专利名称:监测小流量ddos攻击的方法和系统的制作方法
技术领域:
本发明属于移动互联网安全技术领域,尤其涉及对小流量DDOS攻击进行监测的方法和系统。
背景技术:
分布式拒绝服务攻击(distributeddenial of service attack,简称DDOS)是通过控制互连网上多台安全防御比较薄弱的机器同时攻击目标系统,造成受害主机系统或网络负荷过重,无法及时接收或回应外界请求,从而达到拒绝服务攻击的目的。一般在宽带网上,DDOS攻击的具体表现形式是制造高流量无用数据,造成网络拥塞,使网络服务中断。目前互联网上的网站大多是高带宽的主机,从原理上来讲,单纯的通过直接发包攻击,几乎不可能引起任何阻塞。因为发起攻击的机器带宽可能远远低于这些主机,发出的攻击包对于被攻击主机而言并不构成为攻击。但DDOS技术的出现使得从低带 宽主机向高带宽主机发起攻击变得非常容易。但在移动网络中,受限于无线带宽瓶颈,在核心网链路上显示这些攻击的流量不大,属于正常的小流量,但由于移动用户并发数量大,移动性等特点,通过大量并发可产生对目标系统的资源消耗,产生拒绝服务攻击。近年来,攻击者们又利用僵尸网络(Botnet)作为攻击平台,形成规模更庞大的DDoS攻击,使得攻击流的分布程度更广、危害更大,DDoS攻击的检测更难,给当前的网络和网络上的计算机带来了不容忽视的威胁。网络安全的社会化要求网络上的每一个人都有义务保障互连网的安全,这一点在防范DDOS攻击上体现的尤为明显。电信运营商移动互联网用户数量多,随着智能手机的普及,手机终端上应用日益丰富且有可能常在线,容易成为“肉机”。DDoS攻击导致的网络安全问题时有发生,移动互联网与宽带网络共用IP核心网络,导致IP网络整体服务质量下降,电信运营商必须加强网络的监视和控制能力,减轻拒绝服务攻击对网络造成的影响,保障其用户的权益。现有的DDOS攻击监测方法主要有以下两种(一)在靠近用户侧部署IDS(InvasionDetect System,入侵检测系统)设备,它通过检测网络和系统内部的数据和活动,发现可能的入侵活动,并进行报警。但在面临DDoS攻击时,IDS系统往往不能满足要求,主要原因为第一,入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,而目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本高、易用性极低;第二,由于IDS高居不下的误报率可能形成新的拒绝服务,造成合法用户无法访问网络资源。(二)在城域网出口部署NetFlow设备进行监测,其原理是利用NetFlow根据采样比采集数据信息,对采集数据的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析,监测异常流量。产生异常后可通过清洗设备自动下发引流策略到核心路由设备,将异常流量引入清洗设备进行清洗,通过报表系统上报攻击事件和清洗情况。目前大部分的DDOS监测采用该种方式,主要问题在于第一,NetFlow数据格式不能提供精细的L4-L7层信息,无法针对那些瞄准应用层的DDoS作出响应;第二,由于考虑到出口路由器的CPU和内存负荷,通常NetFlow的采样率都会调得比较高,如3000 I或5000 1,由于抽样误差,只能针对是否存在超出预设阈值的大流量网络层攻击做出判断,因而无法检测低速率的DDoS攻击,无法实现精细颗粒的安全防护。通过以上分析,业界对小流量DDOS攻击监测还缺乏有效的方法。
发明内容
鉴于以上,本发明提出监测小流量DDOS攻击的方法和系统。
监测小流量DDOS攻击的方法,包括以下步骤在城域网的出口部署DDOS监测系统,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线;当时间S内流量是否持续超过流量阈值曲线时,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数;当前成分占比超过成分占比阈值曲线次数大于N次,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值,判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,判定为发生DDOS攻击。监测小流量DDOS攻击的DDOS监测系统,包括基线分析过滤器,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线,如果是,通知成分分析过滤器;成分分析过滤器,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数,如果是,通知相似度分析过滤器;相似度分析过滤器,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值;判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,认为发生DDOS攻击。本发明利用DPI (Deep packet inspection,深度包检测)技术获取4-7层数据,弥补NetFlow技术无法检测低速率DDoS攻击的不足;采用基线分析+成分分析+相似度分析的启发式检测方法,弥补IDS的高误报率,实现精细颗粒的安全防护,有效预防未知方法的拒绝服务攻击,提高运营商网络的安全级别;可操作性强,与AAA进行联动控制,及时发现异常流量并进行清洗,弥补了专用系统部署成本高、实施复杂的不足,可实现一点部署全网覆盖,具有大规模部署的潜力,提高防御效率。
图I为本发明在网络中部署DDoS攻击监测系统的示意图,在运营商网络中放置DPI系统,对用户访问互联网的流量进行分析检测。图2为本发明监测DDOS攻击系统的结构示意图。图3为本发明监测DDOS攻击的方法流程示意图。
具体实施例方式本发明进行基线分析、成分分析以及流量相似度分析,一旦匹配以上三个模型后发生阈值告警,判定为发生DDOS攻击。在发生DDOS攻击后,AAA还可以根据源地址对具有相应IMSI号的手机终端进行PPP拆线,及时有效杜绝攻击,释放无线侧资源。下面将结合附图进行具体说明。
图I为本发明监测小流量DDOS攻击的系统结构示意图,该DDOS监测系统部署在城域网的出口。该系统具体结构如图2所示,包括基线分析过滤器、成分分析过滤器以及相似度分析过滤器。其中I、基线分析过滤器对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线。其中,设定系统指需要保护或监控的目标,如Sina服务器,I I的4_7层采样就是利用DPI (Deep packet inspection,深度包检测)技术获取4_7层数据,把所有流量都抓下来,对所有数据包作应用层的分析,弥补NetFlow技术无法检测低速率DDoS攻击的不足。作为本发明的一个实施例,根据采样数据计算设定时间区域内流量阈值曲线的方法可以如下。本领域技术人员应该可以理解,在此基础上对计算方法进行的相应变形或者修改,都属于本权利要求覆盖的范围。获取在设定时间区域内(如一个星期)每天的流量曲线,计算设定时间区域内的流量平均值A (将该时间区域内的每天同一时刻的实际流量进行平均)和峰值流量值B (取该时间区域内每天同一时刻的实际最大流量)。F = B A < B < = ηΑ η > IF = uB B > ηΑ η > I, u < I根据流量平均值A和峰值流量值B训练出公式里的η和u值,获取流量阈值曲线F。釆用的训练方法为现有技术,比如,通过神经网络进行训练、根据马尔可夫模型进行训练
坐寸O利用该模式对当前的目标行为进行比较,判断时间S内流量是否超过流量阈值曲线。具体是判断时间S内每个时刻的当前流量是否超过流量阈值曲线上相同时刻的流量。比如,当前时刻为下午I点,那么,就与阈值曲线的下午I点的流量进行比较。如果在时间S内持续超过阈值曲线,通知成分分析过滤器继续进行成分分析。否则,认为没有受到攻击。时间S在设定时间区域内,可以是其中的一段或多段,根据场景的不同,可以设定为15分钟-30分钟。2、成分分析过滤器
对上述采集的数据进行应用层分析,主要用于用户行为分析。通过读取IP包载荷的内容,计算成分占比阈值曲线。作为本发明的一个实施例,计算成分占比阈值曲线的方法可以如下。本领域技术人员应该可以理解,在此基础上对计算方法进行的相应变形或者修改,都属于本权利要求覆盖的范围。获取设定时间区域内(如一个星期)应用成分(UDP,TCP, ICMP, HTTP, DNS等)的占比,计算该时间区域内的成分占比平均值I (将该时间区域内的每天同一时刻的实际应用成分占比进行平均)和峰值成分占比值J(取该时间区域内每天同一时刻的实际最大应用成分占比)。Z = J I < J < = ml m > IZ = pj J > mlm > I, p < I
根据成分占比平均值I和峰值成分占比值J训练出m和P值,获取成分占比阈值曲线Z。采用的训练方法为现有技术,比如,通过神经网络进行训练、根据马尔可夫模型进行
训练等。利用该模式对当前的目标行为进行比较,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数。如果是,通知相似度分析过滤器进行流量相似度分析,进一步判断是否发生了 DDOS攻击。这里所说的N次是针对同一成分占比而言,比如,计算HTTP的占比,只有在HTTP的当前占比超过HTTP占比阈值曲线N次时,进行相似度分析。这里所说的N的取值可以根据具体业务或者其他因素设定,比如对于视频业务,N的取值可以为3或4或5。本领域技术人员应该可以理解,对N的取值进行举例,只是用于示例性说明,不应理解为对本发明的限制。移动互联网应用中每个应用所占用的带宽可能仅为几k或者是几十k,如果用户某应用流量突然增加了 20k,则对于移动互联网应用而言,很有可能发生了 DDOS攻击。尤其是移动互联网应用的用户数量很大,如果有很多用户同时发起DDOS攻击,会导致移动互联网瘫痪,其他用户无法接入网络。对于固定网络,其带宽为2M、4M、8M、甚至更高,如果流量突然增加了 20k,可能不会对带宽产生太大影响。所以,鉴于移动互联网应用的以上特点,需要对其进行流量监测,及时发现DDOS攻击,防止移动互联网瘫痪。小流量的成分分析还是会存在误判的情况,比如,之前用户通过HTTP浏览网页,后来对该网页上的信息进行下载,那么,会导致HTTP的成分占比在一定时间内增加,并超过阈值的次数大于N次。因此,在时间S内发现成分占比超过阈值曲线次数大于N次的情况下,通知相似度分析过滤器进行流量相似度分析,进一步判断是否发生了 DDOS攻击。3、相似度分析过滤器提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值。在AAA中保存表格,记载了 IP源地址、基站信息、终端等信息,所以,可以根据IP源地址获取基站信息。作为本发明的一个实施例,计算基站之间距离总和阈值的方法可以如下。本领域技术人员应该可以理解,在此基础上对计算方法进行的相应变形或者修改,都属于本权利要求覆盖的范围。获取设定时间区域内(如一个星期)的平均基站距离总和D(将该时间区域内每天同一时刻的基站距离总和进行平均)和设定时间区域内的实际最小距离总和T (取该时间区域内每天同一时刻的实际最小基站距离总和)。基站距离是指基站与基站之间的距离,比如,用户I找到对应的基站Al,用户2找到对应的基站BI,计算基站Al与基站BI之间的距离即为基站距离。再对所有用户执行上述操作,累加总和即为基站之间距离总和。在基线分析过滤器、成分分析过滤器以及相似度分析过滤器中提到的设定时间区域是一致的,t匕如,设定时间区域为I个星期,则上述三个模型在计算时都是以I个星期为准。X = T D > T > = gD g < IX = yT T < gDg < I, y > I根据平均基站距离总和D与实际最小距离总和T训练出g和y值,获取基站之间距离总和阈值X。采用的训练方法为现有技术,比如,通过神经网络进行训练、根据马尔可夫模型进行训练等。
利用该模式对当前的用户行为进行比较,判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,认为发生DDOS攻击。移动互联网用户小流量的攻击流往往在一定范围内有相似性,可根据相似性,精准判断发生了 DDOS攻击。以访问Sina服务器为例,根据现有基站之间的距离总和,确定了经常访问Sina服务器的范围,如果出现访问服务器的基站之间距离总和明显小于基站之间距离总和阈值,即访问的范围突然缩小,则发生了异常情况,有来自某一区域肉机发起DDOS攻击,从而可精准判断发生了 DDOS攻击。本发明集成DPI技术,对网络流量进行I : I的检测分析,实现从四层到七层的深度识别,弥补IDS的高误报率,实现精细颗粒的安全防护。本发明采用基线分析+成分分析+相似度分析的启发式检测方法,三个模型的复杂度逐渐递增,精准性提高。在运营商的大流量网络中,考虑实时性以及设备支持能力,尽量先识别出可疑的流量,再做进一步分析,这样不会占用大量软硬件资源和性能。有效预防未知方法的拒绝服务攻击,提高运营商网络的安全级别,提高监测的准确性。再如图2所示的DDOS监测系统,还可以包括告警与清洗过虑器,用于与AAA联动,对发生的DDOS攻击进行处理。4、告警与清洗过滤器一旦匹配以上三个模型后发生阈值告警,DDOS监测系统的告警与清洗过滤器对AAA下发策略,告知攻击流的源地址,AAA可以根据这些源地址,对具有相应IMSI号的手机终端进行PPP拆线,及时有效杜绝攻击,释放无线侧资源。现有技术下发引流策略到核心路由设备,即使进行清洗后,拆除的仅为基站与服务器之间的连接,而用户与基站之间还保持着连接,导致其他用户无法接入。而本发明中,由于直接对手机终端进行PPP拆线,所以释放了无线资源,其他用户还可以接入。本发明可操作性强,与AAA进行联动控制,及时发现异常流量并进行清洗,弥补了专用系统部署成本高、实施复杂的不足,可实现一点部署全网覆盖,具有大规模部署的潜力,提高防御效率。图3为本发明监测小流量DDOS攻击的方法流程图,包括以下步骤在步骤301,在城域网的出口部署DDOS监测系统,对访问设定系统的流量进行
I I的4-7层采样,根据采样数据计算流量阈值曲线。
在步骤302,判断时间S内流量是否持续超过流量阈值曲线,如果是,执行步骤303,否则,跳转到步骤307。在步骤303,读取IP包载荷的内容,计算成分占比阈值曲线。在步骤304,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数,如果是,执行步骤305,否则,跳转到步骤307。在步骤305,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值。在步骤306,判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,执行步骤308,否则,跳转到步骤307。在步骤307,认为当前流量为合法流量,未发生DDOS攻击。
在步骤308,判定为发生DDOS攻击。判定为发生DDOS攻击之后,还可以继续执行步骤309,DDOS监测系统对AAA下发策略,告知攻击流的源地址,AAA可以根据源地址,对具有相应IMSI号的手机终端进行PPP拆线,释放无线侧资源。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.监测小流量DDOS攻击的方法,包括以下步骤 在城域网的出口部署DDOS监测系统,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线; 当时间S内流量是否持续超过流量阈值曲线时,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数; 当前成分占比超过成分占比阈值曲线次数大于N次,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值,判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,判定为发生DDOS攻击。
2.根据权利要求I所述监测小流量DDOS攻击的方法,判定为发生DDOS攻击之后,还包括以下步骤 DDOS监测系统对AAA下发策略,告知攻击流的源地址,AAA根据源地址,对具有相应IMSI号的手机终端进行PPP拆线,释放无线侧资源。
3.根据权利要求I或2所述监测小流量DDOS攻击的方法,根据采样数据计算流量阈值曲线的操作,包括以下步骤 获取在设定时间区域内每天的流量曲线,计算设定时间区域内的流量平均值A和峰值流量值B ; F = B A < B < = ηΑ η > I F = uB B > nA u < I 根据流量平均值和峰值流量值训练出η和u值,获取流量阈值曲线F。
4.根据权利要求I或2所述监测小流量DDOS攻击的方法,计算成分占比阈值曲线的操作,包括以下步骤 获取设定时间区域内应用成分的占比,计算该时间区域内的成分占比平均值I和峰值成分占比值J ; Z = J I < J < = ml m > I Z = pj J > ml p < I 根据成分占比平均值和峰值成分占比值训练出m和P值,获取成分占比阈值曲线Z。
5.根据权利要求I或2所述监测小流量DDOS攻击的方法,计算基站之间距离总和阈值的操作,包括以下步骤 获取设定时间区域内的平均基站距离总和D和设定时间区域内的实际最小距离总和T ; X = T D > T > = gD g < I X = yT T < gD y > I 根据平均基站距离总和值和实际最小距离总和值训练出g和y值,获取基站之间距离总和阈值X。
6.监测小流量DDOS攻击的DDOS监测系统,包括 基线分析过滤器,对访问设定系统的流量进行I : I的4-7层采样,根据采样数据计算流量阈值曲线,判断时间S内流量是否持续超过流量阈值曲线,如果是,通知成分分析过滤器;成分分析过滤器,读取IP包载荷的内容,计算成分占比阈值曲线,判断在时间S内当前成分占比超过成分占比阈值曲线次数是否大于N次,N为大于等于I的整数,如果是,通知相似度分析过滤器; 相似度分析过滤器,提取访问设定系统的IP源地址,根据IP源地址从AAA获取用户所连接的基站信息,计算基站之间距离总和阈值;判断当前基站之间的距离总和是否小于基站之间距离总和阈值,如果是,认为发生DDOS攻击。
7.根据权利要求6所述DDOS监测系统,还包括 告警与清洗过滤器,对AAA下发策略,告知攻击流的源地址,AAA根据源地址,对具有相应IMSI号的手机终端进行PPP拆线,释放无线侧资源。
8.根据权利要求6或7所述DDOS监测系统,其中 基线分析过滤器获取在设定时间区域内每天的流量曲线,计算设定时间区域内的流量平均值A和峰值流量值B,根据流量平均值和峰值流量值训练出η和u值,获取流量阈值曲线 F,F = B,A<B< = ηΑ, η > I ;F = uB, B > nA, u < I。
9.根据权利要求6或7所述DDOS监测系统,其中 成分分析过滤器获取设定时间区域内应用成分的占比,计算该时间区域内的成分占比平均值I和峰值成分占比值J ;根据成分占比平均值和峰值成分占比值训练出m和P值,获取成分占比阈值曲线 Z,Z = J,I<J<=mI,m>l;Z = pJ,J>mI,p<l。
10.根据权利要求6或7所述DDOS监测系统,其中 相似度分析过滤器获取设定时间区域内的平均基站距离总和D和设定时间区域内的实际最小距离总和T ;根据平均基站距离总和值和实际最小距离总和值训练出g和y值,获取基站之间距离总和阈值X,X = T, D > T >= gD, g < I ;X = yT, T < gD, y > I0
全文摘要
本发明公开了监测小流量DDOS攻击的方法与系统。针对现有的DDOS检测技术成本高、实施复杂、误判率高,无法针对那些瞄准应用层的DDOS作出响应等问题,提出了集成DPI技术的监测方案,采用基线分析+成分分析+相似度分析方法建立正常使用模型,对特征进行精确匹配以检测小流量攻击和应用层攻击,在运营商网络一点部署、全面覆盖,提高了检测的精准性。
文档编号H04L12/26GK102821081SQ201110155058
公开日2012年12月12日 申请日期2011年6月10日 优先权日2011年6月10日
发明者陆小铭, 曹维华, 余勇昌, 朱华虹 申请人:中国电信股份有限公司