基于异常流量攻击的特征识别和防御系统

打开文本图片集

Abstract： Abnormal traffic attacks have always been the weakness in Internet defenses. With the rapid development of science and technology， data traffic is becoming more and more cheaper. When the network bandwidth is gradually increasing， abnormal traffic attack is constantly developing. For the abnormal traffic attack， the attack scale is expanding and the attack means change quickly. The feature recognition and defense system based on abnormal traffic attack is determined to identify the data packet of the abnormal traffic attack and source IP of the abnormal traffic attack on the feature recognition， use the new IP address method for feature identification， and perform traffic cleaning based on CDN to defend it.

引言

在時下的各类涉及网络安全的新闻报道中，关于异常流量攻击的事件长期以来就一直吸引着学界各方的关注目光[1]。近年来，国内外的技术人员和相应机构均已对各种典型异常流量攻击工具（Trin00、TFN、Stacheldraht、TFN2K、Shaft、mstream等）展开了大量研究[2]。提出了IP追踪的包标记技术、判断每个HTTP会话的异常性等技术 [3-4]。然而，目前所有的防护产品还不足以防御异常流量的攻击，防御技术需要随着异常流量攻击的升级发展而获得更进一步的研发完善。

本课题的目的是建立异常流量攻击特征的选择、表示、分析模型，然后基于敏感访问参数，使用可变阈值约束相应的源IP和数据包的流通；最后，又研究探讨了基于内容分发网络CDN模型的异常流量攻击流量清洗技术。

1系统需求分析

对于异常流量攻击的防御主要包括如下内容：特征识别、特征分析和流量清洗。构建一个综上所述的防御体系将会有效防御异常流量攻击。本文中，就将围绕这3个方面展开如下研究论述。

（1）基于遗传算法的异常流量攻击特征分析。对于新攻击的特征能否进行分析识别，将直接影响到对于异常流量攻击的实时检测[5]，所以本课题设计研发的4个问题可表述如下：异常流量攻击特征的表示、异常流量攻击的选择、异常流量攻击特征动态分析以及异常流量攻击特征模型求解。

（2）基于敏感访问参数可变阈值约束的异常流量攻击防御方法。本课题定义新的检测模型，标记策略上采用同一设备不同接口随访问参数自我调整的智能化标记策略。主要包括4个关键技术，分别是：访问参数确定、综合防御方法、自主资源控制单元、仿真测试。

（3）基于CDN的异常流量攻击的攻击清洗技术。异常流量攻击常常会使得网络瘫痪、甚至崩溃，如何在异常流量攻击下，确保网络的服务，保护网络设备的系统，即是本次研究力争维持网络基础设施可用的最终目的[6]。在异常流量攻击生效后，该网络对外已经失效，成为了信息孤岛，在被攻击的网络边界上无法准确探得其IP地址[7]。本课题研究基于CDN的异常流量攻击的攻击清洗技术，使用CDN节点的特性很好地克服信息孤岛的问题。使用节点的方式来疏通网络，达到清洗的目的。

2技术路线

对于异常流量攻击的研究首先就是分析异常流量攻击的攻击特点，然后使用合理的参数对异常流量攻击进行判断，并且对其数据包以及源IP做出限制，以防御异常流量攻击，最后再建立基于CDN技术的模型，从而对异常流量攻击进行清洗。具体研究可阐释解析如下。

2.1基于遗传算法的异常流量攻击的攻击特征分析

设Tn为时间片Δn（n=1，2，3，......）内所有的IP地址集，Dn表示时间片Δn结束时白名单中的所有IP地址的集合。则Tn-Tn∩Dn表示Δn内新出现IP地址的数量，并与Δn大小直接相关。为此，构造Xn=Tn-Tn∩DnTn用于表示在时间片Δn内新出现IP地址数量的变化。如果出现大量新IP地址，Xn就会呈现出大幅度的变化趋势。Xn的结果曲线波动绘制即如图1所示。