[发明专利]基于概要矩阵的分布式拒绝服务攻击检测方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于信息压缩技术在局部监控全局流量并正确发现可能被攻击目标，以及如何进行全局协同从而尽早确认被攻击目标的分布式拒绝服务攻击检测方法及系统。

背景技术

信息技术的不断发展、计算机网络的日益普及，人们的正常生活已经离不开互联网。互联网技术的发展日新月异，但随之产生的安全问题和隐患也越来越多。计算机应急响应组协调中心（Computer Emergency Response Team /Coordination Center，CERT）曾对互联网相关漏洞以及攻击复杂度和易用性的发展趋势公布一份报告，该报告的内容显示：互联网漏洞的发现数从1995年的250个到1999年的500个呈缓慢式增长；从1999年开始呈现爆发态势，到2001年达到峰值4000个漏洞的报告数。漏洞的增多导致对应互联网攻击手段越来越复杂，但CERT的统计数据还显示自1990年到2001年间与日趋复杂的攻击手段相应的攻击技巧和知识含量却不断下降。

如此严峻的安全形势下，计算机网络的安全性显得尤为重要。在众多计算机网络安全问题中，分布式拒绝服务（DDoS）攻击由于攻击代价低，且攻击工具肆意泛滥，近年来已成为影响网络可用性的首要威胁之一。Arbor Networks第五次年度安全报告称，2009年分布式拒绝服务攻击发生的次数增长了20%，并且随后的一年里，基于僵尸网络发起的分布式拒绝服务攻击将成为网络服务提供商们关心的首要问题。 

分布式拒绝服务攻击是指利用一批受控制的机器向一台机器发送貌似合法的服务请求来占用过多的服务资源，从而使合法的用户无法得到服务。如图1所示，实施分布式拒绝服务攻击的网络分为四个区域，区域1为黑客所在网络即实际攻击机、区域2是傀儡控制机、区域3是攻击傀儡机网络、区域4是被攻击的受害者。区域3的傀儡机越多攻击发起的初期可能产生的攻击流量就越小，越不易发现。从形式上，分布式拒绝服务主要分为：1）对网络宽带发起攻击，运用大量的通信量冲击网络，使得可用网络资源消耗殆尽；2）对计算机资源发起攻击，运用大量的连接请求冲击计算机，使得所有可用的系统资源都消耗殆尽。从攻击原理上可分为两类：1、直接攻击，攻击者直接向被攻击主机发送大量攻击分组；2、反射攻击，利用中间结点(包括路由器和主机，又称为反射结点)  进行攻击。

针对分布式拒绝服务攻击，如何能在攻击发起的初始阶段及时有效的检测出攻击，对减少攻击损失至关重要。但是DDoS攻击具有攻击特征不明显和空间分布广的特点，使得防护系统难以及时有效的发现攻击并采取应对措施。DDoS 攻击分布式的特性决定了攻击在网络局部的攻击流可能非常小，容易掩藏于正常报文流中，难以被正确识别。另外，通过操控一个在全网分布的傀儡机攻击网来发起协同攻击，使得网络局部难以得到攻击的整体态势，也增加了协同检测的难度。针对分布式拒绝服务攻击检测问题，现有技术存在集中式单点检测和分布式检测两类方法。

早期的DDoS检测以集中式单点检测为主，通过分析本地流量特征，如源目的IP地址分布熵、报文到达间隔时间、特定协议报文比例、TTL值等，检测提取DDoS攻击引起的流量异常。例如：中国专利申请号为20110262106.5、名称为 “一种DoS/DDos攻击检测方法” 公开的技术方案中根据到达目的IP流量的平均波动情况检测流量异常；中国专利申请号为200910243441.3、名称为“一种DDoS攻击检测方法”公开的技术方案中统计单位时间内各类型报文比例、通过预设经验阈值检测DDoS 攻击；程杰仁等在《计算机研究与发展》2009年第8期发表的《基于地址相关度的分布式拒绝服务攻击检测方法》中定义报文源地址和目的地址相关度概念，并以此检测地址欺骗的DDoS攻击。但是，集中式单点检测方法受限于DDoS攻击的强度，攻击流量比例越大，检测准确率越高；检测系统越靠近受害者，检测迟缓越小。但DDoS攻击的攻击源分散且每个攻击源产生的攻击流量较小，因此集中式单点检测方法难以保证检测的及时性和准确性（漏报率和误报率）。