基于流記錄的掃描和反射攻擊行為主機檢測.pdf

1、反射攻擊是最近較為流行的一種分布式DDoS攻擊，對互聯(lián)網的正常運行造成了比較嚴重的危害;掃描通常作為所有網絡入侵行為的起點在互聯(lián)網上普遍存在。本文的研究工作將以反射式DDoS攻擊和掃描現(xiàn)象作為研究對象。研究工作的目標是利用流記錄提供的信息，設計檢測算法并基于一個以流記錄為分析數(shù)據(jù)源的精細化網管平臺NBOS(Network Behavior Observation System)檢測CERNET（中國教育和科研計算機網）實際網絡環(huán)境中有反

2、射攻擊和掃描行為的主機。
　　在反射攻擊的研究方面，論文首先分析了UDP協(xié)議的反射攻擊的攻擊場景，并從流特征的角度給出了反射攻擊的定義。在此基礎上，從反射攻擊中放大器端口的使用方式角度對攻擊協(xié)議分為三類:(1)反射端口單一的攻擊協(xié)議;(2)反射端口隨機的攻擊協(xié)議;(3)攻擊使用基于TCP服務的協(xié)議。論文對第一類反射攻擊的協(xié)議進行了分析，選擇了5種可以導致反射攻擊的基于UDP服務的協(xié)議作為研究對象，進行進一步深入的研究。研究工作從反

3、射攻擊的定義出發(fā)，設計了基于流記錄的反射攻擊行為主機檢測算法并在NBOS平臺部署該算法。論文還討論了在算法部署過程中所遇到流記錄數(shù)據(jù)源缺陷問題，針對這一問題給出了“分片端口-地址列表”和“基于NBOS角色函數(shù)”兩個解決方案，將解決方案運用到檢測算法中。檢測算法在CERNET全網檢測出了大量的反射DDoS攻擊和導致攻擊的放大器地址。另外，論文根據(jù)反射攻擊原理和協(xié)議的漏洞，通過構造導致攻擊的請求報文對檢測出的放大器進行了模擬攻擊實驗并獲得了

4、回復，從而證實了放大器的存在和檢測結果的正確性。
　　在此基礎上，論文進一步對反射攻擊中放大器的帶寬放大系數(shù)BAF(bandwidth amplificationfactor)進行了詳細的研究。BAF是衡量放大器流量放大特點的一個指標。首先討論了傳統(tǒng)BAF計算方法的合理性和指出相關研究在計算BAF時未能考慮攻擊報文分片的問題，給出了使用一次攻擊中回復和請求的全報文長度計算BAF的計算公式。然后利用本文檢出的CERNET內有反射攻擊

5、行為的主機以及構造出的攻擊報文，設計了一個BAF數(shù)據(jù)獲取實驗。最后對于實驗所獲取的數(shù)據(jù)計算主機BAF，從統(tǒng)計性、穩(wěn)定性、聚類等角度對BAF進行了特征分析，結果表明:161端口與1900端口的放大器穩(wěn)定性較高，但總體BAF值偏小;123和19端口的放大器穩(wěn)定性較差，但放大器的BAF值較大。
　　論文對掃描行為的研究主要關注的是水平掃描行為。首先討論了基于流記錄進行掃描檢測的可行性，在此基礎上設計了一個以流記錄為分析數(shù)據(jù)源的基于端口匹