基于UDP心跳的DDoS恶意行为分析.pdf

摘要 摘要 分布式拒绝服务攻击(distributed denial of service attack ，简称DDoS)是一种网络恶意 行为，攻击者通过消耗攻击目标的资源，达到阻止目标（攻击对象）为合法用户提供服 务目的。一般的DDoS 攻击均是基于傀儡（僵尸）主机进行的。当参与DDoS 攻击的主 机规模达到一定程度之后，攻击者为了解决僵尸主机管理的问题，使用了相应的网络技 术，即僵尸网络。 僵尸网络内部需要使用特定的方式来维持通讯，心跳是一种常规的方式，因此本文 的研究工作从心跳检测展开。首先研究了心跳流检测的方法，然后通过自行设计的一种 心跳关联图对心跳网络间的关联关系进行了研究，在此基础上，提出了一个基于 UDP 心跳网络的主机恶意水平模型，并将其部署在 CERNET 南京主节点网络边界，进行了 面向实测流量的测试。 为了获取实际流量中的心跳流数据，论文首先建立了一个面向全局流量的通用报文 数据流平台Violet 。该平台对流经CERNET 南京主节点网络边界的全流量数据进行采集， 为流量分析工作提供定长的全流量报文数据流和基于特定规则过滤出的完整报文数据 流两种数据源。 随后，论文讨论了心跳网络的定义和应用层心跳的特征，认为其具有“小报文”“低 频”“短间隔”“连续性”的特点。以此为基础，设计了一组检测规则，并将其实现在一 个UDP 心跳流检测算法中。将该算法部署在CERNET 南京主节点网络边界实际运行， 检测出了大量的心跳网络。 之后，为了讨论主机属性在心跳网络间的传播关系，论文给出了一组心跳网络相关 的定义，包括心跳网络，心跳网络间的关联，心跳关联图等。基于这些定义设计了一个 心跳关联图构建算法，算法以心跳流检测结果为输入，可以给出网络中心跳主机间的关 联关系。之后，根据同一个心跳网络中，成员主机的行为存在相关性的特点，基于心跳 关联图，提出了一种基于心跳网络的主机属性传播算法，作为心跳关联图的一个应用， 并讨论了主机属性传播算法所应具有的基本特性，包括“反身性”，“有穷性”，“数量倾 向”和“质量倾向”等。 最后，论文根据IDS 提供的DDoS 攻击信息，给出了一个主机恶意属性的定义，并 提出了一种根据主机 DDoS 攻击行为，来评价主机初始恶意属性值的算法。论文还在 PageRank 算法的基础上，设计了一个面向心跳关联图的属性传播算法。通过将该算法 应用在心跳关联图中，可以给出关联图中所有主机的恶意水平。为了检测算法在实际环 境中的效果，论文以一个运行在CERNET 南京主节点网络边界的IDS 系统提供的DDoS 攻击检测信息和在相同位置进行的 UDP 心跳流检测结果为数据源，对恶意水平模型进 行了面向实际网络环境的检测。实验结果表明，该模型能较为准确的找到未被IDS 定位 到的DDoS 恶意主机。 关键词：网络探针，心跳流检测，属性传播算法，DDoS 恶意水平评价 I Abstract Abstract Distributed denial-of-service attack is a malicious network behavior. By consuming the resources of the target, the attacker can prevent the target (the target of attack) from providing services to legitimate users. General DDoS attacks are based on puppet (zombie) hosts. When the scale of hosts participating in DDoS attacks reaches a certain level, attackers use the corresponding network technology, namely