DDOS攻击检测相关问题分析

何潇锐，常 明

国网山西省电力公司长治供电公司，山西长治 046000

当前信息环境之下，企业对于数据传输的依赖程度与日俱增，与之对应的网络安全问题也成为了当前社会所共同关注的重点。而分布式拒绝服务（DDoS，Distributed Denial of Service）作为网络环境中较为常见的攻击形式，已经成为当前网络安全的重要隐患来源，因此对其展开深入的分析和讨论，对于切实提升整体网络安全水平有着积极价值。

1 DDos攻击检测技术浅论

从概念的角度看，DDos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。对于DDos攻击而言，最为常见的攻击方式即利用合理的服务请求来占用过多的服务资源，从而使得正常的用户服务请求无法得到相应。传统的Dos攻击在面向单一主机的时候效果显著，可以迅速影响到主机的运算速度，但是随着网络技术的发展，分布式系统开始得到越来越多的应用，因此单独面向单个主机的攻击从总体上开始变得无效，DDos攻击方式随之登上舞台。从实现的角度看，通常攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，并且在设定时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。控制人员通过网络远程控制代理程序发动攻击，并且利用客户机/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行，其威胁不容忽视。

对于DDos攻击而言，其检测方法多样，对于不同的应用环境表现出各自不同的额检测工作特征。依据检测模式进行分类，可以分为基于误用的DDos检测、基于异常的DDos检测以及混合模式DDos检测三种。其中基于误用的DDos检测即指在针对DDos攻击行为特征进行采集和整理的基础之上，以其作为参照对于网络中数据包的特征展开检查，从而发现异常的数据包，确定DDos攻击行为的发生。而基于异常的DDos检测则是通过监视系统审计记录上系统使用的异常情况，对系统中存在的违反安全的时间进行检测。这是当前大多数DDos攻击检测的常见工作方式，此种检测方式的效果在很大程度上依赖于异常判断模型的建立，不同的模型会对传输行为有不同的判断，因此只有面向实际网络工作特征的模型才能行之有效地担负起DDos检测职责。最后对于混合模式DDos检测，则是将基于误用的DDos检测以及基于异常的DDos检测加以结合的检测工作方式，通常使用数据挖掘的方法，由异常检测发现攻击，从发现的攻击中摘录特征放入误用模式特征库中，再利用误用检测的方法来检测DDoS攻击。

除此以外，还可以按照算法部署的位置对DDos检测工作模式加以划分，则可以划分为数据源端检测、中间网络检测以及数据目的端检测三种。其中数据源端检测是将DDoS检测算法布置在发出攻击数据包的主机所处网络环境的边界路由器上，此种工作方式可以在攻击流入网络环境之前对其及时发现并且拦截。而中间网络DDoS攻击检测是指将攻击检测算法部署在整个网络上，包括路由器、交换机或其他网络设备。在无法明确攻击来源的情况之下，采用中间网络检测的工作方式能够实现更均衡的检测工作。而数据目的端检测，即将DDoS攻击检测算法部署在攻击端的主机以及相关网络设备上，主要用于重点保护网络环境中相对珍贵的数据节点。

2 DDoS攻击检测技术的发展分析

在面对企业网络环境展开DDoS攻击检测系统部署的时候，将DDoS检测核心部署在数据传输的哪个位置，能够实现对于攻击的最为有效检测，是当前共同关注的问题。对于数据源端检测控制而言，常见的检测方法包括依据数据包子网地址进行过滤，或者要求客户端在发送数据的时候提交一个发送请求给认真服务器，在认证服务器许可的情况下才能展开数据发送。此种工作方式能够在攻击进入骨干网之前就实现控制，因此对于网络环境内部安全水平的提升有着积极意义，但是同时由于需要边界路由器的配合，而ISP无法从这种控制过程中获益，因此基于数据源端的控制常常无法得到实施，进一步影响到此种策略在面对复杂供给的时候检测效果整体不足。

而基于中间骨干网络的检测控制，是面向网络环境中的数据流量展开梳理和清洗，并且实现对应的限制和过滤。此种检测方式有多种具体的展开模式，可以由被攻击端将流量信息发送至路由器，并且进一步由路由器作出判断和限制，此种模式能够实现对于服务器负载的缓解，但是对于攻击流量和合法流量的区分不足，判断模型还有待于进一步完善。实际工作中还存在基于清洗中心的策略，即在攻击发生之后，由骨干网路由器将流量诸如清洗中心，经过清洗之后回注网络环境，此种工作方式能够有效面对大流量攻击，但是实现机制比较复杂，成为部署的难点之一。而pushback策略，则是在检测到攻击之后，由靠近攻击目标的路由器面向上游路由器发出流量控制请求，一直回溯到攻击源端附近实现流量控制。这三种工作模式在灵敏度和部署难度方面都呈现出不同特征，在实际工作中必须妥善依据不同工作模式的特征和实际情况进行选择，才能获取到良好效果。尤其是在不同工作模式的不足方面应当加强重视，例如对于攻击源端检测方式而言，其较低的灵敏度和难以实现广泛部署的特征都不容忽视，而对于骨干层过滤模式而言，其部署难度高奋勇高，同时需要ISP配合的特点必须得到重视，而对于攻击终端过滤方式而言，其处理能力则相对有限。

就DDoS攻击检测未来的发展状况而言，如何在灵敏度、准确性以及大流量处理能力等几个关键方面实现均衡选择，成为未来发展的关键。在DDoS攻击类型识别方面，虽然已经能够针对类似于Syn flood等攻击展开识别，但是相关方面的研究仍然有待进一步深入。同时考虑到骨干网络环境中攻击检测的工作特征，通过骨干网流量变化实现对于DDoS攻击的有效发现，是解决无固定检测目标DDoS过滤的基本前提，而在实现检测之后，如何通过骨干网流量分布发现DDoS攻击目标，同样是骨干网检测技术未来的工作重点。

3 结论

DDoS攻击是当前网络环境所面临的重要问题之一，只有不断的钻研和学习，紧跟技术发展步伐，才能切实依据实际环境展开对于DDoS攻击检测技术的有效部署，也才能切实实现对于网络环境安全水平的提升。

[1]陈伟，何炎祥，彭文灵，等.一种轻量级的拒绝服务攻击检测方法[J].计算机学报，2006，29（8）.

[2]邵立松，张鹤颖，窦文华.基于窗口的端到端拥塞控制：网络稳定性与效率[J].计算机学报，2006，29（3）.

[3]何慧，张宏莉，张伟哲，等.一种基于相似度的DDoS攻击检测方法[J].通信学报，2004，25（7）.