CN105007271B - 一种DDoS攻击僵尸网络的识别方法及*** - Google Patents

一种DDoS攻击僵尸网络的识别方法及*** Download PDF

Info

Publication number
CN105007271B
CN105007271B CN201510424040.3A CN201510424040A CN105007271B CN 105007271 B CN105007271 B CN 105007271B CN 201510424040 A CN201510424040 A CN 201510424040A CN 105007271 B CN105007271 B CN 105007271B
Authority
CN
China
Prior art keywords
botnet
domain
sbs
attack
measurement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510424040.3A
Other languages
English (en)
Other versions
CN105007271A (zh
Inventor
肖军
云晓春
张永铮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201510424040.3A priority Critical patent/CN105007271B/zh
Publication of CN105007271A publication Critical patent/CN105007271A/zh
Application granted granted Critical
Publication of CN105007271B publication Critical patent/CN105007271B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种DDoS攻击僵尸网络的识别方法及***。通过测量各链路可用带宽,推断各域发出的攻击流量,进而识别出发动DDoS攻击的僵尸网络。本发明不依赖于具体的DDoS攻击类型,适用于各种协议,且无需对现有网络设备进行修改。

Description

一种DDoS攻击僵尸网络的识别方法及***
技术领域
本发明属于计算机网络安全技术领域,涉及网络攻击溯源,具体涉及一种DDoS攻击僵尸网络的识别方法及***。
背景技术
Botnet也是就是我们所说的僵尸网络,是指采用一种或多种传播手段,将大量主机感染bot(僵尸程序),从而在控制者和被感染主机之间所形成的一个或一对多控制的网络。控制僵尸网络的攻击者通常利用其拥有的botnet以DDoS(Distribution DenialofService,分布式拒绝服务)攻击、银行卡密码窃取、垃圾邮件发送、敏感信息盗窃等攻击方式进行牟利。
DDoS攻击是指将多个计算机联合起来作为攻击平台,采用合理的服务请求来占用一个或多个目标服务器的大量服务资源,从而使合法用户无法得到该服务器的服务响应。
当前存在一些DDoS攻击的溯源技术,主要通过对流经路由器的数据包打标记,从而能够推断出攻击路径(攻击数据包流经过的链路和路由器)和攻击源头(攻击包流出的边界路由器),还没有对发动DDoS攻击的僵尸网络进行识别的技术。
发明内容
本发明提供了一种DDoS攻击僵尸网络的识别方法及***。通过测量各链路可用带宽,推断各域发出的攻击流量,进而识别出发动DDoS攻击的僵尸网络。
为了实现上述目的,本发明采用以下技术方案:
一种DDoS攻击僵尸网络的识别方法,包括以下步骤:
(1)检测到DDoS攻击后,分别测量各域的数据链路的可用带宽,直至满足链路可用带宽测量精度;
(2)根据上述测量结果,结合无攻击时的可用带宽得到对应域发出的攻击流量;
(3)根据得到的攻击流量,结合僵尸主机的分布信息,识别出DDoS僵尸网络。
进一步地,采用基于熵的DDoS检测技术检测DDoS攻击。
进一步地,基于探测报文速率模型(probe rate model,PRM)测量可用带宽。
进一步地,上述“满足链路可用带宽测量精度”是指相邻两次测量结果的差别(即二者的差值除以两者中的最小值)小于一个设定阈值。具体来说,假设前一个测量得到的可用带宽是A1,接下来的一次测量得到的可用带宽是A2,则|A1-A2|/min(A1,A2)<=设定阈值THD时可认为满足了测量的精度要求。这个设定阈值取决于具体的精度要求,比如5%或者3%。
上述僵尸主机的分布信息主要是指各僵尸网络的僵尸程序(bot)在各域中的分布比率。例如假设有M个域(多少个域这个是根据实际网络的拓扑结构来定的,以电信为例,可以视各省的电信为一个域),一个僵尸网络在各域的bot数量是N1,N2,...,NM,则在第i个域内的bot分布比率为Ni/(N1+N2+…+NM)。
进一步地,根据以下方法识别DDoS僵尸网络:
(1)选取域对(di,dj),要求i,j满足如果存在这样的域对,进入步骤(2),否则进入步骤(5),UST表示已比较过的域对集合,di,dj分别表示第i个域和第j个域,bi,bj分别表示第i个僵尸网络和第j个僵尸网络。
(2)如果|SBS|=1或者|UST|=M(M-1)/2,进入步骤(5),否则进入步骤(3),SBS表示剩余的可疑僵尸网络集合,SBS=BS={b1,b2,...,bN},BS代表含有N个僵尸网络的集合,M表示域的总个数。
(3)选取SBS中的元素bn,要求bn未经历过步骤(4),如果存在这样的元素bn,进入步骤(4),否则UST=UST+{(bi,bj)},转为步骤(1)。
(4)如果bn满足和vi<vj,则SBS=SBS-{bn},转入步骤(2),bn表示SBS的任何一个元素,分别表示第n个僵尸网络在第i个和第j个域的僵尸主机比率,Φ表示识别阈值,vi,vj分别表示第i个域和第j个域对应的攻击流量大小,1≤i≤M,1≤j≤M。
(5)如果|SBS|=1,则SBS中剩余的元素就是发动攻击的僵尸网络,否则从SBS中随机选择一个元素作为发动攻击的僵尸网络。
一种DDoS攻击僵尸网络的识别***,包括:
识别器,用于识别DDoS攻击;发起链路可用带宽测量指令给测量器;以及根据测量器的返回信息,识别发动DDoS攻击的僵尸网络;
测量器,用于接受识别器的可用带宽测量指令;发起可用带宽测量指令给对应域的测量点;接受测量点发来的测量数据包,测量可用带宽;在测量结束后返回测量结果给识别器;
测量点,用于根据测量器发来的测量指令,发送测量数据包给对应的测量器,直至满足测量精度要求;
其中,识别器部署在骨干路由器上;测量器部署在链接一个域的骨干路由器上;测量点部署在一个域的边界路由器上。
本发明的有益效果如下:
本发明能够有效识别出发动DDoS攻击的僵尸网络,本发明不依赖于具体的DDoS攻击类型,适用于各种协议,且无需对现有网络设备进行修改。
附图说明
图1是本发明识别发动DDoS攻击的僵尸网络的***布署示意图,其中:I:识别器(identifier),R:路由器(router),M:测量器(measurer),A:测量点(agent),B:僵尸程序(bot),C:客户端(client)。
图2是本发明识别发动DDoS攻击的僵尸网络的方法流程图。
具体实施方式
本发明公开了一种识别发动DDoS攻击的僵尸网络的方法及***。下面分别介绍***部署方式、***架构图、对僵尸网络的识别流程和其中的核心算法。
(1)***介绍及部署方式
***部署方式如图1所示。***包括三个部分:识别器(identifier)、测量器(measurer)和测量点(agent)。
这三个部分功能介绍如下:
识别器:识别DDoS攻击;发起链路可用带宽测量指令给测量器;根据测量器的返回信息,推断发动DDoS攻击的僵尸网络。
测量器:接受识别器的带宽测量指令;发起可用带宽测量指令给对应域的测量点;接受测量点发来的测量数据包,测量可用带宽;在测量结束后返回测量结果给识别器。
测量点:根据测量器发来的测量指令,发送测量数据包给对应的测量器,直至满足测量精度要求。
其中,识别器部署在骨干路由器上;测量器部署在链接一个域的骨干路由器上;测量点部署在一个域的边界路由器上。
域:域通常是较大的子网或者网段,如一个省份或者一个市的网络视为一个域。
(2)识别流程
本发明的识别流程如图2所示,主要包括以下步骤:
1)在线运行识别器(identifier),检测DDoS攻击;
2)识别器(identifier)发送可用带宽测量指令给测量器(measurer);
3)测量器(measurer)发送可用带宽测量指令给对应的测量点(agent);
4)测量点(agent)发送测量数据包给对应的测量器(measurer);
5)判断是否达到链路可用带宽测量精度,如果未达到,则重复步骤4);如果已达到,则进行下一步;
6)测量器(measurer)根据测量结果,结合无攻击时的可用带宽,得到对应域发出的攻击流量;
7)测量器(measurer)返回攻击流量信息结果给识别器(identifier);
8)识别器(identifier)根据返回结果,结合僵尸网络的僵尸主机分布信息,识别出发动DDoS攻击的僵尸网络。
本发明采用基于熵的DDoS检测技术。具体可参考IP packet size entropy-basedscheme for detection ofDoS/DDoS attacks.
(3)核心识别算法
下面介绍identifier根据僵尸主机在各个域的分布情况和各域的攻击流量,识别发动DDoS攻击的僵尸网络的算法。
1)假设共有M个域。域集合为DS={d1,d2,...,dM},第i个域对应的攻击流量大小为vi(1≤i≤M);共有N个僵尸网络,僵尸网络集合是BS={b1,b2,...,bN};剩余的可疑僵尸网络集合SBS=BS;已比较过的域对集合UST={}。设定一个识别阈值Φ,该阈值为经验值,推荐设定为0.2或者0.5。表示第n个僵尸网络在第i个和第j个域的僵尸主机比率。
2)while|SBS|>1or|DS|<M(M-1)/2:
3)选择域对(di,dj),i,j满足
4)for SBS的任何一个元素bn
5)if bn满足and vi<vj
6)SBS:=SBS-{bn}
7)endif
8)endfor
9)UST:=UST+{(bi,bj)}
10)end while
11)
12)if|SBS|==1then
13)SBS中剩下的那个元素就是发动攻击的僵尸网络
14)else
15)从SBS中随机选择一个元素作为发动攻击的僵尸网络。

Claims (9)

1.一种DDoS攻击僵尸网络的识别方法,包括以下步骤:
(1)检测到DDoS攻击后,分别测量各域的数据链路的可用带宽,直至满足链路可用带宽测量精度;
(2)根据上述测量结果,结合无攻击时的可用带宽得到对应域发出的攻击流量;
(3)根据得到的攻击流量,结合僵尸主机的分布信息,识别出DDoS僵尸网络,所述僵尸主机的分布信息是指各僵尸网络的僵尸程序在各域中的分布比率;其中:根据以下方法识别DDoS僵尸网络:
1)选取域对(di,dj),要求i,j满足如果存在这样的域对,进入步骤2),否则进入步骤5),UST表示已比较过的域对集合,di,dj分别表示第i个域和第j个域,bi,bj分别表示第i个僵尸网络和第j个僵尸网络;
2)如果|SBS|=1或者|UST|=M(M-1)/2,进入步骤5),否则进入步骤3),SBS表示剩余的可疑僵尸网络集合,SBS=BS={b1,b2,...,bN},BS代表含有N个僵尸网络的集合,M表示域的总个数;
3)选取SBS中的元素bn,要求bn未经历过步骤4),如果存在这样的元素bn,进入步骤4),否则UST=UST+{(bi,bj)},转为步骤1);
4)如果bn满足ri n≥(1+Φ)rj n和vi<vj,则SBS=SBS-{bn},转入步骤2),bn表示SBS的任何一个元素,ri n,rj n分别表示第n个僵尸网络在第i个和第j个域的僵尸主机比率,Φ表示识别阈值,vi,vj分别表示第i个域和第j个域对应的攻击流量大小,1≤i≤M,1≤j≤M;
5)如果|SBS|=1,则SBS中剩余的元素就是发动攻击的僵尸网络,否则从SBS中随机选择一个元素作为发动攻击的僵尸网络。
2.如权利要求1所述的DDoS攻击僵尸网络的识别方法,其特征在于,采用基于熵的DDoS检测技术检测DDoS攻击。
3.如权利要求1所述的DDoS攻击僵尸网络的识别方法,其特征在于,基于探测报文速率模型测量可用带宽。
4.如权利要求1所述的DDoS攻击僵尸网络的识别方法,其特征在于,所述满足链路可用带宽测量精度是指相邻两次测量结果的差别小于一个设定阈值。
5.如权利要求4所述的DDoS攻击僵尸网络的识别方法,其特征在于,|A1-A2|/min(A1,A2)<=THD时,则认为满足链路可用带宽测量精度要求,其中,A1表示前一个测量得到的可用带宽,A2表示接下来的一次测量得到的可用带宽,THD表示设定阈值。
6.如权利要求1所述的DDoS攻击僵尸网络的识别方法,其特征在于,所述僵尸程序在各域中的分布比率为Ni/N1+N2+…+NM,i表示第i个域,M表示域的个数,N1,N2,...,NM表示一个僵尸网络在各域的僵尸程序数量。
7.如权利要求1所述的DDoS攻击僵尸网络的识别方法,其特征在于,根据以下方法识别DDoS僵尸网络:
1)选取域对(di,dj),要求i,j满足如果存在这样的域对,进入步骤2),否则进入步骤5),UST表示已比较过的域对集合,di,dj分别表示第i个域和第j个域,bi,bj分别表示第i个僵尸网络和第j个僵尸网络;
2)如果|SBS|=1或者|UST|=M(M-1)/2,进入步骤5),否则进入步骤3),SBS表示剩余的可疑僵尸网络集合,SBS=BS={b1,b2,...,bN},BS代表含有N个僵尸网络的集合,M表示域的总个数;
3)选取SBS中的元素bn,要求bn未经历过步骤4),如果存在这样的元素bn,进入步骤4),否则UST=UST+{(bi,bj)},转为步骤1);
4)如果bn满足ri n≥(1+Φ)rj n和vi<vj,则SBS=SBS-{bn},转入步骤2),bn表示SBS的任何一个元素,ri n,rj n分别表示第n个僵尸网络在第i个和第j个域的僵尸主机比率,Φ表示识别阈值,vi,vj分别表示第i个域和第j个域对应的攻击流量大小,1≤i≤M,1≤j≤M;
5)如果|SBS|=1,则SBS中剩余的元素就是发动攻击的僵尸网络,否则从SBS中随机选择一个元素作为发动攻击的僵尸网络。
8.一种DDoS攻击僵尸网络的识别***,包括:
识别器,用于识别DDoS攻击;发起链路可用带宽测量指令给测量器;以及根据测量器的返回信息,识别发动DDoS攻击的僵尸网络,其中:根据以下方法识别DDoS僵尸网络:
1)选取域对(di,dj),要求i,j满足如果存在这样的域对,进入步骤2),否则进入步骤5),UST表示已比较过的域对集合,di,dj分别表示第i个域和第j个域,bi,bj分别表示第i个僵尸网络和第j个僵尸网络;
2)如果|SBS|=1或者|UST|=M(M-1)/2,进入步骤5),否则进入步骤3),SBS表示剩余的可疑僵尸网络集合,SBS=BS={b1,b2,...,bN},BS代表含有N个僵尸网络的集合,M表示域的总个数;
3)选取SBS中的元素bn,要求bn未经历过步骤4),如果存在这样的元素bn,进入步骤4),否则UST=UST+{(bi,bj)},转为步骤1);
4)如果bn满足ri n≥(1+Φ)rj n和vi<vj,则SBS=SBS-{bn},转入步骤2),bn表示SBS的任何一个元素,ri n,rj n分别表示第n个僵尸网络在第i个和第j个域的僵尸主机比率,Φ表示识别阈值,vi,vj分别表示第i个域和第j个域对应的攻击流量大小,1≤i≤M,1≤j≤M;
5)如果|SBS|=1,则SBS中剩余的元素就是发动攻击的僵尸网络,否则从SBS中随机选择一个元素作为发动攻击的僵尸网络;
测量器,用于接受识别器的可用带宽测量指令;发起可用带宽测量指令给对应域的测量点;接受测量点发来的测量数据包,测量可用带宽;在测量结束后返回测量结果给识别器;
测量点,用于根据测量器发来的测量指令,发送测量数据包给对应的测量器,直至满足测量精度要求。
9.如权利要求8所述的DDoS攻击僵尸网络的识别***,其特征在于,所述识别器部署在骨干路由器上;所述测量器部署在链接一个域的骨干路由器上;所述测量点部署在一个域的边界路由器上。
CN201510424040.3A 2015-07-17 2015-07-17 一种DDoS攻击僵尸网络的识别方法及*** Expired - Fee Related CN105007271B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510424040.3A CN105007271B (zh) 2015-07-17 2015-07-17 一种DDoS攻击僵尸网络的识别方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510424040.3A CN105007271B (zh) 2015-07-17 2015-07-17 一种DDoS攻击僵尸网络的识别方法及***

Publications (2)

Publication Number Publication Date
CN105007271A CN105007271A (zh) 2015-10-28
CN105007271B true CN105007271B (zh) 2019-01-18

Family

ID=54379792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510424040.3A Expired - Fee Related CN105007271B (zh) 2015-07-17 2015-07-17 一种DDoS攻击僵尸网络的识别方法及***

Country Status (1)

Country Link
CN (1) CN105007271B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241304B (zh) * 2016-03-29 2021-02-02 阿里巴巴集团控股有限公司 一种DDoS攻击的检测方法及装置
CN106850571A (zh) * 2016-12-29 2017-06-13 北京奇虎科技有限公司 僵尸网络家族的识别方法和装置
CN109302427B (zh) * 2018-11-30 2020-06-19 西安交通大学 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法
CN110225037B (zh) * 2019-06-12 2021-11-30 广东工业大学 一种DDoS攻击检测方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN101924757A (zh) * 2010-07-30 2010-12-22 中国电信股份有限公司 追溯僵尸网络的方法和***
US20110154489A1 (en) * 2009-12-21 2011-06-23 Hyun Cheol Jeong System for analyzing malicious botnet activity in real time
CN104618377A (zh) * 2015-02-04 2015-05-13 上海交通大学 基于NetFlow的僵尸网络检测***与检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110154489A1 (en) * 2009-12-21 2011-06-23 Hyun Cheol Jeong System for analyzing malicious botnet activity in real time
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN101924757A (zh) * 2010-07-30 2010-12-22 中国电信股份有限公司 追溯僵尸网络的方法和***
CN104618377A (zh) * 2015-02-04 2015-05-13 上海交通大学 基于NetFlow的僵尸网络检测***与检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《DDoS攻击检测和控制方法》;张永铮等;《软件学报》;20120831;全文 *

Also Published As

Publication number Publication date
CN105007271A (zh) 2015-10-28

Similar Documents

Publication Publication Date Title
Cepheli et al. Hybrid intrusion detection system for ddos attacks
CN103428224B (zh) 一种智能防御DDoS攻击的方法和装置
CN105007271B (zh) 一种DDoS攻击僵尸网络的识别方法及***
WO2018108052A1 (zh) 一种DDoS攻击的防御方法、***及相关设备
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
TWI506472B (zh) 網路設備及其防止位址解析協定報文攻擊的方法
Sung et al. Protecting end-device from replay attack on LoRaWAN
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
Osanaiye et al. TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment
Chang et al. P2P botnet detection using behavior clustering & statistical tests
KR102149531B1 (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
Huang et al. Detecting stepping-stone intruders by identifying crossover packets in SSH connections
Velauthapillai et al. Global detection of flooding-based DDoS attacks using a cooperative overlay network
US20050240780A1 (en) Self-propagating program detector apparatus, method, signals and medium
KR101211147B1 (ko) 네트워크 검사 시스템 및 그 제공방법
KR101715107B1 (ko) 리트로액티브 네트워크 검사 시스템 및 그 제공방법
Archibald et al. Disambiguating HTTP: classifying web applications
Park et al. Analysis of slow read dos attack and countermeasures
Gaurav et al. Super-router: A collaborative filtering technique against ddos attacks
Chi et al. Detecting and blocking malicious traffic caused by IRC protocol based botnets
Rajam et al. A novel traceback algorithm for DDoS attack with marking scheme for online system
Cusack et al. Detecting and tracing slow attacks on mobile phone user service
Huang et al. A Hybrid Association Rule‐Based Method to Detect and Classify Botnets

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190118

CF01 Termination of patent right due to non-payment of annual fee