基于用户信誉值防御DDoS攻击的协同模型

，但效果不甚理想。现有的以防火墙、IDS 、

基于用户信誉值防御 DDoS 攻击的协同模型

田俊峰，朱宏涛，孙冬冬，毕志明，刘倩

（河北大学 数学与计算机学院网络技术研究所，河北 保定 071002）

摘 要：提出了一种基于用户信誉值防御 D DoS 攻击协同（C D DAC R , cooperation defense DDoS attack based on client reputation ）模型来检测和防御 D DoS 攻击。该模型在逻辑上由 2 个检测代理构成：路由器端的 R DA(router detection agent)和服务器端的 S D A(server detection agent)。R D A 对用户数据流进行粗粒度检测，旨在过滤具有明 显 DDoS 攻击特征的恶意数据流；S D A 对用户数据流进行细粒度检测，检测并过滤恶意的狡猾攻击和低流量攻击， R DA 和 S D A 协同工作来实时监测网络状况。实验结果表明，C D DAC R 模型能实时地识别和防御 DDoS 攻击，并 且在异常发生时有效地阻止服务器被攻击的可能性。 关键词：D DoS 攻击；边界路由器；信誉值；数据融合；过滤 中图分类号：TP 393.08

文献标识码：A

文章编号：1000-436X(2009)03-0012-09

Model of coorperation defense DDoS attack based on client reputation

TIAN Jun-fe ng, Z HU Hong-tao, SUN Dong-dong, BI Zhi-m ing, LIU Qian

（Ins ti tu t e o f N et w o rk s Techn ol og y, C ol l eg e o f M ath em ati cs & C o mp u t er S ci en ce, H eb ei U n iv ersi t y, B ao di ng 071002, Ch in a ）

Abstract: The C DDAC R (cooperation defense DDoS attack based on client reputation) m odel was presented to detect and defend the DDoS attack. Two detection agents m ade up of the C DDAC R m odel logically: the R DA which set up on the router and the S DA which set up on the server. R DA coarse-grained detected the traffic to filter out the obvious unau- thorized clients’ traffic; S DA fine-grained detected the client’s traffic to identity the cunning attack and low-flow attack from the com m unication. Therefore, R D A and S DA together detected the client’s network status in realtim e. The experi- m ental results show the C DDAC R m odel can detect and defend the DDoS attack in realtim e, and reduce the probability of server be attacked when the network is on the abnormity.

Key words: DDoS attack; boundary-route; reputation; data fusion; filter

1 引言

DDoS （分布式拒绝服务）攻击是一种大范围的 协作式攻击，是当前黑客利用最普遍也是最有效的

通过一些恶意数据流来耗尽受害者的服务资源和 计算能力，使之不能正常地给合法用户提供服务， 如何防御 DDoS 攻击一直是研究的热点。

已有不少学者对 DDoS 攻击进行了一些研究工 攻击手段。DDoS 攻击利用 T CP/IP 协议自身的缺陷，

ddos 攻击器 /

作 [1~7]

IPS 以及对 DDoS 攻击的追踪技术等组成的网络安全系统，在功能上孤立单一，大多只能对抗已知攻击或亡羊补牢，而且一些技术还需要很大的物理存储空间和复杂的计算能力，这些方法在体系上多是外在的附加、被动的防御。因此无法应对具有多样性、随机性、隐蔽性和狡猾性等特点的 DDoS 破坏行为[8]。

事实上，造成 DDoS 攻击的本质是控制者操纵大量的傀儡机向服务器发送恶意数据包，这些数据包与合法用户发送的数据包具有很强的相似性，因此如何区分合法用户和恶意用户的服务请求是解决 DDoS 攻击的最有效途径。

ddos攻击器http://www.m /

网络安全技术的不断成熟也使得恶意攻击手段变得更高超，单纯地提高某一方面的安全技术无法从根本上解决各种信息威胁问题[9]。当前，有研究者提出了一种利用用户信誉值来防御 DDoS 攻击的方法[10,11]，此方法通过收集用户的历史行为信

息来计算用户的信誉值，依此来判断用户的善恶，从而达到识别和过滤恶意用户，防御 DDoS 攻击的目的。

利用用户信誉值来防御 DDoS 攻击的基本思想是：任何要访问服务器资源的用户，需在其访问包上附加一张“票”来标记自己是合法的，用户请求

到达时，服务器可以选择性地给有“票”标记的用

户提供服务，而拒绝给无“票”标记的用户提供服务。当前的研究工作主要集中在用户“票”的产生

和使用上。

ANDE RSON T 等[12]提出利用一个独立的覆盖网来传送用户的“票”请求，对含有用户“票”请

求的数据包由边界路由器直接转发到覆盖网中。这种方法对边界路由器的安全性要求较高，并且另建一个覆盖网也需要很大的开销，实施起来有一定难度。

YAAR A[13]提出的 SIFF 模型和 YANG X W[14]提出的 T VA 模型利用用户数据流所经过的路由器来产生一张授权“票”，这种方法改进了ANDE RSON T 等的模型，不用再另建一个覆盖网络，并且模型中利用认证技术保证了授权“票”的

真实性。对于“票”的使用，SIFF 模型设定“票”

的使用时间为有限时间，“票”只在给定的一段时

间内有效，过期就作废。TVA 模型设定“票”的使

用期限是基于一定的数据流量，一张“票”只允许

通过一定量的数据，超过给定的流量，“票”的使

用就被终止。

上述工作都是在假设区分了合法用户和恶意用户的情况下实现的，而且也没有考虑到恶意用户使用伪造的 IP 源地址来发动攻击的情况。NATU M[15]提出的模型是在受害者端长期考察用户的行为，结合

用户的行为利用“信誉值”和“惩罚值”来计算

一个用户的信誉度从而授予合法用户一张“票”，

对于信誉值的收集是独立于路由器的，它解决了SIFF 和 T VA 模型中没有区分恶意用户和合法用户的问题。

路由器或者服务器独自处理用户的行为信息，

2 者之间缺少协同和交流。由于最终要在服务器端

核实用户“票”，因此，单纯地由路由器收集的用

户行为信息就难免有失全面性和及时性，服务器模

型又造成服务器端的系统开销比较大，而且每个服

务器只是孤立地使用它自己对用户行为的长期观

察来收集用户信息，使用户信息的实时性和完整性

可能都有缺陷。本文提出了一种基于用户信誉值防

御 DDoS 攻击协同（CDDACR, coorperation defense ddos attack based on client reputation）模型。

CDDACR 模型在边界路由器端对通信数据进行粗粒度检测和分类，作为服务器前的一道屏障不

但保护了服务器的安全，而且减少了服务器的系统

防御开销。服务器端再进行细粒度的检测处理，这

些工作的基础是通过记录用户的历史行为信息来

量化计算出用户信誉值，通过用户信誉值的大小来

区分合法用户和恶意用户。

2CDDACR模型

CDDACR 模型的工作流程如图 1 所示。

模型分别在路由器端和服务器端设置检测代理: RDA(router detect agent)和 SDA (server detect agent)。

CDDACR 模型的形式化描述如下：

{用户 C 向服务器 S 发送访问请求

{RDA 对用户 C 的访问请求进行粗粒度检测

{ if(RDA 发现用户 C 在最近 T时间内有过攻击记录)

{直接过滤掉用户 C 的请求。 }

else

{根据用户 C 的信誉值大小来决定是否过滤其请求}

RDA 为检测通过的用户 C 发一张 pass 卡//pass 卡为用户通过 RDA 检测的一个标识

}