DdoS(分布式拒绝服务攻击)检测技术研究方法综述.pdfVIP

产 学 荟 萃 DdoS (分布 式拒 绝服务攻击) 检测技术研 究方法综述 ◇广 州 番 禺 职 业 技 术 学 院 金志平 ◇西 艾 (广 州 )软 件 开 发 有 限公 司 刘胜华 ◇广 东有线广播 电视 网络股份有限公司 刘云龙 【摘 要】本文基于DDoS(分布式拒绝服务攻击)的工作原理 ，介绍了DDoS预防技术中的关键技术：蜜罐技 术和数据开采技术，并展望了新 的检测入侵技术及其研 究方法。 【关键词】分布式拒绝服务攻击 入侵检测 Intemet在全球 的迅猛发展 ，给人们 的生活带来 了 巨大的变化 ，人类社会进入 了～个崭新 的信息化时代。 信息化社会在为人类的生活带来诸多方便的同时 ．也带 来了很多的问题 ，其中信息安全是一个突出问题 ，它直 接关系到国家的安全和经济的发展。现实生活中．网络 安全事故时有发生，信息的保密性 、完整性和可用性受 到了前所未有的挑战。各种 网络攻击方式层出不穷 ，木 马 、欺骗等技术是黑客手中的利器 ，而分布式拒绝服务 攻击 (DDoS，DistributedDenialofServiceattack)更是 它们 中的佼佼者。由于 DDoS攻击比较容易实现而且难 以防范 ，因此 ～直没有好 的防御方 法 。2002年 2月 ， 图 1 DDoS 网络拓扑 图 Yahoo、ebay、Amazon等诸 多知名 网站均受到 了DDoS 二、DDoS攻击防御关键技术 攻击 ，致使一些站点中断服务长达数小时甚至几天 ，国 1．蜜罐技术 。在防御 DDoS攻击 中，主要用到蜜罐 内的新浪等站点也遭到了类似的攻击 ，这次的攻击浪潮 技术的网络流量的动态仿真。蜜罐主机采用一个缺省配 使 DDoS名声大振。2001年 5月 ，在 中美黑客大 战中， 置的 ]inux系统来仿真真实系统 ，在该蜜罐系统中故意 DDoS也被广泛使用。因此 ，DDOS 已成为影响网络安全 存在一些漏洞和不安全 因素 ，因为在带宽不断增大时 ． 的一个不容忽视的问题 。 造成了DDoS攻击 的一定难度 ，同时 由于 DDoS攻击技 一 、 DDoS工作原理分析 术本身的缺陷，如移植 DDoS攻击的服务器程序到其它 在解释DDoS之前 ，首先必须知道什么是 DoS (De- 系统或主机就不是～件很容易的事情 ．需要较多的知 nialofService，拒绝服务)。DoS是指这样一种攻击手 识 ，并且较繁琐。如果攻击者能够轻易发现漏洞 ，就会 段 ：攻击者在～定时间内发送大量 的服务请求来 “轰 采用其它攻击力一法 ，以此减轻 DDoS攻击的可能性。 炸 ”目的主机或其它网络设备 ，使其不能提供正常的服 同时 ，在真实系统 中增加对 IP地址和 日志进行分析的 务 。这种方式类似于某人通过不停拨打某个公司的电话 能力 ，由真实系统对访 问该系统的 IP地址根据访 问历 来阻止其它电话打进 ，从而导致公司通信瘫痪 。 史和 日志进行可靠性分析 ，曾经访问过该系统，并且经 DDoS是 DoS的进一步演化 。简单的DoS攻击是 由 过可靠性分析 的IP允许访 问，不切换到蜜罐系统。而 源主机直接攻击 目的主机，是 l：1的映射。而DDoS引 第一次访 问和没有经过可靠性分析的 IP就转向到蜜罐 进了Client／Server机制 ，增加 了分布式的概念。 “分布” 系统，该蜜罐系统的数据捕获能够记录进入和流 出的连 是指把较大的计算量或工作量分配给多个处理器或多个 接 、记录，并显示攻击者在蜜罐主机中的操作 ，对入侵 节点共同协作完成 。DDoS攻击就是指攻击者控制大量 者在蜜罐主机 中的操作信息进行 日志记录 ，分析请求服