DDoS攻击过程特征提取详解.docxVIP

DDoS攻击过程特征提取详解1 渗透扫描先进行IP扫描，看哪些IP是存活的，再进行端口扫描。提取出来的计算特征：目的IP点分格式时四个域的标准差分布目的IP十进制时相邻IP的差值是否相等当前源IP对应所有目标IP的中位数当前源IP对应所有目标IP的平均值目的IP点分格式时的差分特征当前源和目的IP对应所有目的端口的平均值当前源和目的IP对应所有目的端口的中位数具体的ACK、SYN、FIN扫描方式等用具体的标志位判断异常流量检测（针对随机生成的）IP包头检测（针对特定字段）当前源IP单位时间内的发包数量单位时间当前源IP对应的所有目的IP的数量单位时间下行流量单位时间下行数据包数量1.1 IP扫描特征1.1.1 IP扫描总特征IP扫描（单一扫描源）时IP的分布特征为一对多，源IP固定，目的IP特征如下：目的IP随机生成；目的IP逐个递增；目的IP集中在某一片网络区域；目的IP点分格式时呈现特殊格式，如相邻域之间的差值相等；端口分布通过端口扫描特征部分分析；异常的IP包头（Header Length和IP Options）；IP头中设置无效错误的字段值；Icmp.type = 8的扫描；端口扫描特征1.2.1 端口扫描总特征：当确定该IP被扫描后，根据具体的协议再分析。TCP扫描根据FIN、SYN、ACK等标志位的值确定扫描类型，UDP扫描根据UDP扫描的特征确定。目的端口随机生成；目的端口逐渐递增。1.2.2 TCP ACK扫描特征：源端口固定；目的端口随机生成；ACK字段为1，其余为0.TCP FIN扫描特征：源端口固定；目的端口随机生成；Fin字段为1，其余为0。TCP NULL扫描特征：源端口固定；目的端口随机生成；所有标志位均为0。TCP SYN扫描特征：源端口依次增加；目的端口随机生成；Syn标志位为1，其余为0。UDP扫描特征：源端口固定；目的端口随机生成；数据包内容为空。木马植入2.1 提取的计算特征（1）流速（2）传输数据长度（3）单个源IP与目的IP之间的数据包数量（4）单位时间下行流量（5）特殊字段的特征值匹配2.2 木马植入过程的特征一台主机被成功扫描之后会有相应的目标机对其进行木马植入，使其感染病毒继而才能传播病毒给其他主机，木马植入的特征如下：被扫描的基础上，一对一的流速异常；传输数据长度特征（缓冲区溢出）；目标IP属地特征数据包的载荷区传播CC提取的计算特征流速，报文传输速率单位时间内的总数据包数量多个数据包长度分布单个目的IP单位时间接收数据包的数量信息散度（PktLen(DstIP||SrcIP)）单个IP单位时间内TCP会话数3.2 传播过程的特征被感染了病毒的主机会继续传播感染其他的主机，考虑传播为同时多台主机对一台非业务主机进行的异常传输，特征如下：某些IP、端口的数据包数量急剧增加；较短时间内产生大量内容相似的数据包；产生大量数据包长度一致性较高且IP地址和端口号相对集中的数据包，这些数据包将引起网络流量在数据包长、目的IP、源IP、目的端口和源端口等流量属性分布概率的改变，导致上述属性在信息散度上的异常；DDoS攻击提取的计算特征（1）源IP点分格式时的差分特征（2）源IP为十进制表示时相邻IP的差值是否相等（3）源IP与目的IP以及端口是否相等（4）异常流量检测（针对随机生成的）（5）特殊目的端口的处理（137、138、139等）（6）payload长度大于65535（ICMP）（7）源端口之间的差值是否相等（8）连接建立失败占成功的比例（9）半连接的个数（syn_num – ack_num）（10）单个IP拥有的连接数（11）源IP地址的分布熵，度量源IP地址的分散程度（12）源目的IP、源目的端口以及协议号的熵值，设权重（13）单位时间TCP会话数（14）单位时间上、下行流量（15）单位时间上、下行数据包数量（16）单位时间通信IP数量4.2 发起DDoS攻击的特征发起DDoS攻击时考虑IP分布特征为多对一的情况，即多个源IP同时攻击一个目的IP，则源IP的分布特征为：源IP随机生成；源IP逐个递增；源IP点分格式时呈现特殊格式，如相邻域之间的差值相等；源IP和目的IP相等，端口相等；瞬间网络流量异常增大；特殊目的端口的流量攻击（urg==1）；POD攻击时为ICMP协议且payload长度大于65535；源端口依次增加（针对需要建链的）；连接建立失败很多（syn flood）；同一源IP与目的IP突然大量建立连接（TCP Flood）；