DDoS 攻擊的檢測與防禦一直是網路安全領域的難題。隨著攻擊手法的不斷演變,單純依靠傳統的防禦措施已不足以應付。本文將探討 DDoS 檢測技術的原理和實戰應用,並分析不同檢測方法的優缺點,協助讀者選擇合適的防禦策略。首先,我們需要了解 DDoS 防禦架構,並根據攻擊目標和網路環境選擇最佳的檢測位置。檢測位置的選擇會直接影響檢測的效率和準確性。例如,在受害者端進行檢測可以快速反應,但容易被大量攻擊流量淹沒;在中間網路進行檢測可以有效減輕受害者端的壓力,但需要更高的網路頻寬和處理能力;在來源端進行檢測可以從根本上阻止攻擊,但需要與上游網路服務供應商合作。接著,我們將介紹兩種主要的 DDoS 檢測技術:誤用檢測和異常檢測。誤用檢測根據已知的攻擊特徵,例如攻擊簽名和規則,可以快速準確地識別已知攻擊,但對於新型態的攻擊則束手無策。異常檢測則根據正常的網路流量行為模型,可以檢測未知的攻擊,但需要建立準確的模型,並不斷更新以適應網路環境的變化。
玄貓解讀:DDoS 防禦技術深度解析與實戰策略
DDoS(分散式阻斷服務)攻擊一直是網路安全領域的重大威脅。為了有效應對這類別攻擊,需要深入瞭解各種檢測與防禦技術。本文將由玄貓我,一位在網路安全領域深耕多年的專家,帶領大家探討 DDoS 檢測技術,並分享一些實戰經驗與策略。
DDoS 防禦架構:位置的重要性
在討論具體的檢測技術之前,我們先來看看 DDoS 防禦架構。圖 4.7 展示了一個通用的 DDoS 檢測架構,其中關鍵在於檢測發生的位置。不同的位置有其優勢與劣勢:
- 受害者端:直接在受攻擊的伺服器或網路進行檢測。
- 中間網路:在網路的中間節點(例如路由器)進行檢測。
- 來源端:在流量的源頭進行檢測。
表 4.2 對比了不同位置的優缺點。選擇合適的檢測位置,需要權衡檢測的準確性、資源消耗以及對合法使用者的影響。
DDoS 檢測技術:兩種主要方法
DDoS 檢測技術主要分為兩大類別:
- 誤用檢測(Misuse Detection):這種方法透過搜尋已知的攻擊模式(例如特徵、規則或活動)來識別 DDoS 攻擊。
- 異常檢測(Anomaly-based Detection):這種方法旨在檢測未知的攻擊型別,透過分析網路流量行為,尋找異常模式。
接下來,我們將探討這兩種檢測技術。
誤用檢測:精準打擊已知威脅
誤用檢測的核心思想是:先定義什麼是不正常的系統行為,然後將其他行為定義為正常。這種方法依賴於已知的攻擊特徵,例如攻擊簽名。
簽名式 DDoS 檢測
簽名式檢測將已知的攻擊模式和簽名儲存在資料函式庫中。當檢測到攻擊時,系統會將當前流量與資料函式庫中的簽名進行比對。如果比對成功,則觸發警示。
這種方法的優點是檢測率高,誤報率低。但缺點也很明顯:無法檢測未知的攻擊。因此,及時更新簽名資料函式庫至關重要。
規則式檢測
規則式檢測使用一系列 “if-then” 規則來識別攻擊。專家透過分析已知的攻擊行為,將其轉換為條件規則。IDS(入侵檢測系統)的推理模組會將這些規則與監控資料(通常是日誌)進行比對,以檢測任何誤用行為。
狀態轉換技術
狀態轉換技術將攻擊表示為一系列活動。一個或一組活動可能導致受監控感測器的狀態從一個狀態轉換到另一個狀態,最終達到警示狀態。
表 4.3 誤用檢測技術比較
| 技術 | 描述 | 優點 | 缺點 |
|---|---|---|---|
| 簽名式檢測 | 將攻擊模式與儲存的模式進行比對。 | 在發現新攻擊時,可以快速更新資料函式庫。 | 無法檢測未知攻擊。 |
| 規則式檢測 | 透過分析攻擊來定義規則。 | 使用規則作為條件來檢測攻擊。 | 需要人工分析和定義規則,過程繁瑣。 |
| 狀態轉換技術 | 需要識別系統的狀態以及狀態之間的轉換。 | 單個或多個更改可能導致受監控系統的狀態之間發生轉換。 | 需要對系統狀態有深入瞭解,實施複雜。 |
玄貓認為,誤用檢測技術在防禦已知攻擊方面非常有效,但面對不斷演變的威脅,需要結合其他檢測方法,才能構建更全面的防禦體系。
異常流量的無聲警示:統計分析在DDoS防禦中的應用
DDoS(分散式阻斷服務)攻擊一直是網路世界中令人頭痛的問題。為了有效防禦這類別攻擊,技術人員開發了各種檢測技術。其中,根據異常的檢測方法透過建立正常行為模型,並標記任何顯著偏差,來識別潛在的攻擊。本文將探討根據統計的異常檢測技術,並分析其在DDoS防禦中的應用和效果。
為何選擇統計方法:異常檢測的根本
統計方法在異常檢測中佔有重要地位。它們透過定義系統在正常情況下的行為模式,並設定可接受的閾值範圍。任何超出這些閾值的行為都會被視為異常,並可能觸發警示。這種方法的優勢在於能夠檢測到未知的攻擊模式,因為它不依賴於預先定義的攻擊簽名。
統計檢測的常用技術
統計異常檢測利用多種技術來識別網路流量中的異常。以下是一些常見的方法:
- 偏差檢測: 監控網路流量與預期正常值的偏差。
- 累積和 (CUSUM): 檢測流量模式中的突變。
- 相關性分析: 識別不同流量變數之間的異常關係。
- 熵 (Entropy): 衡量流量的隨機性,異常流量通常具有較低的熵值。
- 互訊息 (Mutual Information, MI): 評估不同流量變數之間的依賴性。
- 共變異數 (Covariance): 衡量不同流量變數如何一起變化。
案例分析:統計方法在DDoS防禦中的例項
接下來,我們將分析幾個根據統計的DDoS檢測系統,深入瞭解它們的工作原理和效果。
1. 變更點檢測系統 (DCP):多域協同防禦
Chen 等人 [54] 提出了一種受害者端的變更點檢測系統 (DCP),用於檢測跨多個網路域的突發流量異常。該系統使用變更聚合樹 (CAT) 來匯總各個自治系統 (AS) 的流量變更訊息。
架構
DCP系統由多個AS域組成,每個域都配備一個CAT伺服器。CAT伺服器負責收集路由器上的流量變更訊息,並透過安全基礎設施協定 (SIP) 交換警示訊息,以解決潛在的衝突。
運作方式
DCP系統執行以下操作:
- 檢測流量變更: 監控路由器上的流量變化。
- 聚合變更: 使用CAT匯總檢測到的變更。
- 收集警示: 透過協同CAT伺服器收集警示。
DCP系統使用非引數CUSUM統計量來解決變更檢測問題。在DDoS洪水攻擊期間,累積偏差通常遠高於隨機波動。DCP透過CAT機制檢測路由器級別的流量突變。
效果
模擬結果表明,對於TCP SYN洪水攻擊,4個域足以達到98%的檢測準確度,而對於UDP洪水攻擊,則產生低於1%的誤報。
內容解密
- 自治系統 (AS): 在網際網路中,一個AS是由單一技術管理實體控制的一組IP網路,擁有共同的路由策略。
- 變更聚合樹 (CAT): 一種樹狀結構,用於匯總和組織網路流量變更的訊息,有助於識別異常模式。
- 安全基礎設施協定 (SIP): 一種用於在不同網路域之間建立信任關係的安全協定,確保警示訊息的可靠交換。
- 非引數CUSUM統計量: 一種用於檢測資料序列中突變的統計方法,不需要關於資料分佈的先驗知識。
2. D-WARD:源端流量監控與速率限制
D-WARD [168] 是一種源端DDoS防禦系統,它使用統計監督方法來檢測和阻止來自源端網路的攻擊。D-WARD組態了一組預先指定的地址,用於監控其傳出的流量,以及這些地址與網路其餘部分之間的雙向流量。
架構
D-WARD的核心元件包括分類別器和節流元件。
運作方式
D-WARD執行以下操作:
- 收集流量特徵: 收集線上流量的特徵。
- 比較流量模型: 將收集到的特徵與預定義的正常流量模型進行比較。
- 速率限制: 對於不符合正常流量模型的流量進行速率限制。
D-WARD能夠動態調整速率限制,並從錯誤分類別的合法流量中快速還原。它透過分析單個連線來確保合法流量的良好服務。
缺點
D-WARD的主要問題在於可擴充套件性和對新型攻擊的實時檢測能力。
內容解密
- 源端防禦: 在網路流量的源頭進行防禦,阻止惡意流量進入網路。
- 速率限制: 限制網路流量的傳輸速率,防止DDoS攻擊淹沒目標系統。
- 流量模型: 一種描述網路流量正常行為的統計模型,用於檢測異常流量。
3. 根據雙樣本t檢驗的DDoS檢測方法
[50] 的作者提出了一種根據雙樣本t檢驗的有效DDoS檢測方法。該方法首先研究正常流量的SYN到達率 (SAR) 抽樣分佈,並檢查它們是否符合常態分佈。然後,該方法透過以下方式嘗試從合法流量中區分DDoS攻擊流量:
- 計算SAR偏差: 計算傳入SAR與正常SAR的偏差。
- 比較SYN和ACK數量: 查詢SYN和ACK資料封包數量之間的差異。
內容解密
- SYN到達率 (SAR): 每單位時間內接收到的SYN資料封包數量,用於衡量網路連線請求的頻率。
- 雙樣本t檢驗: 一種用於比較兩個獨立樣本平均值是否顯著不同的統計檢驗方法。
- SYN資料封包: 用於建立TCP連線的資料封包。
- ACK資料封包: 用於確認TCP連線的資料封包。
玄貓的洞察:統計方法的優勢與侷限
從玄貓的角度來看,根據統計的DDoS檢測技術具有以下優勢:
- 能夠檢測未知攻擊: 由於不依賴於預定義的攻擊簽名,因此可以檢測到新型DDoS攻擊。
- 實施相對簡單: 統計方法通常易於理解和實施。
然而,也存在一些侷限性:
- 需要準確的正常行為模型: 統計方法的有效性取決於建立準確的正常行為模型。如果模型不準確,則可能導致誤報或漏報。
- 容易受到流量模式變化的影響: 網路流量模式可能隨時間變化。如果正常行為模型沒有及時更新,則可能導致檢測準確度下降。
- 計算複雜度: 一些統計方法可能具有較高的計算複雜度,特別是在處理大量網路流量時。
### 為何傳統DDoS檢測方法在面對新型態攻擊時顯得力不從心?
傳統的DDoS檢測方法,如Chen提出的根據流量到達率均值比較的雙樣本t檢驗,在高流量攻擊下尚可有效運作。然而,面對低流量DDoS攻擊,此類別方法可能難以奏效,導致後端佇列爆滿。即使Chen的方法進一步比較SYN和ACK封包的數量差異,也難以全面應對多樣化的攻擊場景。這些傳統方法的主要問題在於:
1. **即時性與準確性難以兼顧**:無法同時以高準確度即時檢測高流量和低流量DDoS攻擊。
2. **難以應對大規模DDoS攻擊**:在處理大規模DDoS攻擊時,效能可能受到限制。
### 如何透過權重公平路由節流來提升DDoS防禦能力?
Saifullah提出了一種根據權重公平路由節流的DDoS防禦系統,旨在保護網路伺服器。此機制依賴分散式演算法,在上游路由器執行權重公平節流。其核心思想是,根據直接或間接連線的使用者數量,利用漏桶演算法控制(增加或減少) направлений至伺服器的流量。
系統運作初期,路由器會低估伺服器的承受能力,並根據伺服器回饋給子路由器的資訊來調整流量速率(增加或減少),最終將調整資訊傳遞至所有路由器,以防止突發的初始攻擊。作者透過NS-2模擬驗證了此方法的有效性。
### ISP如何利用正常流量組態檔來檢測異常流量?
Akella等人提出,ISP網路可以透過建立正常流量組態檔來檢測針對自身或外部目標的攻擊。這些組態檔利用流取樣演算法生成,能夠以合理的成本和準確度識別異常流量,並降低誤判率。
此外,該方法還允許ISP路由器之間交換資訊,以提高決策過程的信心水準。在將彙總流量分類別為異常或正常時,路由器會收集來自其他路由器的「意見」(即懷疑),並根據這些意見做出決策。初步結果顯示,路由器組態檔能夠捕捉流量的關鍵特徵,並以高準確度識別異常流量。
### SIM:一種動態調整攻擊特徵的DDoS檢測方案
Peng等人提出了一種名為SIM(Source IP Address Monitoring,來源IP位址監控)的方法,透過觀察新來源IP位址的到達率來檢測頻寬攻擊。SIM分為兩個階段:
1. **離線學習**:學習引擎用於維護一個IP位址資料函式庫(IAD),新增新的來源IP位址並刪除過期的IP位址。
2. **檢測與學習**:在當前時間間隔內收集有關傳入流量的統計資訊,以估算在此間隔內到達的不同IP位址數量,並參考使用者定義的閾值來判斷是否發生DDoS攻擊。
SIM的兩個主要優點包括:
* **動態調整攻擊特徵**:使攻擊者難以反制檢測方案。
* **利用CUSUM技術**:採用先進的非引數變更檢測技術CUSUM,實作高檢測準確度。
然而,SIM也存在以下限制:
* **無法檢測低流量DDoS攻擊**。
* **檢測效能高度依賴於閾值**:但確定合適的閾值是一項困難的任務。
### 如何應對模仿快閃人潮流量的DDoS攻擊?
近年來,隨著殭屍網路技術在複雜性和可擴充套件性方面的進步,DDoS攻擊的型別也顯著增加。攻擊主腦試圖利用新穎的反取證方法來偽裝攻擊痕跡,例如程式碼混淆、記憶體加密、點對點實作技術、使用新鮮程式碼推播來復活,或模仿快閃人潮流量。快閃人潮是指通常因突發新聞而導致的、對伺服器的意外且突然的流量爆發。攻擊主腦可以採取具體策略,透過模擬或模仿快閃人潮的流量模式來發動DDoS攻擊,以逃避檢測。這種DDoS攻擊被稱為快閃人潮攻擊。
多數現有的DDoS檢測系統難以應對此類別DDoS攻擊。Yu等人在對根據殭屍網路的攻擊發起行為的規模和組織進行調查時發現,與社群網路中的快閃人潮流量相比,當前的攻擊流量彼此之間更相似。根據此觀察,可以開發更有效的檢測方法。
玄貓認為,面對不斷演進的DDoS攻擊,防禦策略也必須不斷創新,才能有效保護網路資源的安全。
多變流量中識別惡意攻擊:根據關聯性的DDoS檢測方法
一些研究人員提出了一種區分DDoS攻擊流量和突發流量的演算法。他們的方法利用流量關聯係數作為相似性指標。作者首先為具有潛在受害者的社群網路建立DDoS攻擊檢測模型。然後,提出一個理論證明,表明可以利用對殭屍網路大小和組織的瞭解,從突發流量中提取攻擊流量。最後,他們透過使用真實的突發流量資料集以及在多種場景中使用攻擊發起工具的實驗結果來證實他們的理論發現。
多元關聯分析(MCA):網路流量異常檢測的有效方法
多元關聯分析(MCA)是一種衡量網路流量突變的有效方法。Jin等人在他們的SYN Flood攻擊檢測模型中證實了這一點。作者表明,MCA可以用於以簡單而有效的方式識別網路中的異常流量。可以使用根據正常流量的一組選定特徵的關聯分析,即時區分異常流量和合法流量。對於根據相關性的分析,作者最初根據正常流量的一組選定特徵生成正常組態檔案。接下來,為了測試傳入流量是正常還是異常,它使用相同的關聯分析來生成測試組態檔案,該組態檔案與正常組態檔案進行比對。如果發現測試組態檔案與高於預定義閾值的正常組態檔案顯著偏離,則該方法認為測試組態檔案是異常的。這種根據MCA的方法的一個額外優點是,它還能夠檢測到可以與正常行為區分的微妙攻擊。作者在DDoS攻擊檢測中,根據(i)檢測準確性和(ii)即時效能,確立了他們的方法的有效性。
根據多重顯著特徵的DDoS攻擊檢測方法
Cheng等人開發了一種有效的DDoS攻擊檢測方法,該方法使用多個顯著特徵,例如流量的突變、流量模式的非均勻性、源IP地址的分佈模式以及目標IP地址的集中度。他們的方法根據IP流量特徵值(FFV)演算法,使用線性預測技術來檢測攻擊和合法流量。作者根據使用真實入侵資料集的實驗,建立了他們的方法。
統計分離法(SSM):提高DDoS攻擊檢測準確性
Udhayan和Hamsapriya使用統計分離法(SSM)來實作DDoS攻擊檢測中的高檢測準確性。該方法在連續間隔內的網路流量上執行,並且為了檢測攻擊,它維護攻擊狀態條件。它對連續間隔內的流量進行取樣,計算平均值作為引數,並參考該引數對樣本進行排序。最後,為了將攻擊流量與合法流量分開,它執行關聯分析。SSM具有高檢測準確性和低誤報率。除此之外,他們還針對其他幾個封閉的對應物評估了SSM。
根據熵的DDoS攻擊檢測方法
Li等人介紹了另一種使用熵的有效DDoS攻擊檢測方法。該方法最初計算網路封包中標頭屬性的分佈模式,然後計算累積熵以監控一段時間內的網路流量行為,而不是在檢測到異常流量後將其區分為異常流量。接下來,它根據時間而不是預先設定的閾值動態識別異常模式。如果發現不符合的模式或行為持續顯著的時間,它會將該模式標記為異常。
在另一項工作中,Feinstein等人開發了一種根據熵的統計DDoS攻擊檢測方法。該方法試圖透過計算熵並根據頻率對封包屬性的排序分佈來識別異常流量。它計算大小為1000的封包視窗的源地址的熵,以測量地址的隨機性或均勻性。如果發現隨機性量非常高,它會將該場景識別為攻擊。作者的觀察是,在正常情況下,源地址的熵小於攻擊情況下的熵。
低速率DDoS攻擊檢測:根據資訊理論的度量方法
低速率DDoS攻擊流量與正常流量非常相似。因此,準確識別此類別低速率攻擊具有挑戰性。Xiang等人試圖透過引入一種高效的檢測機制和一種使用資訊理論度量的追蹤技術來解決這個問題。他們的方法使用廣義熵度量來找到合法流量和攻擊流量之間的差異,然後使用資訊距離度量來檢測低速率DDoS攻擊。作者透過實驗證明,廣義熵可以比傳統的Shannon度量更早地檢測到攻擊。此外,他們的資訊距離度量比Kullback-Leibler散度方法表現更好。此外,作者還介紹了一種根據資訊距離度量的IP追蹤方案,並確定它能夠在短時間內追蹤所有攻擊的來源。作者使用(i)MIT Lincoln實驗室場景(無攻擊)內部的tcpdump資料集作為正常資料集。
總結來說,DDoS攻擊檢測技術不斷演進,從根據流量關聯性、多元關聯分析,到根據多重顯著特徵、統計分離法,再到根據熵和資訊理論度量的方法,都在不斷提高檢測的準確性和效率。這些方法不僅可以檢測傳統的DDoS攻擊,還可以有效應對低速率DDoS攻擊,為網路安全提供了更全面的保障。玄貓認為,隨著網路環境的日益複雜,未來DDoS攻擊檢測技術將更加人工智慧化和自適應化,以應對不斷變化的攻擊模式。
