基于多维伪随机序列的高级包标记策略算法.docVIP

基于多维伪随机序列的高级包标记策略算法 　　摘 要：高级包标记策略（AMS）是对分布式拒绝服务（DDoS）攻击进行IP追踪的有效算法，但是，由于使用哈希函数实现边地址的压缩，AMS算法存在复杂度高、必威体育官网网址性差、误报率高等缺陷。为了提高追踪效率，设计了一种基于多维伪随机序列的AMS算法： 一方面，在路由器上，以全硬件实现的边采样矩阵代替原有的哈希函数，完成IP地址的压缩编码； 另一方面，在受害者端，结合边地址压缩码和边的权重计算过程，实现攻击路径图的输出。仿真实验中，基于多维伪随机序列的AMS算法与原始算法性能基本一致，但能有效减少误判的发生和快速判断伪造路径。实验结果表明，所提算法必威体育官网网址性能高，计算速度快，抗攻击能力强。 　　关键词： 　　多维伪随机序列；边采样矩阵；高级包标记策略；压缩编码；攻击路径图 　　中图分类号：TP393.08 　　文献标志码：A 　　文章编号：1001-9081（2016）11-3093-05 　　0 引言 　　分布式拒绝服务（Distributed Denial of Service，DDoS）攻击[1]是一种分布的、协作的大规模拒绝服务（Denial of Service，DoS）攻击，它主要的攻击目标是大型的站点，比如商业公司、有哪些信誉好的足球投注网站引擎和政府部门的网站等。由于DDoS攻击较容易实施，且难于防范和追踪，已经成为了互联网中最严重的安全威胁之一。在DDoS攻击过程中，犯罪分子为了躲避打击，经常会伪造或通过代理改变数据包的源IP地址。为了对抗伪造源IP地址这种造成网络不可信的非法行为，IP追踪技术应运而生。 　　IP追踪技术已经有十多年的研究历史，主流的研究仍然集中在主动式追踪算法上。2000年，Savage等[2]对包标记进行了深入的研究，提出了经典的概率包标记（Probabilistic Packet Marking，PPM）算法。为了检测和防御DDoS攻击，2001年，Song等[3]在Savage的研究基础上，提出了两个改进方案：高级包标记策略（Advanced Marking Scheme，AMS）和带认证的包标记策略。 　　AMS算法使用哈希函数实现边地址的压缩，但由于哈希碰撞的存在，不同攻击路径上的路由器在路径重构中会被认为存在于同一条攻击路径上，这就导致AMS算法的误报率较高。将边地址压缩和数学编码思想相结合，可以有效减少重构路径所需的数据包数量，降低漏报率和误报率，提高追踪效率。 　　本文改进了原有的AMS算法，以边采样矩阵代替哈希函数，采用全新的边地址压缩策略，可以将整个标记算法都集成于路由器的硬件电路中，提高抗攻击能力；在受害者端，统计相同标记的重复数，并转化为边的权重值，最终得出可定性和定量分析的攻击路径图。 　　4 实验设计与性能分析 　　4.1 评价指标的对比 　　为了验证基于多维伪随机序列的AMS算法性能，本文以学术界广泛使用的NS2为网络模拟的实验工具。首先，为了便于计算各算法的收敛包数，通过编写OTcl脚本，生成了一条总长度为31的路径，受害者节点标号为0，并分别在节点1、2、…、31处发起攻击，攻击流量为100包/s。受害者处的31个文本文件对应了在不同的距离值下收集到的数据包标记域，文件中的一行记录对应一个数据包的标记域。在各个距离值下：以10行的增量将文件的标记域输入重构算法，如果重构结果正确，则认为成功一次；重复进行1000次实验得到重构成功率Psuc；因为重构算法输入的包数是逐步递增的，可以认为最早满足置信度要求（Psuc≥1-1/c）的数据包数是收敛包数的实验值。实验中的参数设置为：置信度95%，即c=20；标记概率p=0.04；阈值L=4。分别计算了使用经典PPM算法[2]、原始AMS算法[3]和本文算法时收敛包数的理论值和实验值。 　　由图4可知：无论是从理论值还是从实验值来看，收敛包数最少的均是AMSⅠ，其次是AMSⅡ，经典PPM算法的收敛性能最差。其次，基于多维伪随机序列的AMS算法，在收敛包数上与原始AMS算法一致，保持了较好的性能。 　　在重构过程中，可能出现误报的情况为：相同距离域的异或值通过哈希检验，被判为节点路由器，事实上并非是攻击路径上对应的路由器。所以，本文根据相同距离域的所有碎片组合对应的异或值，判断是否发生了碰撞，将碰撞次数累加，最终得出误报数。 　　分析图5可知，AMSⅠ在2000个攻击者时的误报数达到了528个，AMSⅡ随着判决阈值的增大误报数在减少；大致上看来，本文AMS算法和原始AMS算法性能较接近，很多数据点的结果还要优于后者。 　　4.2 算法输出的攻击图 　　接着，本文使用文献[14]和文献[15]中的网络拓扑模型，编写OTcl脚本进行DDoS实验仿真。如图6所示，该网络包括