基于流記錄的掃描和反射攻擊行為主機(jī)檢測(cè).pdf

1、反射攻擊是最近較為流行的一種分布式DDoS攻擊，對(duì)互聯(lián)網(wǎng)的正常運(yùn)行造成了比較嚴(yán)重的危害;掃描通常作為所有網(wǎng)絡(luò)入侵行為的起點(diǎn)在互聯(lián)網(wǎng)上普遍存在。本文的研究工作將以反射式DDoS攻擊和掃描現(xiàn)象作為研究對(duì)象。研究工作的目標(biāo)是利用流記錄提供的信息，設(shè)計(jì)檢測(cè)算法并基于一個(gè)以流記錄為分析數(shù)據(jù)源的精細(xì)化網(wǎng)管平臺(tái)NBOS(Network Behavior Observation System)檢測(cè)CERNET（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)）實(shí)際網(wǎng)絡(luò)環(huán)境中有反

2、射攻擊和掃描行為的主機(jī)。
　　在反射攻擊的研究方面，論文首先分析了UDP協(xié)議的反射攻擊的攻擊場(chǎng)景，并從流特征的角度給出了反射攻擊的定義。在此基礎(chǔ)上，從反射攻擊中放大器端口的使用方式角度對(duì)攻擊協(xié)議分為三類:(1)反射端口單一的攻擊協(xié)議;(2)反射端口隨機(jī)的攻擊協(xié)議;(3)攻擊使用基于TCP服務(wù)的協(xié)議。論文對(duì)第一類反射攻擊的協(xié)議進(jìn)行了分析，選擇了5種可以導(dǎo)致反射攻擊的基于UDP服務(wù)的協(xié)議作為研究對(duì)象，進(jìn)行進(jìn)一步深入的研究。研究工作從反

3、射攻擊的定義出發(fā)，設(shè)計(jì)了基于流記錄的反射攻擊行為主機(jī)檢測(cè)算法并在NBOS平臺(tái)部署該算法。論文還討論了在算法部署過程中所遇到流記錄數(shù)據(jù)源缺陷問題，針對(duì)這一問題給出了“分片端口-地址列表”和“基于NBOS角色函數(shù)”兩個(gè)解決方案，將解決方案運(yùn)用到檢測(cè)算法中。檢測(cè)算法在CERNET全網(wǎng)檢測(cè)出了大量的反射DDoS攻擊和導(dǎo)致攻擊的放大器地址。另外，論文根據(jù)反射攻擊原理和協(xié)議的漏洞，通過構(gòu)造導(dǎo)致攻擊的請(qǐng)求報(bào)文對(duì)檢測(cè)出的放大器進(jìn)行了模擬攻擊實(shí)驗(yàn)并獲得了

4、回復(fù)，從而證實(shí)了放大器的存在和檢測(cè)結(jié)果的正確性。
　　在此基礎(chǔ)上，論文進(jìn)一步對(duì)反射攻擊中放大器的帶寬放大系數(shù)BAF(bandwidth amplificationfactor)進(jìn)行了詳細(xì)的研究。BAF是衡量放大器流量放大特點(diǎn)的一個(gè)指標(biāo)。首先討論了傳統(tǒng)BAF計(jì)算方法的合理性和指出相關(guān)研究在計(jì)算BAF時(shí)未能考慮攻擊報(bào)文分片的問題，給出了使用一次攻擊中回復(fù)和請(qǐng)求的全報(bào)文長(zhǎng)度計(jì)算BAF的計(jì)算公式。然后利用本文檢出的CERNET內(nèi)有反射攻擊

5、行為的主機(jī)以及構(gòu)造出的攻擊報(bào)文，設(shè)計(jì)了一個(gè)BAF數(shù)據(jù)獲取實(shí)驗(yàn)。最后對(duì)于實(shí)驗(yàn)所獲取的數(shù)據(jù)計(jì)算主機(jī)BAF，從統(tǒng)計(jì)性、穩(wěn)定性、聚類等角度對(duì)BAF進(jìn)行了特征分析，結(jié)果表明:161端口與1900端口的放大器穩(wěn)定性較高，但總體BAF值偏小;123和19端口的放大器穩(wěn)定性較差，但放大器的BAF值較大。
　　論文對(duì)掃描行為的研究主要關(guān)注的是水平掃描行為。首先討論了基于流記錄進(jìn)行掃描檢測(cè)的可行性，在此基礎(chǔ)上設(shè)計(jì)了一個(gè)以流記錄為分析數(shù)據(jù)源的基于端口匹