网络安全：目标节点过载攻击

目标节点过载攻击

这是一种DoS（拒绝服务类型）类型的攻击，攻击者可以向某些特定目标节点发送大量的垃圾分组消息，从而耗尽目标节点的处理能力。在一段时间后，系统会认为目标节点已经失效退出，从而将目标节点从系统中删除。另外还可以利用DHT（分布式哈希表）的不完善性，通过构造恶意输入，使哈希表出现“最坏情况”的时间复杂度，从而使系统性能退化，达到拒绝服务攻击的目的。目前还没有一个较好的解决办法，但可以通过数据复制在一定程度上减轻这种攻击对整个系统的危害程度。

三种措施

DDoS攻击防范是一个非常困难的问题，目前还没有很好的解决方案。如果从DDoS攻击的过程来分析，那么我们可以设置3条防线来防范DDoS攻击。首先是做好DDoS攻击的预防工作，其次是在攻击发生时能够迅速进行攻击检测并实施过滤，第三是在攻击过程中或者攻击结束后进行攻击源追踪和标识。这3条防线必须协同工作以取得最佳的防范效果。 

DDoS攻击的预防工作

为了发起DDoS攻击，攻击者必须能够找到许多台控制傀儡机和攻击傀儡机并在上面运行攻击程序，这肯定是一个比较长的过程，通常需要花费几个月的时间。如果每个用户和管理员都能增强安全意识，定期扫描系统，发现不明进程后尽快处理，这就可以极大地降低DDoS攻击发生的可能性。另一方面，ISP也应该经常监控网络流量以发现己知的攻击分组。

DDoS攻击检测与过滤

攻击检测与过滤可以分为两个阶段，一个阶段是DDoS攻击分组检测，另一个阶段是攻击分组过滤。检测阶段负责标识DDoS攻击分组，而过滤阶段则负责将这些分组过滤掉(或者是限制它们的速率)。整个攻击检测与过滤策略的性能由这两个阶段共同决定。     

攻击检测的效率由假阳性比例(false positive ratio)和假阴性比例( false negative ratio)决定。假阳性比例指的是被错误判定成攻击分组的正常分组占全部正常分组的比例，而假阴性比例指的是被错误判定成正常分组的攻击分组占全部攻击分组的比例。好的攻击检测系统应该使这两个比例都尽可能的小。

分组过滤的效率指的是被攻击主机在被DDoS攻击时仍然能够通过过滤掉攻击分组而提供正常服务的能力。由于DDoS攻击的分布式特性，分组过滤的难度要大于攻击检测。分组过滤的效率通常用正常分组通过比例(Normal Packet Survival Ratio, NPSR)来衡量，NPSR指的是在DDoS攻击过程中正常分组到达被攻击主机的比例。

 Internet 防火墙

检测和过滤策略主要在攻击源节点所在的网络和被攻击主机所在的网络实施。这种策略并不能保证同时获得好的检测效果和好的过滤效果。为了达到更好的防范效果，研究人员又提出了全球的防卫基础架构，又称为“Internet 防火墙”，它的目的是保护整个Internet免受DDoS的攻击。Internet 防火墙在Internet 核心网络中检测DDoS攻击，这样它就可以在攻击到达被攻击主机之前就把攻击分组丢弃。如果实现得当，那么这种策略完全可以使被攻击主机在遭受攻击的同时还能提供正常的服务。

1. 基于路由的分组过滤策略( Route-based Packet Filtering, RPF )

主要思想是把输入分组过滤功能扩展到Internet核心。该策略在Internet中部署多个分布式的分组过滤器，这些分组过滤器根据收到的分组的源和目的地址以及BGP路由信息检查收到的分组是否来自正确的链路。如果分组从一个不应该到达的链路到达，那么就认为这个分组是攻击分组( 至少是恶意分组)并将其丢弃。由于Internet的路由是在不断变化的，因此被丢弃的分组也可能是正常分组。

2. 分布式入侵检测策略( Distributed Attack Detection, DAD)

与RPF策略扩展了输入分组过滤策略类似，DAD策略将典型的入侵检测系统的功能扩展到Internet核心网络。DAD在网络中部署多个分布式的检测系统，根据网络的异常行为来判断是否出现了DDoS攻击行为。DAD首先定义一组正常的网络流量范式，并判断网络流量是否严重偏离了正常的范式。

基于人工智能的检测方法 

基于人工智能的方法进行相应的总结，分为基于分类、基于聚类、基于深度学习的检测方法

1. 基于分类的检测算法

该方法将主成分分析方法提取LDDoS攻击流量的特征作为神经网络上的输入，通过SVM支持向量机模型进行识别分类，实现对网络流量的判断。对传统的随机森林算法进行了改进，通过对不同的决策树赋予不同的权值以及对每个决策树赋予不同的权重，实现了对特征属 性进行降噪声和消除相关性处理，使得检测更准确。

2. 基于聚类的检测算法

在对k-Means和主成分分析的基础上，提出了一种检测DDoS攻击异常的优化算法，其使用最小距离分割方法解决了起点的随机选择引起的不可预测的误差的问题。通过对用户访问行为的特征进行合理分析，计算出可以区分攻击行为的新属性，并使用标准化的欧几里得距离作为提高算法执行效率的度量，最后PCA重构误差进行攻击行为的判断。

3. 基于深度学习的检测算法

将概率图模型与DNN结合，在检测模型的数据预处理阶段，使用概率图模型HMM算法对统计特征进行聚类，通过轻量级的DNN模型对聚类数据进行攻击检测，减少了检测时间，提高了准确率。提出了一种改进的卷积神经网络(CNN)的DDoS攻击检测方法，通过用卷积层及全局平均池化层代替全连接层，求出每个相应类别的特征映射的平均值，最后再将平均特征向量送入Sigmoid层进行分类，避免了过拟合问题，提高了模型的准确率。

DDos攻击源追踪和标识

IP Traceback(简单的追查攻击者真正源地址的方案)

精确的Traceback问题是当攻击发生时确定每个攻击者的攻击路径和攻击发起点。当攻击者不能阻止被攻击主机发现包括真实攻击路径的候选攻击路径时，我们说该Traceback问题的解是有效的。

1. 概率分组标记

 概率分组标记的思想是当分组到达路由器时,以某种概率标记分组的部分路径信息。

这样，虽然每个分组只包括了路径的部分信息，但是当真正的攻击发生时往往会有大量的攻击分组，这样被攻击主机就可以得到足够的信息恢复出完整的攻击路径。 

2. 基于哈希的IP traceback

一种使用审计技术的源路径隔离引擎( Source Path Isolation Engine, SPIE) ，它可以对单个分组进行源追踪。流量审计通过计算和存储每个分组的32位哈希摘要来进行，而不需要存储分组本身。这样一方面降低了存储需求，另一方面可以避免SPIE被用于窃听网络流量的内容。

3. 链路测试

链路测试(link testing)技术假定在追踪完成之前攻击一直持续。 链路测试技术分为两种:输入调试(input debugging)和受控洪泛(controlled flooding).

4. ICMP Traceback

一种基于显式的路由器生成的ICMP Traceback消息的Traceback方案。其主要思想是每个路由器都以很小的概率(例如1/20000)从其转发的路由分组中取一个样本，并把分组的内容和相邻路由器等信息放入ICMP Traceback分组发给目的节点。当遭受DoS攻击时，目的节点可以利用收到的这些信息重构攻击路径。该策略类似于概率分组标记策略，不同的是它不是在IP分组中做标记，而是通过ICMP分组发送标记信息。该策略的一个主要的问题是需要设法防止攻击者发送假的ICMPTraceback报文。

Traceback的综述

不同的攻击场景所采用的追踪技术也有所不同,将问题分为5类:虛假IP追踪、Botnet追踪、匿名网络追踪、跳板追踪、局域网追踪。

所有的方法大致基于以下4种思想:

1)在数据包中打标记

 这种方法需要修改现有的网络协议,在协议数据包中添加标记，通过对数据包中标记的追踪，识别出数据包的传播路径,从而追踪到数据包的源头。目前大多数网络协议都已经标准化，修改现有协议显然不是一件容易实施的工程,需要考虑成本、性能、兼容等各种工程问题，但在技术上难度较小，准确性较高。 

2)在数据流中加入流水印

这种方法不需要修改网络协议，即使对于加密的数据包也可以适用，而且不依赖于单个的数据包,而是整个数据流,即使流中出现重打包、丢包等现象,也能以一定的准确率检测到水印信息。但同时，网络时延、数据包的转发时延，以及攻击者有意识的破坏水印信息，都可能影响流水印的检测准确率。这种方法仍然要求在较大范围网络中部署检测传感器，以检测可能出现的水印信息，这需要网络基础设施的支持，仍然不是一项容易实施的工程。在技术上要保证水印检测的准确率，有一定难度。

3)日志记录的方法

这种方法可以是对网络数据包的日志记录，也可以是对主机的日志记录，通过日志记录查找曾经进行攻击数据包传播的痕迹，从而重构出攻击路径。这种方法不影响现有网络的功能，可以以补丁的形式增加额外日志记录的功能，以记录必要的信息，在工程上实施难度不大，但这种方法属于事后的审计，可能会丢失一些关键的信息，而且日志记录也可能会被攻击者修改。

4)渗透测试的方法

这种方法实质是用攻击方法对抗攻击，即寻找攻击者所使用系统、网络的安全漏洞,利用这些漏洞编写相应的可执行代码,使得攻击者感染这些代码，由这些可执行代码向取证人员主动报告攻击者的信息。这种方法在工程上容易实施，甚至单个人员就可以执行，但在技术上难度较大，需要挖掘各种漏洞。