技術(shù)報告基于統(tǒng)計特征的SYN Flood檢測方法

1、計劃類別 項目編號 項目技術(shù)報告課題名稱 項目主持人 承擔單位 題目：基于統(tǒng)計特征的SYN Flood檢測方法SYN Flood是當前最流行的拒絕服務(wù)（DoS）與分布式拒絕服務(wù)（DDoS）攻擊方式。從構(gòu)造一個SYN攻擊報文的角度分析，SYN Flood攻擊會引起網(wǎng)絡(luò)中基于IP地址、標志位、端口號、序列號的統(tǒng)計特征異常，因此提出一種基于統(tǒng)計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列中獲取半連接信息，從全連接隊列中獲取IP地址存入BloomFilter中，再分別提取其統(tǒng)計特征，最后使用LMBP神經(jīng)網(wǎng)絡(luò)得到檢測結(jié)果。實驗結(jié)果表明該算法與其他算法相比具有更好的檢測效果。關(guān)鍵詞：SY

2、NFlood檢測；統(tǒng)計特征；BloomFilter；LMBP神經(jīng)網(wǎng)絡(luò)Abstract：As the most popular attack method of denial of service （DoS） and distributed denial of service （DDoS），SYN Flood attack will cause some statistical properties abnormalities in the IP address，the TCP flag，the port number and the serial number from the perspec

3、tive of constructing a SYN packet.Therefore，a SYN Flood attack detection method is proposed in this paper.Firstly，the method acquires half connection information from the half-connection queue，obtains IP addresses from the whole connection queue and puts them in Bloom Filter，then individually extrac

4、ts statistical properties based on IP addresses，and finally determines whether SYN Flood attack happens by using LMBP neural networks.Experimental results show that the method could improve the effectiveness of detection.Keywords：SYN flood detection；statistical properties；bloom filter；LMBP neural ne

5、twork1 引言（Introduction）SYN Flood是當前最流行的拒絕服務(wù)（DoS）與分布式拒絕服務(wù)（DDoS）攻擊方式之一，也是一種非常流行的利用協(xié)議漏洞的資源匱乏型攻擊，它對網(wǎng)絡(luò)破壞力驚人1。因SYN Flood攻擊技術(shù)操作方便、容易達到目的、更難于防范和追查，越來越成為黑客最常使用的網(wǎng)絡(luò)攻擊方式之一2。它主要利用TCP協(xié)議三次握手缺陷和IP欺騙技術(shù)，向目標服務(wù)器發(fā)送大量帶有偽造IP地址的SYN報文，使目標服務(wù)器的TCP半連接隊列被迅速占滿而不能及時釋放，造成無法建立正常的TCP連接，從而導致拒絕服務(wù)。由于完整的TCP連接包括連接的建立和終止兩個過程，在這些過程中SYN報文、A

6、CK報文、SYN/ACK報文、FIN報文、RST報文的數(shù)量具有一定對稱性。目前，針對SYN Flood攻擊的檢測技術(shù)主要根據(jù)這種對稱性是否被破壞，以判斷網(wǎng)絡(luò)中是否存在SYN Flood攻擊3。另外，提出一種基于重尾特性的SYN Flood檢測方法，該方法將SYN報文的比重與流量的重尾特性相結(jié)合提高檢測的正確率4。在攻擊者發(fā)動SYNFlood攻擊時，如果有意傳送對等的SYN/ACK報文、ACK報文、RST報文、FIN報文、FIN/ACK報文，上述檢測方法將失去作用。2 SYNFlood攻擊特征分析（SYN flood attack featureanalysis）本文從構(gòu)造一個SYN攻擊報文的角

7、度分析，SYN Flood攻擊會引起網(wǎng)絡(luò)中基于IP地址、標志位、端口號、序列號的統(tǒng)計特征異常。據(jù)此，提出一種基于統(tǒng)計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列中獲取半連接信息，從全連接隊列中獲取IP地址存儲到BloomFilter中，再分別提取基于IP地址、標志位、端口號、序列號的統(tǒng)計特征，最后使用LMBP算法得到檢測結(jié)果。根據(jù)SYN Flood攻擊原理得知，攻擊端在發(fā)動攻擊使需要大量構(gòu)造SYN報文，而構(gòu)造一個完整的SYN攻擊報文不僅需要在網(wǎng)絡(luò)層偽造IP地址，而且在傳輸層偽造源端口號、目的端口號、序列號5。為了快速檢測出SYN Flood攻擊和新型防檢測的攻擊形式，本文將從

8、IP地址、TCP半連接隊列、端口號、序列號、標志位五個角度進行特征分析。（1）IP地址數(shù)據(jù)顯示，在正常網(wǎng)絡(luò)中大約82.9%IP地址出現(xiàn)過；當網(wǎng)絡(luò)中存在SYN Flood攻擊時，只有0.6%14%的IP地址是從前出現(xiàn)過。這是SYN Flood攻擊帶給IP地址的第一個統(tǒng)計特征。另外，當SYN攻擊報文中IP地址為固定值時，IP地址的統(tǒng)計特征將呈現(xiàn)聚集趨勢；當SYN攻擊報文中IP地址為隨機值時，這時IP地址的統(tǒng)計特征呈現(xiàn)發(fā)散趨勢。這是SYN Flood攻擊帶給IP地址的第二個統(tǒng)計特征。（2）端口號當構(gòu)造SYN攻擊報文時，源端口號/目的端口號為固定值時，使得源端口號/目的端口號統(tǒng)計特征呈現(xiàn)聚集趨勢；當構(gòu)

9、造SYN攻擊報文時，源端口號/目的端口號為隨機值時，使得源端口號/目的端口號統(tǒng)計特征呈現(xiàn)發(fā)散趨勢。 （3）序列號與端口號相似，當構(gòu)造SYN攻擊報文時，報文的序列號也存在固定值和隨機值，也會導致序列號的統(tǒng)計特征也呈現(xiàn)聚集或發(fā)散趨勢。（4）標志位根據(jù)TCP/IP協(xié)議，與TCP連接相關(guān)的標志位主要為ACK、RST、SYN、FIN。在TCP連接正常建立和終止過程中，網(wǎng)絡(luò)中這些標志位的報文數(shù)量存在一定對稱性。然而，當網(wǎng)絡(luò)中存在SYNFlood攻擊時，這種數(shù)量上的對稱性將遭到破壞。需要注意的是當惡意攻擊者在大量發(fā)送SYN報文的同時，向目標服務(wù)器發(fā)送相應(yīng)數(shù)量的SYN/ACK報文、ACK報文、RST報文、FI

10、N報文、FIN/ACK報文時，會促使目前大多數(shù)SYN Flood檢測技術(shù)失去作用。針對這種新型防檢測的SYN Flood攻擊，需要嚴格按照報文的源地址和目的地址進行報文統(tǒng)計分析。（5）TCP半連接隊列由SYN Flood攻擊原理可以看出，攻擊的最終目的是耗盡TCP半連接隊列，從而導致拒絕服務(wù)。因此，TCP半連接隊列是SYN Flood攻擊最根本目標，也能最直接、準確反應(yīng)出SYN Flood攻擊的存在。3 基于統(tǒng)計特征的檢測算法（Detection algorithmbased on statistical features）該算法主要分為獲取TCP連接信息、提取統(tǒng)計特征、檢測攻擊三個部分。第一

11、部分主要從半連接隊列和全連接隊列中獲取所需的連接信息。第二部分根據(jù)第一部分的連接信息，提取半連接隊列長度、IP地址、標志位、源端口號、目的端口號、序列號的統(tǒng)計特征。第三部分，根據(jù)第二部分的統(tǒng)計特征，通過BP神經(jīng)網(wǎng)絡(luò)判斷網(wǎng)絡(luò)中是否存在SYN Flood攻擊。3.1 獲取TCP連接信息為了根據(jù)上述統(tǒng)計特征快速檢測到SYN Flood，需要從半連接隊列提取半連接信息，從全連接隊列中提取已經(jīng)建立連接的IP地址庫。本文分別采用以下兩種策略提取連接信息。（1）基于集合方式提取半連接信息為了避免頻繁訪問半連接隊列造成消耗過多的CPU和內(nèi)存資源，本文采用周期性提取半連接隊列中信息。同時，為了方便對半連接隊列的

12、快速處理，每間隔時間t將半連接隊列中狀態(tài)信息提取到狀態(tài)集合Sett中，其中集合定義如下：4 實驗與結(jié)果（Experiment and results）為了最大限度模仿互聯(lián)網(wǎng)環(huán)境和檢測本文方法的有效性，選擇貴陽學院論壇作為實驗對象，該論壇運行于Linux服務(wù)器上，面向全校師生開放，具有很高的訪問量。4.1 獲取樣本數(shù)據(jù)由于BP神經(jīng)網(wǎng)絡(luò)在應(yīng)用于檢測之前必須學習，因此需要采集一定數(shù)量的半連接信息和全連接信息用于訓練模型。（1）獲取半連接信息樣本為了采集無SYN Flood攻擊的網(wǎng)絡(luò)流量數(shù)據(jù)，收集了該論壇24小時的正常流量信息。在服務(wù)器上每間隔5分鐘從半連接隊列提取一次半連接信息存入MySQL數(shù)據(jù)庫中

13、。這樣共采集到288條無SYN Flood攻擊的樣本數(shù)據(jù)。為了獲取帶有SYN Flood攻擊的網(wǎng)絡(luò)流量數(shù)據(jù)，首先分別采用固定和隨機的IP地址、端口、序列號組裝SYN攻擊報文，再采用不同的速率向服務(wù)器發(fā)送這些攻擊報文，最后在論壇服務(wù)器采集半連接信息。與采集無SYN Flood攻擊的流量一樣，在服務(wù)器上每間隔5分鐘從半連接隊列中提取一次半連接信息存入MySQL數(shù)據(jù)庫中，持續(xù)12小時，共得到144條含SYN Flood攻擊的樣本數(shù)據(jù)。（2）獲取全連接信息樣本Netfilter是從Linux2.4版本之后提供的一個通用防火墻框架，該框架在報文流經(jīng)的幾個關(guān)鍵點定義了大量HOOK，以方便用戶注冊鉤子函數(shù)，

14、實現(xiàn)對報文的自定義處理。NF_IP_LOCAL_IN是Netfilter在報文流入防火墻網(wǎng)絡(luò)層處定義的HOOK。在NF_IP_LOCAL_IN處可以增加自定義處理，判斷報文的類型，若是ACK報文則提取IP地址存入BloomFilter中。為了保證全連接信息與半連接信息同步匹配，在采集半連接信息的同時，將BloomFilter瞬時狀態(tài)存入的MySQL數(shù)據(jù)庫中。4.2 實驗結(jié)果與分析本文選取2/3無SYN Flood攻擊的樣本和存在SYN Flood攻擊的樣本作為訓練數(shù)據(jù)，剩余的1/3樣本用于驗證本文方法的有效性。訓練中將LMBP神經(jīng)網(wǎng)絡(luò)的輸出resultt分為兩類：區(qū)間0，0.5為正常態(tài)，即不存

15、在SYN Flood攻擊；區(qū)間（0.5，1為攻擊態(tài)，即存在SYN Flood攻擊。為了驗證本文方法的有效性，本文選擇檢測的誤報率和漏報率作為評價標準，并與基于TCP緩存的檢測方法6、基于狀態(tài)防火墻的檢測7、基于輕量級檢測和混合連接策略的SYN Flood防御方法8，各種方法的檢測結(jié)果如表1所示。通過表1可以看出，本文檢測方法相對于其他兩種方法無論是在誤報率還是在漏報率方面均有不同程度的降低。通過以上實驗結(jié)果可以看出，本文提出的檢測方法相對于已有的SYN Flood攻擊檢測方法具有更好的檢測效果。5 結(jié)論（Conclusion）針對分布式SYN Flood攻擊會引起網(wǎng)絡(luò)中基于IP地址、標志位、端

16、口號、序列號的統(tǒng)計特征發(fā)生異常。本文提出一種基于統(tǒng)計特征的SYN Flood攻擊檢測的方法。該方法首先從半連接隊列和全連接隊列中獲取連接信息，再分別提取基于IP地址、標志位、端口號、序列號的統(tǒng)計特征，最后使用LMBP算法得到檢測結(jié)果。實驗結(jié)果表明該算法具有較好的檢測效果。下一步的工作是研究如何將此檢測方法與防御策略結(jié)合適用，以提高防御效果。參考文獻（References）1 MING Yu.An Adaptive Method for Source-End Detection of Pulsing Dos AttacksJ.International Journal of Security and Its Applications，2013，7（5）：279-288.2 MITKO B.Analysis of the SYN Flood Dos AttackJ.I.J.Computer Network and Information Security，2013，8（1）：1-11.3 Behrouz A.Forouzan.TCP/IP Protocol Suite，F(xiàn)ourth EditionM.Beijing：Tsinghua University Press，2014.4 許曉東，楊海亮，朱士瑞.基于重尾特征的SYN洪流檢測