1 引 言

DDoS［1］全名是 Distributed Denial of service \\( 分布式拒絕服務攻擊\\) ，它是一種分布式的協同發起的拒絕服務攻擊，借助數百、甚至數萬臺被入侵后安裝了攻擊進程的主機同時發起的集團行為． 它是危害更大、更易于達到攻擊效果、更難以抵御和追蹤的一種拒絕服務攻擊． 在這種嚴峻的形勢下，對DDoS 攻擊的研究逐漸稱為熱點，大量的 DDoS 檢測和防御技術應運而生． 然而 DDoS 攻擊技術在不斷發展，呈現出一些新的發展趨勢，這對攻擊檢測和防御提出了更高的要求． 主要表現有: 攻擊方式不斷更新、隱蔽性越來越強、攻擊準備時間縮短、隨著網絡技術的發展，漏洞會不斷產生、攻擊工具更加智能以及攻擊強度的不斷拉大這些都給檢測與防御造成很大的困難．根據防御策略防御可分為攻擊前，攻擊中，攻擊后的三個階段，防御技術可分為 4 大類［2］攻擊預防、攻擊檢測、攻擊源追蹤和攻擊緩解． DDoS 攻擊的檢測技術主要有異常檢測和誤用檢測兩大類． 如模式匹配［3］等． 本文研究重點在 DDoS 攻擊的檢測技術，怎樣及時高效的識別 DDoS 攻擊．傳統的 DDoS 檢測方法效率低下、系統開銷大、易產生單點失效且單點的異常檢測對分布式異常檢測處理能力弱． 基于協議特征分析的 DDoS 檢測方法不能檢測沒有明顯協議區別特征的 DDoS 攻擊，而基于網絡流量統計的 DDoS 檢測方法不能區分正常的大流量和 DDoS 的攻擊流量，可能會發生誤判且不可恢復． 由于存在這樣的問題迫切需要一種及時快速有效的檢測系統，盡早發現潛在的攻擊從而可以采取必要的措施來使損失降到最低．本文在現在有的檢測基礎上提出了一種新的檢測方法．我們通過在 P2P 骨干網的路由節點上部署 DDoS 檢測系統，在單點局部檢測的基礎上對檢測結果進行信息融合，采用全局決策的方式來判斷是否產生了 DDoS 攻擊． 目前單點檢測存在的問題有準確性不高，單點檢測閾值不好估算，計算量大，協同通信量大等問題，因此我們在單點檢測上基礎上修改了數據存儲結構，采用了信息熵與子空間以及聚類算法的方式來提空檢測效率．本文的貢獻主要有: 突破傳統集中式單點檢測在分布式情況下的局限性，利用局部檢測節點對網絡流量進行監控并發現潛在的被攻擊目標，再通過全網檢測節點信息的協同融合，實現在攻擊流量到達目標之前發現攻擊行為的目的． 利用連續的概要矩陣存儲采集得到的數據，對網絡報文的目的 IP地址信息進行壓縮存儲，即便于數據分析，采用信息熵的理論對網絡流量的變化進行統計，然后用子空間與聚類方法相結合的方式來來確認可疑的網絡行為． 優化了存儲空間，可以實時進行網絡流量監控，提高了單點檢測的準確性與及時性．通過對本文中分布式協同 DDoS 協同檢測系統的功能進行模擬仿真測試表明本系統可以滿足檢測率和假陽率的要求，與其它方案相比也具有很好的及時性與準確性，能夠及時準確的檢測到 DDoS 的攻擊．

2 相關研究

針對 DDoS 攻擊流量的大幅度增加特點利用流量變化來檢測 DDoS 是應用最廣泛的方法． 由此可以將檢測策略分為基于正常流特征和異常流特征的檢測． 如文獻［4，5］提到的基于 IPv6 下對泛洪 DDoS 攻擊時發生時流量顯著變化的特點進行檢測的方法．Jin［6］提出了一種利用協方差分析檢測 SYN flooding 攻擊的方法，它是通過對單位時間內不同的 TCP 報文累積量化計算協方差矩陣來得出其變化情況從而判斷是否發生了攻擊．此外，基于熵的攻擊檢測方式也越來越受到關注，如: 文獻［7］提到的基于小波理論與信息相結合的方式進行 DDoS攻擊的檢測方法以及 文獻［8］提到的應用滑動窗口理論的目的 IP 熵計算方法來檢測 DDoS 攻擊． 但是存在存儲空間大、只是單點檢測沒有多個節點協同檢測的缺點．由此可見，僅通過攻擊流特征或者正常流特征難以準確識別 DDoS 攻擊． 根據現在檢測方法的不足，提出了基于 DHT技術的協同分布式拒絕服務攻擊檢測系統，攻擊檢測平臺的工作內容主要著眼為: 單個檢測點和全局協同判斷． 單點檢測描述了如何收集和壓縮大量的網絡信息，并從中判斷出可疑行為． 全局檢測主要介紹在分布式網絡中運行 DHT 技術貯存信息的優勢，并解釋為了使用網絡中單個檢測節點協同工作，是如何運用 DHT 技術進行信息共享從而做出全局決策的． 本文著重介紹了基于熵的聚類算法來分析流量特征的單點檢測技術．3 熵聚類的單點檢測技術。

網絡中分布部署的單個檢測點共同構成了協同檢測平臺，當檢測點獲取到網絡流量信息后對數據進行壓縮，并利用其結果更新連續概要矩陣，存儲數據． 檢測點根據信息熵與聚類算法對連續概要矩陣中的內容對流量做出初步的判斷，得到局部檢測結果，生成可疑目的 IP 的概要信息．

3． 1 熵理論

熵是用來度量隨機事件的不確定性［9］． 通過熵理論來判斷單位時間內數據的離散程度，從而進行異常發生的判斷［10］． 本文中，我們把采集到的流量信息中的源 / 目的 IP 以及的端口信息作為隨機事件的離散信息，然后應用熵理論對其進行分析． 設集合 X = { ni，i =1，2，…N} ，表示事件 i 在總的事件集中發生了 ni次，則熵的定義就是:

其中，S = ∑Ni = 1ni． 代表所有事件總的發生次數． 熵的取值范圍在［0 － logN2］之間，當所有事件為同一事件時，分布最大化集中，此時熵值為 0． 當 ni= n2= … = nN，即等概率分布的情況出現時，分布最大化分散，此時熵取最大值．DDoS 攻擊主要有準備階段、控制階段與攻擊發起階段，在每一階段都可選取關鍵參數或方法進行判斷． 如文獻［11］中提到的選取源目 IP 地址和源目端口數等特征分別進行熵估算，從而判斷是否有攻擊發生． 如果為了達到更準確的效果，可以選擇更為詳細的參數，但是這樣會增加運行時間，因此本文只選取最關鍵的流量特征． 這樣可以在不加系統負擔的情況下提高檢測的及時性而又不損失檢測的準確性．為了保證檢測的敏感性，系統需要頻繁大量的采集網絡流量數據信息，這樣才能及時的掌握攻擊行為． 為此我們利用Sketch 數據結構［12］壓縮流量信息生成網絡流量信息的概要矩陣． 局部檢測將在連續概要矩陣收集的信息中做出判斷． 然后對可疑概要矩陣的每一行進行反向散列運算，根據可疑 IP地址概要信息對可疑概要矩陣的各行進行反向散列運算后的結果做交集，得到交集的結果即為可疑 IP 地址．選用 m 個長度均為 s 的 hash 函數 h1\\( ·\\) ，h2\\( ·\\) ，…，hm\\( ·\\) 來檢測網絡流量中的源 IP 地址跟目的 IP 地址，這種鄰近的源地址跟目的地址能夠落入 hash 矩陣中相同的位置．首先進行局部檢測來計算本地 sketch． 每個路由器 Ri，i = 1，2，…，N 來收集某一時刻進行該網絡的網絡流量． 對于網絡 IP 流的 5-元組中的二個特征\\( SIP，DIP\\) 利用 m-sketches來計算相應位置． 由于采用這和結構因此每個結點每個時刻就有 2 × m 個 sketches． 在這里我們采用信息熵來衡量異常分布情況［10］． 為了實現這個，每個路由 Ri維持2 × m 個長度為 s的 histogram-sketches 概要矩陣，對于每一個 SIP 和 DIP 有 m個 sketches． 如下頁圖 1 所示． 對于每一個 j，j =1，2，…，m，網絡流 T =〈F，P，T〉可以 hash 到 k 位置，k = hj\\( HashKey\\( F\\) \\) ，即: 網絡流 ＜ SourceAddress\\( F\\) ，P ＞ 被加入到 SIP sketches 中的 hj中的 k 位置，相應的記錄會分別加入到 DIP 和 SIP 的相應位置．在每一個時間間隔 T 中，都會形成一個網絡流量的目的IP 的分布，我們來計算這個分布的信息熵． 在以信息熵為基礎的體系中，每一個時間段內，每個特征的信息熵都是變化的，這里我們使用三維矩陣 H\\( t，p，k\\) 來表示時間段 t 時刻內，p 個 OD 數據流，每 k 個特征的信息熵［10］．

3． 2 子空間方法

計算流量測量數據的信息熵之后，先應用 PCA\\( PrincipalComponents Analysis，簡稱 PCA\\) 對數據做預處理［13］，再使用子空間方法進行異常檢測． 子空間算法的基本思想是按照一定的規則從通過 PCA 求得的主成分中選擇部分主成分作為正常子空間，其余的作為異常子空間． 將正常的對已生成的熵矩陣采用主成分分析法\\( Principal Components Analysis，簡稱PCA\\) 進行分析［13］，以此來檢測異常的發生． PCA 方法主要是采用降維思想在保持總方差不變的情況下將多維數據轉換為低維數據． 通過轉換后可以求得網絡流量特征的正常流子空間與異常流子空間，如: 源 IP 地址，目的 IP 地址．為了應用子空間方法，我們把這個多路特征矩陣展開成一路特征矩陣 H，即應用多路子空間方法［13］． 一旦轉換完成，子空間方法就可以應用到檢測到不同的 OD 交叉流和不同的交叉特征中，如圖 1 所示． 每一個 OD 數據流都可以表示成正常與異常成分之和． 具體如下: 在 t 時刻，把網絡流量分解投影到正常與異常子空間: x =^x+珓x，其中 x 表示特殊時刻 t 的流量向量，^x 表示正常的流量向量，x珓 表示異常流量向量． 可以通過檢察珓x 向量的大小‖珓x‖2． 來檢測異常流量． 一般取平方預測誤差方法\\( SPE\\) : SPE = ‖x珓‖2≤δ2α，其中 δ2α表示 1 － α置信度下的閾值［14］． 此時應用 PCA 方法，矩陣中每行都被分解成為 x =^x+珓x． 對于每個 hash 函數都應用子空間方法．

3． 3 聚類算法

應用子空間將 SIP 和 DIP 特征生成的子空間進行動態聚類操作，從而對異常流量進行劃分．聚類算法是將相似信息不斷劃分為同類的迭代過程． 通過聚類分析可以分類正常的流量跟 DDoS 攻擊的流量．k-means 算法［15］是一種 Cluster analysis 的算法，其主要是來計算數據聚集的算法，主要通過不斷地取離種子點最近均值的動態聚類算法，其要點是以誤差平方和為準則函數． 基本思想是［16］: 把 n 個對象分為以輸入量 K 為參數的 K 個聚類，并滿足以下條件: 同聚類中的對象相似度較高，不同聚類之間的對象相似度較低． 而聚類相似度的計算是通過一個聚類中對象的平均值所得到的中心對象來進行的． 處理流程［17］為:首先從 n 個數據對象中任意選取 K 個作為初始聚類中心; 其次根據每個聚類對象的均值，計算其余每個對象與各個聚類中心的距離，并將它們重新分配到與之最相匹配的聚類中，然后重新計算每個聚類的中心． 不斷重復上述過程，直到每個聚類不再變化為止． 一般采用平均誤差和方法作為聚類準則函數，公式如下:

k-means 分類過程如圖 2 所示． 經證明，該方法能夠滿足異常類型劃分的要求［18］．

3． 4 局部檢測

經過上述步驟后，單個檢測點對網絡流量進行實時處理，當有檢測到異常流量時生成完整的連續概要矩陣． 局部檢測的任務是從連續概要矩陣中存儲的簡化信息中分析判斷得出可疑的概要信息，完成局部檢測，進一步簡化對 DDoS 全局檢測有用的信息．對于 SIP，DIP 每一個特征，生成可疑概要矩陣． 然后將存儲兩個概要信息的連續概要矩陣通過上述過程獲得可疑SIPSt、DIPSt地址． 由于查詢可疑概要信息對應的目的 IP 地址會使檢測節點的負擔加重到不能容忍的地步，因此引用了概要矩陣反編技術\\( Reverse Sketch\\)［19］解決上述問題． 這樣能夠在不犧牲本地資源的條件下識別可疑的 IP 地址． 如圖 3所示，步驟如下: 首先對可疑概要矩陣的每一行進行反向散列運算，其次根據運算后的結果做交集，得到的交集中的 IP 地址即為原始可疑 IP 地址．3． 5 信息融合及全局決策每一個中間檢測節點發送共享信息時，檢測節點以每個可疑 IP 地址和其概要信息為關鍵字，利用 DHT 構建聚合樹進行路徑共享． 檢測平臺上的單個檢測點完成局部檢測后，將局部檢測結果作為全局決策中確認 DDoS 攻擊的根本依據匯集到最終決策點． 本文中采用的是 P2P 網絡，它是對待連接，每個節點都有共享網絡資源并提供服務． 這里所有單個節點都會產生隨機的局部檢測結果，即所有的節點都均勻的分布保存著用于全局決策的證據信息． 按照 P2P 網絡對資源的查找方式，我們利用 DHT 查找方法生成共享路徑，生成最終的決策點．為了更好的對單點信息進行融合處理采用分布式哈希表\\( Distributed Hash Table，簡稱 DHT\\) 查找方法． DHT 查詢網絡不存在中心服務器，每個節點負責一定范圍的路由，并在本地保存部分路由信息，實現存儲和查找的方法．當查找某一個資源的時候，查詢節點把查詢信息轉發到當前節點所存路由表中距離目標資源所在節點最近的節點．然后該目標節點重復這一過程，因為每次都是向與所尋找的節點的位置相近節點發送請求信息，這樣能夠保證在有限次轉發后，找到所需位置［20］．協同檢測系統信息共享網絡的目的就是把檢測到相同可疑概要信息的檢測節點快速有效的組織起來生成信息共享拓撲路徑，并最終讓所有信息匯聚在一個點從而做出最終的全局決策． 在融合過程中，盡量讓局部檢測信息最大限度的融合簡化，而不是直接上傳到最終目標節點，減少最終決策點的負荷．

在進行信息融合的過程中，對所產生的異常子空間的信息熵也進行融合，從而產生全局的子空間信息熵矩陣，然后對這個矩陣進行分析，再次通過聚類算法來確定閾值，對其是否有異常進行全局判斷，以保證全局決策的正確性． 當檢測到異常時，通過對全局信息進行整合，簡化處理過程，生成最終的檢測結果，然后再進行 DHT 查找． 我們用改進的 Chord 算法［21］進行 DHT 查找，使得每個節點都可以成為根節點，動態的建立聚合樹，利用改進后 Chord 算法構建用于確定融合路徑的聚合樹［22］，促使產生相同可疑目的 IP 地址的局部檢測點組織生成聚合樹，局部檢測信息根據聚合樹產生的路徑，經過多跳路由逐步融合信息，最終匯聚在根節點進行全局決策．系統結構圖如圖 4 所示．

4 性能評估

DDoS 攻擊的協同檢測方案實驗中，我們部署了由 65 個節點組成的大型網絡，由15 個邊緣節點對處于區域7 內的67號節點采用“多對一”的方式發起 DDoS 攻擊，以求達到很快耗盡服務器的資源達到拒絕服務的目的． 我們采用 TFN2k 軟件，通過主控端利用15 個攻擊節點的資源對目標節點發起攻擊．實驗環境網絡拓撲圖如圖 5 所示．

4． 1 系統及時性分析

在對兩種不同的檢測方案的及時性分析上，以檢測到攻擊與開始攻擊的時間差 Δt 為指標，對比分析不同方案的及時性，并檢測方案產生報警時目標節點的攻擊程度，攻擊程度由目標節點的 CPU 使用率、內存占用、帶寬占用等指標綜合評判．其中，分布式協同檢測方案的檢測時間為 3． 4s，單點檢測方案的檢測時間為 11． 2s，如圖 6 所示．分析上實驗數據可以發現，從及時性這一指標上來看，我們的檢測方案相比單點檢測方案，具有更加及時的特點，相應的，檢測方案作出攻擊報警時，目標節點的攻擊程度是最低的．

4． 2 系統準確性分析

在對兩種不同的檢測方案的準確性分析上，我們采用了檢測率和假陽率兩項指標．針對兩種不同的檢測方案，分別進行了 10 組實驗，每組實驗中攻擊節點分批次發送了 10 次攻擊流，并統計了每組實驗中不同檢測方案的攻擊發送總次數、檢測方案報警次數以及檢測方案誤報次數． 最后計算了兩種不同檢測方案的檢測率和假陽率的平均值，進行比較分析．其中分布式協同檢測方案的檢測率為 98%，單點檢測方案的檢測率為 73%．其中分布式協同檢測方案的假陽率為 1%，單點檢測方案的假陽率為 19%，如圖 7 所示．經過分析實驗結果我們發現，分布式協同 DDoS 檢測方案具有較高的檢測率和較低的假陽率，但單點檢測方案的檢測率較低，假陽率也較高．

5 結論與未來展望

本文主要研究在在 DHT 協同 DDoS 檢測系統中單點檢測功能的設計與改進，針對目前分布式檢測存儲數據流量消耗過大、檢測效率不高的問題，我們使用 Sketcher 結構存儲流量信息，通過使用基于信息熵和子空間的聚類算法生成概要矩陣，在此基礎上設計了局部檢測模塊進行初步可疑信息過濾． 然后將可疑信息進行全局融合，通過 DHT 算法，生成聚合樹，將檢測節點協同工作，實現檢測信息的傳遞共享從而達到分布式協同檢測的效果，最后設計了全局決策模塊進行最后的決策． 局部檢測異常流量的篩選主要是通過聚類算法中的k-means 方法來確認，然后再進行信息共享，達到及時快速準確的檢測目的．在最后的測試階段，對協同 DDoS 檢測系統的及時性、準確性進行了詳細的測試分析，并與單點檢測方案和集中式單點檢測方案進行了比較，證明本文設計實現的分布式協同 DDoS檢測系統達到了良好的效果，能有效完成攻擊檢測任務．進一步工作我們將對大規模網絡流量異常檢測進行深入挖掘，了解最新的檢測方法與技術． 對局部檢測的 sketches 存儲結構做進一步的優化，盡量減少存儲空間，改進聚類算法，縮短檢測時間，減少測量數據的傳輸，提高節點路由的檢測效率，達到更好的分類與檢測的效果，從而提高全局檢測的效率與最終決策的決策．