王萌 宋汝鑫 嚴(yán)林濤 高宏佳 紀(jì)雷

Abstract： Abnormal traffic attacks have always been the weakness in Internet defenses. With the rapid development of science and technology， data traffic is becoming more and more cheaper. When the network bandwidth is gradually increasing， abnormal traffic attack is constantly developing. For the abnormal traffic attack， the attack scale is expanding and the attack means change quickly. The feature recognition and defense system based on abnormal traffic attack is determined to identify the data packet of the abnormal traffic attack and source IP of the abnormal traffic attack on the feature recognition， use the new IP address method for feature identification， and perform traffic cleaning based on CDN to defend it.

引言

在時(shí)下的各類涉及網(wǎng)絡(luò)安全的新聞報(bào)道中，關(guān)于異常流量攻擊的事件長期以來就一直吸引著學(xué)界各方的關(guān)注目光[1]。近年來，國內(nèi)外的技術(shù)人員和相應(yīng)機(jī)構(gòu)均已對(duì)各種典型異常流量攻擊工具（Trin00、TFN、Stacheldraht、TFN2K、Shaft、mstream等）展開了大量研究[2]。提出了IP追蹤的包標(biāo)記技術(shù)、判斷每個(gè)HTTP會(huì)話的異常性等技術(shù) [3-4]。然而，目前所有的防護(hù)產(chǎn)品還不足以防御異常流量的攻擊，防御技術(shù)需要隨著異常流量攻擊的升級(jí)發(fā)展而獲得更進(jìn)一步的研發(fā)完善。

本課題的目的是建立異常流量攻擊特征的選擇、表示、分析模型，然后基于敏感訪問參數(shù)，使用可變閾值約束相應(yīng)的源IP和數(shù)據(jù)包的流通；最后，又研究探討了基于內(nèi)容分發(fā)網(wǎng)絡(luò)CDN模型的異常流量攻擊流量清洗技術(shù)。

1系統(tǒng)需求分析

對(duì)于異常流量攻擊的防御主要包括如下內(nèi)容：特征識(shí)別、特征分析和流量清洗。構(gòu)建一個(gè)綜上所述的防御體系將會(huì)有效防御異常流量攻擊。本文中，就將圍繞這3個(gè)方面展開如下研究論述。

（1）基于遺傳算法的異常流量攻擊特征分析。對(duì)于新攻擊的特征能否進(jìn)行分析識(shí)別，將直接影響到對(duì)于異常流量攻擊的實(shí)時(shí)檢測[5]，所以本課題設(shè)計(jì)研發(fā)的4個(gè)問題可表述如下：異常流量攻擊特征的表示、異常流量攻擊的選擇、異常流量攻擊特征動(dòng)態(tài)分析以及異常流量攻擊特征模型求解。

（2）基于敏感訪問參數(shù)可變閾值約束的異常流量攻擊防御方法。本課題定義新的檢測模型，標(biāo)記策略上采用同一設(shè)備不同接口隨訪問參數(shù)自我調(diào)整的智能化標(biāo)記策略。主要包括4個(gè)關(guān)鍵技術(shù)，分別是：訪問參數(shù)確定、綜合防御方法、自主資源控制單元、仿真測試。

（3）基于CDN的異常流量攻擊的攻擊清洗技術(shù)。異常流量攻擊常常會(huì)使得網(wǎng)絡(luò)癱瘓、甚至崩潰，如何在異常流量攻擊下，確保網(wǎng)絡(luò)的服務(wù)，保護(hù)網(wǎng)絡(luò)設(shè)備的系統(tǒng)，即是本次研究力爭維持網(wǎng)絡(luò)基礎(chǔ)設(shè)施可用的最終目的[6]。在異常流量攻擊生效后，該網(wǎng)絡(luò)對(duì)外已經(jīng)失效，成為了信息孤島，在被攻擊的網(wǎng)絡(luò)邊界上無法準(zhǔn)確探得其IP地址[7]。本課題研究基于CDN的異常流量攻擊的攻擊清洗技術(shù)，使用CDN節(jié)點(diǎn)的特性很好地克服信息孤島的問題。使用節(jié)點(diǎn)的方式來疏通網(wǎng)絡(luò)，達(dá)到清洗的目的。

2技術(shù)路線

對(duì)于異常流量攻擊的研究首先就是分析異常流量攻擊的攻擊特點(diǎn)，然后使用合理的參數(shù)對(duì)異常流量攻擊進(jìn)行判斷，并且對(duì)其數(shù)據(jù)包以及源IP做出限制，以防御異常流量攻擊，最后再建立基于CDN技術(shù)的模型，從而對(duì)異常流量攻擊進(jìn)行清洗。具體研究可闡釋解析如下。

2.1基于遺傳算法的異常流量攻擊的攻擊特征分析

設(shè)Tn為時(shí)間片Δn（n=1，2，3，......）內(nèi)所有的IP地址集，Dn表示時(shí)間片Δn結(jié)束時(shí)白名單中的所有IP地址的集合。則Tn-Tn∩Dn表示Δn內(nèi)新出現(xiàn)IP地址的數(shù)量，并與Δn大小直接相關(guān)。為此，構(gòu)造Xn=Tn-Tn∩DnTn用于表示在時(shí)間片Δn內(nèi)新出現(xiàn)IP地址數(shù)量的變化。如果出現(xiàn)大量新IP地址，Xn就會(huì)呈現(xiàn)出大幅度的變化趨勢(shì)。Xn的結(jié)果曲線波動(dòng)繪制即如圖1所示。