文档介绍：DDoS攻击检测的挑战
摘要:网络入侵检测一直是一个充满挑战和***的研究与应用领域。随着计算机网络和网络入侵手段的不断进化,网络入侵检测需要持续不断地改进并创新已有的检测手段,以便及时为网络安全提供必要的保障。当前,分布式拒绝服务(Distributed Denial of Services, 缩写为DDoS)攻击已经成为威胁计算机网络可靠性的重大因素之一。由于难以利用已经成熟的检测技术将DDoS攻击有效地检测出来,而且即使检测出来也存在难以及时将DDoS攻击流量从正常的网络流量中剥离从而达到阻断DDoS攻击流量的目的,存在的诸多DDoS检测的困难使得对DDoS攻击进行有效检测已经成为提高网络保护机制的一个至关重要的问题。本文通过分析当前DDoS攻击检测技术的现状,探讨了DDoS检测所面对的问题,并指出了当前DDoS攻击检测领域所面临的诸多挑战。
关键词:DDoS攻击;泛洪攻击;网络入侵检测;网络安全
引言
由于互联网本身所具有的脆弱性,大量的入侵以及入侵发生的频率正以惊人的速度上升。据报道,在2004年一年就有10000种新的病毒或者病毒的变种出现,这意味着我们存在的每一小时内至少会有一种新的病毒产生。
许多因素导致了互联网的脆弱性。例如:作为互联网中组成元素的计算机系统本身及其上所安装的软件不可能完全没有漏洞;计算机的用户或者管理员往往并没有将足够的注意力放在保障计算机安全方面,因此,非常有可能发生某用户仅仅点击了网页上的一个按钮,就导致一个计算机系统被自动下载的蠕虫或者病毒所感染。而且,由于某些网络管理员缺乏安全专家的指导而仅仅使用默认的系统配置、甚至错误地配置了计算机系统,也会使计算机网络的抗攻击性很差;另一方面,网络攻击工具变得越来越复杂且越来越容易使用。一个攻击者完全不需要多少编码知识就可以下载任何一种可用的攻击工具,进而很容易地发起某个网络攻击。所有这些因素都导致当前互联网中出现更多的脆弱性主机。
由于互联网本身所具有的脆弱性,而网络和网络服务已经成为我们日常生活中的重要资源,因此,建立从防护、检测到灾难恢复等不同层次的抵御措施来保护网络毋庸置疑是必要的。入侵检测就是整个保护体系中的第一个基本组成部分。
在研究领域,入侵一词最早的明确定义为“试图去破坏某个资源的完整性、机密性和可用性的任何行为的集合”。不同的入侵可以大致分为六个领域:攻入尝试、冒充、入侵安全控制系统、泄漏、拒绝服务(DoS)和非法使用(秘密用户)。
我们可以用诸多性能指标来衡量网络入侵检测的方法和技术,包括有效性、高效性、易用性、可互操作性、通用性、可协作性等等。这些入侵检测系统所使用的具体的性能指标的定义详见。在众多性能指标中,“入侵检测系统很重要的一个要求就是有效性,即入侵检测系统能够在一定程度上检测出已知的和未知的入侵,同时该系统仍然能够将误报率保持在一个可接受的水平”。
随着网络的不断进化,入侵的手段和工具也在不断地进化,因而对于性能优良的入侵检测系统的需求十分明确而紧迫。然而要保证一个入侵检测系统具有优良的性能,仅有效性一个性能指标,就已经为这一领域的研究者们提出了众多挑战:只能而且必须要不断地跟进入侵
行为的变化、改进已有的检测技术、创造新的检测技术,才能应对不断变化的入侵行为,从而在一定程度上保障网络安全。
自从2000年2月的大范围分布式/拒绝服务攻击(Distributed/Denial-of-Service,以下简称DDoS)对著名的网站如雅虎(Yahoo)、 eBay、亚马逊(Amazon)造成重大的经济损失之后, 泛洪攻击,尤其是DDoS,已经成为互联网中比较盛行且很难检测的一类攻击。泛洪攻击的基本特点是利用互联网与受害节点之间的巨大的资源不对称性实现对资源的大量耗费而达到攻击的目的。这种资源的耗费表现形式通常是互联网的带宽耗费,或者是如主机内存或者CPU等服务器资源的耗费。泛洪攻击所引起的后果非常严重:例如,一个典型的泛洪攻击可能会阻止合法的网络用户访问重要的服务,甚至引起互联网基础结构设施联网功能的失效。为了破坏信息系统的安全,各种不同的泛洪攻击可以采用多种不同的手段。例如,某个快速的探测攻击通过在短时间内不断扫描一个网络中的所有计算机的脆弱点而造成网络带宽的大量占用; 某种DDoS攻击通过利用大量的被攻破主机在同一个时间段内向受害节点发送无用的网络包而致使该台主机的网络服务不可用;某种泛洪垃圾邮件蠕虫通过在短期内发送大量垃圾邮件而耗费网络带宽和邮件服务器资源。
尽管业界非常重视应对泛洪攻击,也提出了大量的应对泛洪攻击的检测方法,然而,目前泛洪攻击的检测性能还远远不能令人满意。在2005年美国联邦调查局关于计算机犯罪的报告中指出,DDoS攻击仍然是增长最快的网络入侵事件之一。如何有效地检测不同的