拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)已經成為網絡安全最大的威脅之一，如何防御DDoS攻擊是當前人們關注的熱點。然而目前的防御機制幾乎沒有實現DDoS攻擊的實時監(jiān)測。闡述了一種基于徑向基函數的神經網絡的實時監(jiān)測模型，能夠實時監(jiān)測出DDoS攻擊，不用增加網絡流量，而且可以監(jiān)測出目前所存在的所有類型的DDoS攻擊。

　　1、前言

　　隨著Internet的應用越來越廣泛，隨之而來的網絡安全問題成了Internet發(fā)展的主要障礙，特別是分布式拒絕服務攻擊對因特網構成了巨大的威脅。目前，由于黑客采用DDoS攻擊成功地攻擊了幾個著名的網站，如雅虎、微軟以及SCO，mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等國外知名網站，致使網絡服務中斷了數小時，造成的經濟損失達數百萬美元。DDoS攻擊由于破壞性大，而且難于防御，因此它已經引起了全世界的廣泛關注。闡述的DDoS實時監(jiān)測模型，能夠快速監(jiān)測出主機或服務器是否在遭受DDoS攻擊，如果監(jiān)測出突然增加的數據流是攻擊流的話，能夠快速給網絡管理員發(fā)出警報，采取措施從而減輕DDoS攻擊所帶來的危害。

　　2、DoS攻擊原理

　　2.1、DoS攻擊概念與原理

　　WWW安全FAQ[1]給DoS攻擊下的定義為：有計劃的破壞一臺計算機或者網絡，使得其不能夠提供正常服務的攻擊。DoS攻擊發(fā)生在訪問一臺計算機時，或者網絡資源被有意的封鎖或者降級時。這類攻擊不需要直接或者永久的破壞數據，但是它們故意破壞資源的可用性。最普通的DoS攻擊的目標是計算機網絡帶寬或者是網絡的連通性。帶寬攻擊是用很大的流量來淹沒可用的網絡資源，從而合法用戶的請求得不到響應，導致可用性下降。網絡連通性攻擊是用大量的連接請求來耗盡計算機可用的操作系統(tǒng)資源，導致計算機不能夠再處理正常的用戶請求。

　　2.2、DDoS攻擊的概念與原理

　　WWW安全FAQ[1]給DDoS攻擊下的定義是：DDoS攻擊是用很多計算機發(fā)起協(xié)作性的DOS攻擊來攻擊一個或者多個目標。用客戶端/服務器模式，DDoS攻擊的攻擊者能夠獲得很好的效果，遠比用多個單一的DOS攻擊合起來的效果要好的多。它們利用很多有漏洞的計算機作為攻擊平臺和幫兇來進行攻擊。DDoS攻擊是最先進的DOS攻擊形式，它區(qū)別于其它攻擊形式是它可以在Internet進行分布式的配置，從而加強了攻擊的能力給網絡以致命的打擊。DDoS攻擊從來不試圖去破壞受害者的系統(tǒng)，因此使得常規(guī)的安全防御機制對它來說是無效。DDoS攻擊的主要目的是對受害者的機器產生破壞，從而影響合法用戶的請求。

　　DDoS攻擊原理如圖1所示。

圖1 DDoS攻擊原理圖

　　從圖1可以看出，一個比較完善的DDoS攻擊體系包括以下四種角色：

　　(1)攻擊者：指黑客所用的機器，也叫做攻擊主控臺。它控制著整個攻擊過程，向主控端發(fā)送攻擊命令。

　　(2)主控端：是攻擊者非法侵入并控制的一些機器，這些主機則控制大量的代理攻擊主機。并在這些主控端上面安裝特定的程序，以便使它可以接受攻擊者發(fā)來的特殊命令，并且能夠把這些命令發(fā)送到代理攻擊端主機上。

　　(3)代理攻擊端：同樣也是攻擊者侵入并控制的一批主機，其上面運行攻擊程序，接受和運行主控端發(fā)來的命令。代理攻擊端主機是攻擊的執(zhí)行者，真正的向受害者主機發(fā)送攻擊。

　　(4)受害者：被攻擊的目標主機或者服務器。

　　為了發(fā)起DDoS攻擊，攻擊者首先在互聯網上掃描出有漏洞的主機，然后進入系統(tǒng)后在并在上面安裝后門程序。接著在攻擊者入侵的主機上安裝攻擊程序，其中的一部份主機充當攻擊的主控端，另一部份則充當攻擊的代理攻擊端。最后各部分主機在攻擊者操作下對攻擊目標發(fā)起攻擊。因為攻擊者在幕后操縱，所以在攻擊時攻擊者不會受到監(jiān)控系統(tǒng)的跟蹤，攻擊者的身份更不易被發(fā)現。

　　2.3、DDoS攻擊的工具

　　Trinoo[2]是第一個分布很廣的DDoS攻擊工具而且應用也很廣泛。Trinoo[3]是一個消耗帶寬的攻擊工具，用一個或者多個IP地址來發(fā)起協(xié)作性的UDP洪水攻擊。攻擊用同樣大小的UDP數據包，攻擊的目標是受害機器上的隨機端口。早期版本的Trinoo支持源IP地址欺騙。典型的是，Trinoo代理安裝在能夠使得遠端的緩沖區(qū)溢出的系統(tǒng)上。軟件中的這個漏洞允許攻擊者用受害者系統(tǒng)的二級緩存來進行遠端編輯和安轉運行代理。操作者用UDP或者TCP來和代理端進行通信，因此入侵檢測系統(tǒng)只能通過對UDP流量進行嗅探才能夠發(fā)現它們。這個通道能夠加密而且密碼也可以受到保護。然而當前的密碼不是以加密的方式傳送，因此它可以被嗅探，或者被檢測出來。現在的Trinoo工具沒有提供源IP地址欺騙，因此它的攻擊能力可以進一步擴展。

　　Tribe Flood Network (TFN)[4]也是一種DDoS攻擊工具，它提供給攻擊者可以同時發(fā)起損耗帶寬和損耗資源的攻擊。它使用命令行界面在攻擊者和控制主程序之間進行通信，但是在代理端和主控端間或者在主控端和攻擊者之間提供的通信是沒有加密的。TFN發(fā)起協(xié)作性的拒絕服務攻擊，是非常難于計算出來因為它能產生多種類型的攻擊，能產生欺騙的源IP地址的數據包而且能夠使目標端口隨機化。它能夠欺騙一位或者是32位的源IP地址，或者是后8位。TFN發(fā)起的一些數據包攻擊包括：smurf，UDP洪水攻擊，TCP SYN洪水，ICMP 回復請求洪水攻擊和ICMP定向廣播。

　　TFN2K[5]是一種基于TFN結構的DDoS攻擊工具。TFN2K攻擊增加了對構成攻擊的所有組成部分之間的通信消息進行了加密[6]。真正攻擊者和控制主程序之間的通信用基于密鑰的CAST-256算法進行加密。控制者可以通過TCP，UDP，ICMP來發(fā)送攻擊命令，可以用這三種中隨機的一種，或者是把這三種全用上，則通過網絡掃描就更難發(fā)現TFN2K攻擊了。

　　Stacheldraht[7]是基于TFN并去掉TFN工具中的一些缺點發(fā)展起來的。它結合了Trinoo(操作者/客戶端結構)的特征，而這些特征是從TFN得出的。在代理端它也可以自動升級。Stacheldraht也提供了在攻擊者和操作者的系統(tǒng)之間用對稱加密技術進行安全的遠程連接。新版本的Stacheldraht程序增加了很多新的特征和不同的數字簽名。

　　Mstream[8]工具通過改變TCP數據包的ACK標志來攻擊目標。Mstream是一個簡單的點對點TCP ACK洪水攻擊工具。它通過TCP和UDP數據包來傳輸，通信過程是沒有經過加密的，主攻擊者通過遠程登錄到受害者的機器，而且訪問操作是經過密碼保護的。在其它的DDoS攻擊工具中都沒有這個特征。

　　Sharft[9]是Trinoo的一個派生的工具。它用UDP在操作者和代理端之間進行通信。攻擊者通過TCP遠程連接來和操作者進行通信。Sharft攻擊可以獨立的運行，也可以聯合UDP/TCP/ICMP洪水攻擊中的一種發(fā)起攻擊。數據包中的源IP地址和源端口號都被設置成隨機的。在攻擊中數據包的大小是固定。一個新的特征是在攻擊中可以實時改變操作者的IP地址和端口，使檢測工具很難檢測出來。Shaft的另一個與眾不同的特征是它可以實時改變控制的主服務器和端口，因此使的入侵檢測工具就更難檢測出來，更重要的是shaft提供了在洪水攻擊中的統(tǒng)計特征。這個統(tǒng)計特征對攻擊者來說是非常有用的，通過這些特征，攻擊者可以查出受害者的系統(tǒng)何時徹底崩潰，以便于知道何時停止增加機器來進行DDoS攻擊。

　　在分析完上述有效的DDoS攻擊的工具后，我們可以發(fā)現DDoS攻擊具有如下的特征：

　�、贁祿�包的源IP地址被設成隨機的;

　�、跀祿�包的源端口和目的端口被設成隨機的;

　�、垡恍�標志位(URG，ACK)，片斷，TCP屬性，TTL和客戶端的SEQ序列號由偽隨機數生成器產生。

　　DDoS攻擊不需破解密碼，也不要竊取系統(tǒng)資料，只要在網絡上的任一角落都可以發(fā)動攻擊。DDoS攻擊由來自不同的源地址的數據包流組成，這類攻擊控制Internet上合作的主機來耗盡目標機一些關鍵資源使得服務器合法用戶的請求被拒絕。更重要的是，DDoS攻擊流沒有很明顯的特征能夠用來直接和大規(guī)模的檢測和過濾。

　　3、基于RBF-NN的實時監(jiān)測DDoS攻擊的模型

　　3.1、模型概述

　　實時監(jiān)測模型包括三個模塊：

　　1)數據采集器

　　因為TCP協(xié)議是應用最廣泛的協(xié)議而且WWW是Internet上應用最廣的服務。所以這個模型是針對TCP洪水攻擊的，當然這種模型也可以用到UDP和ICMP協(xié)議中。

　　TCP數據報格式如圖2所示。

圖2 TCP數據報格式

　　數據采集器用sniffer嗅探器抓到每個數據包的如下字段：源端口號，客戶端的SEQ序列號，窗口大小，和SYN，ACK，FIN，PSH，URG，RST六個標志位。同時把每個數據包的時間戳也記錄下來以便把數據包分到重疊的時間幀中。不同的源端口和窗口大小的數目用來評估每一個時間幀。SEQ序列號是由客戶端產生的32位的隨機數作為TCP連接的認證。估算出不同的SEQ序列號需要很大的存儲空間和計算能力。實驗結果顯示，盡管客戶端的SEQ序列號不同，但是用高16位足夠可以估算出SEQ序列號的特征。16位可以存儲65535字節(jié)長的信息。

　　每一時間幀的統(tǒng)計信息是來自下面六個標志出現時被設置的頻率：SYN，ACK，FIN，PSH，URG，RST。實驗顯示，這些標志在DDoS攻擊的出現時提供了重要的信息。

　　需要強調的是盡管源IP地址提供了重要的信息，但在采集過程中沒有用到，主要是基于以下幾方面的原因：

　�、偎�需要很高的計算能力來存儲每個地址;

　�、谒�不能夠提供有關包長度的信息;

　�、跧P源地址可能已經被更改，而被設置成隨機的地址;

　　由TCP/IP傳輸的數據包中的其它一些域例如Time- To-Live域，就沒有包含關于DDoS攻擊出現時的信息，所以也不記錄。

　　2)特征估計器

　　用六個標志位出現的頻率，源端口的地址，SEQ序列號和窗口大小來評估每個時間幀。六個標記的每個時間幀的統(tǒng)計特性是每個標記被設置的概率。用源端口，SEQ序列號和窗口大小的每個時間幀的數據包的總數來劃分不同的值。

　　3)DDoS檢測器

　　每個時間幀用9個特征向量來激活有兩個輸出的基于RBF的神經網絡。最活躍的輸出神經元檢測出DDoS攻擊的出現，或者判斷出時間幀是常規(guī)的流量。研究顯示，少量的隱單元用來檢測DDoS攻擊就能夠獲得很高的檢測效率。評價RBF-NN區(qū)分是DDoS攻擊流量還是常規(guī)的數據流的分類的能力，用一個僅包含三個特征的輸入向量來實現。

　　3.2、RBF?NN的學習過程

　　收集來的數據用來產生兩個不同學習場景。在第一個場景中，DDoS監(jiān)測器用常規(guī)的WWW和純粹的DDoS攻擊流量來學習。在第二個場景中把純粹的DDoS流量換成正在發(fā)起DDoS攻擊時，正在提供正常服務的服務器時的混合的數據流。在這兩個學習場景中，分別用單一種類的數據流和混合的數據流用來估計RBF-NN的效率。

　　混合的高斯函數用來作為RBF的非線性函數。高斯函數的閥值和變量用K-means聚族算法來獲得。K-means初始中心的選取將會嚴重影響學習過程的質量。選擇好的初始中心對不同的網絡拓撲都能夠獲得很好的分類效率。因此，用不同的初始值和K-means算法可以得到多個局部的K-means中心。在從多個局部的K-means中心中選取出最適當的一個中心作為最終K-means中心，以便使分類錯誤率達到最小。

　　在重新估計K-means中心的過程中，K-means算法中一些標記的變量為0(例如，RST，URG標志)或者非常接近于零，這樣就會造成局部最小化問題.為了解決這個問題，我們可以從具體的實驗中獲得一個小的數值，作為估計變量的值，這樣將會得到很好的分類速率。

　　3.3、特征集的描述

　　用兩個不同的特征集來評價RBF-NN監(jiān)測DDoS攻擊的效率，這兩個特征集是由建立輸入向量的特征的數目來決定的。在很多情況下用最初的9個統(tǒng)計特征就能夠進行正確分類，而且正確率超過98%。進一步的研究，發(fā)現到許多輸入向量的域，例如Time-To?Live，窗口大小和一些標記沒有包含很多可以用來監(jiān)測DDoS攻擊的信息。這就預示好的系統(tǒng)可以減少輸入向量，所以我們設計的這個監(jiān)測模型可以把輸入向量集減少到3個，即只運用源端口，SEQ序列號，SYN標志作為輸入向量。這個特征的集用常規(guī)的低性能的計算機系統(tǒng)就能夠用來評價實時的監(jiān)測情況。我認為這三個特征是除了源IP地址之外最重要的，我們在基于RBF-NN的網絡檢測DDoS攻擊中沒有用IP源地址是為了節(jié)省計算資源，減少在存儲方面的需求。

　　4、總結

　　本文闡述的這種實時監(jiān)測DDoS攻擊的模型，能在受害者機器受到DDoS攻擊發(fā)生時或者發(fā)生后來追查攻擊源，并且響應速度快，不需要增加任何網絡流量，并可以監(jiān)測出當前存在的所有類型的DDoS攻擊。今后的工作是在模型的基礎上進一步改進和實現。最后應該強調的是，安全是所有的網絡用戶共同努力的目標，不僅僅是網絡管理員的事情，更是每個網民的問題，一旦自己的機器不幸成為DDoS攻擊中的一員，我們有義務去及時關閉機器(或者離線)，進行殺毒清除DDoS攻擊程序，不要成為控制端或代理端，更不要成為攻擊者。