紫龋捎谠摲⻊?wù)涉及到多次DNSv4、DNSv6請(qǐng)求的發(fā)起與組裝返回,而這一過(guò)程是有狀態(tài)的,如果針對(duì)該服務(wù)進(jìn)行DDoS攻擊的話(huà),勢(shì)必能夠以更高的效率耗盡DNS64服務(wù)的處理能力及其狀態(tài)保存相關(guān)的存儲(chǔ)資源;其次,對(duì)于背后的雙棧DNS服務(wù)器而言,遭受到DDoS攻擊的DNS64服務(wù)器恰好成為了一個(gè)放大攻擊流量的跳板,在遭受DDoS攻擊的場(chǎng)合下,其勢(shì)必也將導(dǎo)致背后的DNS服務(wù)也遭受到至少同等強(qiáng)度的拒絕服務(wù)攻擊。
由此不能看出,DNS64作為一種被廣泛應(yīng)用的64過(guò)渡機(jī)制,其在應(yīng)對(duì)DDoS攻擊方面實(shí)際上存在著顯著缺陷,其本身不僅容易受到攻擊,而且在受到攻擊的情況下,其還將連帶波及到其他關(guān)鍵服務(wù)網(wǎng)元。因此,及時(shí)檢測(cè)出針對(duì)DNS64服務(wù)器的攻擊并采取相應(yīng)的防護(hù)措施,對(duì)于保障其正常服務(wù)而言非常關(guān)鍵。
1.2 基于信息熵度量的攻擊檢測(cè)
信息熵的概念最先由信息論之父香農(nóng)于1948年提出,作為一個(gè)衡量事件信息含量的基本度量,其認(rèn)為所有的信息均不同程度的存在著冗余,而冗余的大小與信息中的符號(hào)出現(xiàn)概率相關(guān),而在剔除信息中冗余信息之后所剩余的平均信息量則被定義為“信息熵”。信息熵這一概念被廣泛地應(yīng)用于描述隨機(jī)事件出現(xiàn)的不確定性;如某系統(tǒng)中事件出現(xiàn)的越隨機(jī)、越雜亂無(wú)章,則其含有的信息量就越大,其熵值也應(yīng)越大。
假設(shè)存在某個(gè)隨機(jī)事件X,則其發(fā)生時(shí)所包含的信息量應(yīng)該是該事件發(fā)生時(shí)先驗(yàn)概率 P (X)的函數(shù),于是可將事件 X所包含的自信息量I(X)(單位bit)以如下形式定義:
信息熵一般具有非負(fù)性,即其通常為正數(shù);同時(shí),其還具有對(duì)稱(chēng)性,其值并不會(huì)因?yàn)槭录y(tǒng)計(jì)順序變化而發(fā)生改變;同時(shí)其還具有確定性,即當(dāng)某事件發(fā)生概率為1時(shí),則信息熵取值必定為0;除此之外,其還具有最大離散熵屬性,即當(dāng)系統(tǒng)中所有離散事件發(fā)生的概率相等時(shí),此時(shí)系統(tǒng)具有最大離散熵。
信息熵的上述性質(zhì),使得其非常適合用來(lái)作為分布式拒絕服務(wù)攻擊檢測(cè)的度量。其主要思路在于:為規(guī)避攻擊檢測(cè),目前DNS分布式拒絕服務(wù)攻擊大多通過(guò)采用大量的偽造源地址、針對(duì)大量不存在的域名發(fā)起DNS請(qǐng)求的方式來(lái)發(fā)起攻擊,因此將直接導(dǎo)致在一定時(shí)間窗口內(nèi)以不同源地址或不同請(qǐng)求域名作為隨機(jī)事件的熵度量的顯著增長(zhǎng),而這一熵度量則可作為判別分布式拒絕服務(wù)攻擊是否發(fā)生的一個(gè)直覺(jué)依據(jù)。
2 基于熵估計(jì)的DNS64分布式拒絕服務(wù)攻擊檢測(cè)
2.1 針對(duì)攻擊特征的信息熵計(jì)算
本文采用了一種基于等量數(shù)據(jù)包的統(tǒng)計(jì)方式來(lái)計(jì)算信息熵檢測(cè)值,其算法描述如下:
1) 不妨設(shè)N為當(dāng)前檢測(cè)量,即,針對(duì)每N個(gè)DNS查詢(xún)數(shù)據(jù)包進(jìn)行1次信息熵計(jì)算,這N個(gè)DNS查詢(xún)數(shù)據(jù)包被稱(chēng)為一個(gè)檢測(cè)周期;
2) 考慮到DNS DDoS攻擊方式的特點(diǎn),我們選取將DNS數(shù)據(jù)包中的源地址與其查詢(xún)域名的內(nèi)容作為數(shù)據(jù)包的特征并加以提取;
3) 當(dāng)采集的數(shù)據(jù)包數(shù)量累積達(dá)到N時(shí),觸發(fā)1次信息熵計(jì)算,其計(jì)算方法為:逐一針對(duì)特定的特征類(lèi)別,對(duì)當(dāng)前積累的N個(gè)數(shù)據(jù)包中的特征取值進(jìn)行歸類(lèi),并得到不同類(lèi)別的特征取值出現(xiàn)的累積個(gè)數(shù),然后計(jì)算出不同特征取值類(lèi)別出現(xiàn)的概率。
4) 基于各個(gè)特征取值出現(xiàn)的概率,計(jì)算出針對(duì)該特征的信息熵值,并將該熵值保存下來(lái)作為后繼檢測(cè)的基本依據(jù)。
通過(guò)上述計(jì)算方式,不難發(fā)現(xiàn),當(dāng)分布式拒絕服務(wù)攻擊發(fā)生時(shí),來(lái)自隨機(jī)源地址的DNS數(shù)量將急劇增長(zhǎng),而與其同時(shí),其DNS請(qǐng)求解析的隨機(jī)域名數(shù)量也將不斷增長(zhǎng),因此在這種場(chǎng)合之下,針對(duì)源地址與請(qǐng)求解析域名這兩個(gè)特征的信息熵值也將出現(xiàn)顯著的增長(zhǎng),而這一趨勢(shì)則可以作為判斷當(dāng)前是否存在DDoS攻擊的直覺(jué)判別依據(jù)。
2.2 基于擬合殘差的熵估計(jì)檢測(cè)
值得指出的是,盡管我們可以在利用2.1節(jié)算法的同時(shí),設(shè)定一個(gè)固定判決閾值,當(dāng)信息熵高于該閾值時(shí)表示檢測(cè)到攻擊,但這種方式存在著其固有的局限性:當(dāng)其閾值設(shè)置得過(guò)大時(shí),系統(tǒng)的檢測(cè)率將隨之變低,而當(dāng)其閾值設(shè)置得過(guò)小時(shí),則誤報(bào)率變高。
為解決這一問(wèn)題,該文提出了一種基于統(tǒng)計(jì)擬合的方法來(lái)動(dòng)態(tài)選取判決閾值。考慮連續(xù)統(tǒng)計(jì)M個(gè)檢測(cè)周期的場(chǎng)合,在每一周期中針對(duì)某一特定的特征我們均可獲得其所對(duì)應(yīng)的信息熵h。為描述方便起見(jiàn),以下我們暫時(shí)僅考慮單一特征的情況。
我們將M稱(chēng)為統(tǒng)計(jì)窗口,并且可針對(duì)該窗口下某特定特征的所有熵值進(jìn)行從小到大排序,根據(jù)排序的結(jié)果,將排列次序?yàn)閕的信息熵定義為hi。
針對(duì)熵值集合,可對(duì)其進(jìn)行線性擬合,擬合結(jié)果表述如下:
2.3 基于特征加權(quán)的熵估計(jì)檢測(cè)
在2.2中,我們僅考慮了單一特征統(tǒng)計(jì)的情況。事實(shí)上,在針對(duì)DNS64的實(shí)際DDoS攻擊場(chǎng)合下,其各攻擊特征的熵值變化趨勢(shì)并不是一致的,比如,如前文所述,針對(duì)其攻擊報(bào)文中源地址特征及請(qǐng)求域名的信息熵變化趨勢(shì)是遞增的,而針對(duì)其攻擊報(bào)文的DNS請(qǐng)求類(lèi)型這一特征的信息熵統(tǒng)計(jì)趨勢(shì)卻是遞減的,這主要是因?yàn)楣舴綖榱思哟髮?duì)DNS64服務(wù)器的負(fù)載壓力,反復(fù)向其發(fā)起同種類(lèi)型的DNS Query報(bào)文的緣故。這一觀察表明,與熵值異常程度ai類(lèi)似的,不同類(lèi)型特征的熵值變化趨勢(shì)對(duì)于DDoS攻擊評(píng)判也存在著相應(yīng)的影響。
為綜合考慮上述兩方面因素,不妨設(shè)DDoS攻擊特征集合為F={f1, f2, f3, …, fn},其中n為特征總量。對(duì)于第i個(gè)特征,可用Ii來(lái)表示其熵值是否顯著增加,當(dāng)其熵值顯著提升時(shí),Ii取值為1,否則為0;同時(shí)用Di來(lái)表示該特征的熵值是否顯著降低,其取值含義與Ii類(lèi)似。
我們同時(shí)定義權(quán)值ui表示當(dāng)特征i的熵值顯著提升時(shí)對(duì)DDoS攻擊判決的影響權(quán)重,并且定義表示當(dāng)特征i的熵值顯著提升時(shí),其對(duì)DDoS攻擊判定的權(quán)重為vi。則有所有特征的熵值變化對(duì)DDoS攻擊的評(píng)價(jià)度量V為:
3 實(shí)驗(yàn)與分析
為驗(yàn)證上述算法的有效性,該文采用了模擬DDoS攻擊的方式,將該算法與采用固定閾值判定的檢測(cè)算法效果進(jìn)行了對(duì)比。具體實(shí)驗(yàn)環(huán)境為x86平臺(tái)下的debian-sid Linux,整個(gè)驗(yàn)證實(shí)驗(yàn)采用了多臺(tái)計(jì)算機(jī)(Intel Dual-Core 2.0Ghz,512M,攻擊主機(jī)3臺(tái),DNS64服務(wù)器1臺(tái),普通服務(wù)器1臺(tái),終端機(jī)1臺(tái)),所有主機(jī)均以100Mbps全雙工互連。模擬DDoS攻擊的軟件采用DDOSIM[8]。
4 結(jié)論與下一步工作
本文針對(duì)DNS64分布式拒絕服務(wù)攻擊的具體場(chǎng)景,提出了一種基于信息熵估計(jì)的異常流量檢測(cè)技術(shù),該技術(shù)采用了統(tǒng)計(jì)閾值而非固定閾值的攻擊檢測(cè)方式,并結(jié)合DNS64協(xié)議特點(diǎn),針對(duì)性地引入了多攻擊特征加權(quán)判別機(jī)制。實(shí)驗(yàn)與分析結(jié)果表明,上述方法能夠針對(duì)漸增的DDoS攻擊行為給予及時(shí)響應(yīng),同時(shí)在保障DDoS攻擊檢測(cè)率的同時(shí),有效地降低其檢測(cè)誤報(bào)率,從而達(dá)到DNS64攻擊識(shí)別與服務(wù)防護(hù)的目的。
下一步工作主要包括:將其分析思路應(yīng)用在DNS64-NAT64協(xié)作場(chǎng)景之下,進(jìn)一步分析NAT64、NAT-PT等關(guān)鍵v4/6并存過(guò)渡機(jī)制所面臨的DDoS風(fēng)險(xiǎn);以更細(xì)粒度分析攻擊判決模型,探討其算法參數(shù)的自適應(yīng)優(yōu)化取值方法;嘗試采用統(tǒng)計(jì)學(xué)習(xí)方法改善信息熵攻擊判決效率,進(jìn)一步提升系統(tǒng)在正常訪問(wèn)流量下的容忍度。