基于网络流量分形特性的DDoS攻击检测

　　0　引言

　　从网络攻击的各种方法和所产生的破坏情况来看,分布式拒绝服务攻击是一种简单而有效的攻击方式,其目的在于使系统拒绝正常用户的服务请求,破坏系统的正常运行。其攻击原理如图1所示:黑客通过安装木马等手段来控制攻击控制机进而控制大量的攻击傀儡机,并在傀儡机上安装DDoS攻击程序,攻击程序统一受黑客的控制发动攻击,当大量傀儡机同时发动攻击时,大量的数据包将发送到受害计算机,造成网络拥塞或服务崩溃。

　　目前针对DDoS攻击的检测与防范措施有以下几种:

　　(1)在网络上建立一个过滤器(filter)或侦测器(sniffer)诊测特征字串,过滤嫌疑的数据;

　　(2)使用Flld—DDoS等软件检测特定端口的使用情况,拒绝对特定端口的访问;

　　(3)在Router上对异常源IP地址设限,拒绝对嫌疑的客户服务;

　　(4)监控异常半联接,异常的数据包数量、尺寸;

　　(5)限制网络流量。

　　这几种DDoS入侵检测与防范措施只是简单检测网络连接、数据源、流量、数据内容、数据包等网络元素的异常情况。由于检测的单一性,只能对特定类型的几种类型的DDoS入侵进行有限的防御,在网络攻击手段发生变化后就无能为力了。如监控特征字符串和UDP端口的办法,当DDoS入侵改变了标识或选择另外的UDP端口进行通讯,系统就无法诊测;又如限制流量的办法,对流量设置一个阔值,对突然增大的流量就判断为攻击行为,这种检测手段对DDoS入侵的判断力极低,易造成误判,对正常情况下的网络流可能出现的暂时流量高峰也将视作攻击。再如使用Flld-DDoS软件可以有效地防止本机不会成为已知DDoS攻击的帮凶,但是无法防止自己被攻击。更重要的是,目前的检测都只在攻击到达被攻击对象所在子网后才能进行,检测时需要分析大量分组内容,因此在DDoS攻击迅速爆发时具有计算量大、占用资源过多、无法及时准确预测等局限性。

　　为有效消除现有检测方法的弊端,从根本上解决问题,就必须正确判断网络流量性质、探询入侵的本质特点。现在的大量研究表明网络流量具有分形特性,并且在大的时间尺度下表现为单分形特性(即自相似特性),在小的时间尺度下表现为多重分形特性。为此本文通过分析网络流量分形特性的异常变化来检测DDoS攻击。即分别在大小时间尺度下利用网络流量Hurst参数和Holder参数的变化情况来检测攻击。

　　1　自相似和多重分形过程的定义

　　目前存在许多对自相似过程的定义,且它们并非完全等价,这里采用文献[1]中的定义方法。定义1: (自相似随机过程的连续时间定义):一个连续随机过程{Y(t), t∈R}如果满足如下条件:对于任何d≥1, t1, t2, t3,…td∈T和a>0,有如下等式成立: