[发明专利]分布式拒绝服务攻击的检测方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种分布式拒绝服务 (Distributed Denial of Service，DDoS)攻击的检测方法和系统。

背景技术

DDoS攻击的发动者通过胁迫散布在网络中的多台主机，形成多个攻击 源，同时对受害者发起攻击，使得受害者主机的关键资源(如：带宽、缓冲 区、CPU资源)迅速耗尽，从而使得受害者主机或者崩溃，或者花大量时间 处理攻击包而不能正常服务。近年来，攻击者们又利用Botnet(也被称作僵 尸网络，是许多台被恶意代码感染、控制的与互联网相连接的计算机)作为 攻击平台，形成规模更加庞大的DDoS攻击，使得攻击流的分布程度更广、 危害更大，DDoS攻击的检测更难，给当前的网络和网络上的计算机带来了 不容忽视的威胁。

DDoS攻击检测通常采用分布式的检测机制，在网络中(自治系统AS或 ISP网络中)选取一些节点建立一个检测子网络，各节点依靠自己搜集的信息， 往往是单个流量或路由信息，展开快速而简单的本地局部检测；再利用一定 的通信机制，交换各个节点的检测结果，对部分或者全部节点的检测结果进 行综合分析，以确认是否发生异常。如DAD(Distributed Attack Detection， 分布式攻击检测)，CITRA(Cooperative intrusion traceback and response， 合作侵入的痕迹和响应)，LADS(Large-Scale Automated DDoS detection system，大尺度DDoS自动攻击检测系统)，DCD(Distributed chang-point detection，分布式变化检测)，以及Chen等利用脉冲DDoS攻击的与正常 流量的功率谱密度在低频部分的差异，在频域上做出局部检测。分布式检测 机制对多个报警节点的局部检测结果进行综合分析，一定程度上克服了仅在 单点上检测(单链路/单节点检测)的不足，能够有效地提高检测精度，但最 终检测结果在很大程度上仍依赖于单个节点的检测结果。而DDoS攻击发生 时，攻击流往往在用户前端的路由器才最终汇聚形成巨大的流量幅值，部署 在受害者路由器前端的检测节点能够通过明显的流量变化检测出攻击流，但 此时攻击流已经到达受害者，使得受害者无法做出有效的攻击响应措施来对 抗攻击流。

可见，要有效地防御DDoS攻击，必须在攻击流到达受害者路由器之前 (也即攻击流在骨干网络中传送时)进行早期检测，但是此时攻击流通常分 散在多条链路中，在单条链路或节点中并不表现出明显异常特征，因此很难 做出准确的局部检测判断。尽管如此，此时多个攻击流在多条链路上的流量 变化趋势却是有可能捕捉的，如果将网络中多个流量信号收集在一起，利用 流量之间的关系来进行检测将有可能获得较好的检测效果。

上述“利用流量之间的关系来揭示异常的方法”最初由Lakhina等人提 出，利用子空间方法来分析网络中所有链路幅值及OD(Origin-Destination flow，源到端的流)流幅值之间的关系以检测网络异常，该方法主要包含两部 分内容：

一、链路流量的子空间分析

将零均值化后的链路流量进行主成分分析(Principal Component analysis，PCA)分解，分解为正常空间和异常空间序列。

二、异常判决

由于一个幅值上的异常会导致异常空间序列有较大的变化，所以对异常 部分的能量大小设定一个门限，若所述异常空间序列的均方预测误差(SPE) 小于所述门限，则认为是正常，否则为异常。

在实现本发明过程中，发明人发现上述方法至少存在如下问题：

1、该方法认为具有强相关性的流量属于正常空间，对剩下的异常空间序 列进行异常量判断，然而同一次发起的DDoS攻击流之间无论在时间上还是 空间上都存在强的相关性，所以该方法将这部分流量划分到了正常空间，从 而使得检测时发生漏检；

2、该方法的判决需要依赖异常空间序列中单个链路或单个OD流的异常 流量幅值，只有当异常流量幅值较大时才能检测到。而DDoS攻击由数量从 多的被雇用主机沿多条路经同时向受害者发送攻击流量，因此单条链路或单 个OD流上的异常流通常较小，而通信网络中的背景流量及其正常流量变化 是很大的，因此，仅靠单个链路或单个OD流的异常流量幅值进行检测容易 造成漏检。

发明内容