350 likes | 494 Views
硕士论文中期报告. 针对拒绝服务攻击的攻防 绩效评估方法研究. 专 业: 信息 安全 实验室:信息安全国家重点实验室. 报告人:王必达 导 师:连一峰. 提纲. 选题背景及意义 国内外研究现状 研究内容及阶段性成果 下一步工作计划 参与项目及发表论文情况. 选题背景及意义. 拒绝服务 DoS(Denial of Service) 是用一定手段来消耗网络带宽或系统资源,致使网络或系统服务瘫痪的一种攻击手段 绩效评估是针对网络安全防护系统的保护能力、安全性等方面因素的综合考量 对拒绝服务攻击的攻防效果进行绩效评估 可为部署安全措施提供参考
E N D
硕士论文中期报告 针对拒绝服务攻击的攻防绩效评估方法研究 专业:信息安全 实验室:信息安全国家重点实验室 报告人:王必达 导师:连一峰
提纲 • 选题背景及意义 • 国内外研究现状 • 研究内容及阶段性成果 • 下一步工作计划 • 参与项目及发表论文情况
选题背景及意义 • 拒绝服务DoS(Denial of Service)是用一定手段来消耗网络带宽或系统资源,致使网络或系统服务瘫痪的一种攻击手段 • 绩效评估是针对网络安全防护系统的保护能力、安全性等方面因素的综合考量 • 对拒绝服务攻击的攻防效果进行绩效评估可为部署安全措施提供参考 • 攻击绩效和防护绩效是密不可分的
选题背景及意义 • DoS攻击手段分类 • 按自动化程度分类:手动攻击、半自动攻击、自动攻击 • 按攻击速率分类:恒定速率攻击、可变速率攻击 • 按攻击目标分类:带宽资源耗尽型攻击、主机资源耗尽型攻击 • DoS防御手段分类 • 按采取行动的阶段分类:预防机制、反应机制 • 按部署位置分类:源端防御、被攻击端防御、中间网络防御
国内外研究现状 • 基于QoS指标的DoS攻击绩效评估方法:Jelena等 • 大量实验获得QoS指标,加权平均得到最终结果 • 基于模糊逻辑的评估方法:Maher等 • 问卷调查确定权重,加权平均得到最终结果 • 博弈论在DoS绩效评估方面的应用:张少俊等 • 适于描述DoS过程,收益值影响结果的合理性 • 基于排队论的DoS攻防建模与评估:Tianwei Chen等 • 针对某一类攻击手段,侧重建模
国内外研究现状 • 现有方法的不足 • 现有评估方法往往只针对一类DoS攻防手段 • 带宽占用率、CPU占用率等技术指标仅表明被攻击系统内部受到的影响,没有从用户的使用感受出发来建立评估指标,不够直观 • 使用多个指标描述绩效不利于多种攻防手段的相互对比,使用权重整合受主观因素影响较大 • 有些评估方法需要进行大规模、长时间的攻防实验,可操作性不足
基于排队论的DoS攻防绩效评估方法 • 包括下面几部分研究内容: • 针对不同种类DoS攻防手段建立了统一的指标体系和绩效计算方法 • 基于排队论方法分别建立了评估模型,对UDP Flood和SYN Flood攻击的绩效进行不包含主观因素的定量评估,有效分析不同攻击手段和强度的效果 • 利用网络仿真工具进行了模拟实验,对比验证了排队论模型的合理性,通过实例阐述了此评估方法的应用
绩效评估框架 • 不同类型的DoS攻击手段的目标都是使系统的可用性降低,防护手段的目标则是维护系统的可用性,保证用户获得快速而稳定的服务
绩效定义 • DoS攻防绩效:指DoS攻击或防护手段的效果,通过攻防过程对服务系统的服务质量造成的影响来衡量。 • 两方面影响:停留时间延长和拒绝服务概率增加 • 引入测试用户以整合为统一的绩效值,统计第一次发起连接到完成服务所需时间的数学期望E作为最终的绩效值
绩效计算方法 • 绩效值E:是对攻防绩效的定量表述, • Tt平均停留总时间; • Ti测试用户的重试间隔时间; • Pb用户的服务请求被拒绝的概率; • 绩效值E从用户的角度描述服务质量,DoS攻击目标是使E增大,而防护手段的目标则是使E减小
攻防过程的排队论建模及求解 • 为了全面反映攻防绩效,需要针对不同的攻防手段和强度进行多次反复实验并统计较长时间段内的记录 • 针对服务系统进行压力测试面临一定的安全风险 • 引入排队论的方法,建立服务过程模型,使用服务系统和攻防手段的基本参数作为输入,通过公式计算得到服务质量指标
排队论概述 • 排队论(Queueing Theory)是应用概率理论的分支,可以解答顾客在排队系统中的平均排队时间、队列中顾客数的概率分布等问题。 • 一般排队系统由输入过程与到达规则、排队规则、服务机构的结构、服务时间与服务规则组成
带宽资源耗尽型攻击攻防过程的排队论建模及求解带宽资源耗尽型攻击攻防过程的排队论建模及求解 • 以UDP Flood攻击为例,攻击者可以直接发送大量的UDP封包到服务器造成其出口链路的堵塞 • 可看作两个M/D/1队列组成的二维马尔可夫链 • 正常访问请求和恶意访问请求为两个独立的泊松过程,平均间隔分别为Ir(ms)和Ia(ms),数据包长均为常数Lp(Bytes),瓶颈带宽Bw(Mbps)
UDP Flood攻击过程的排队论建模及求解 • 正常请求到达率 • 攻击请求到达率 • 服务率 • 利用率 M/D/1系统有 • 平均服务时间 • 平均排队时间 • 平均停留时间
主机资源耗尽型攻击攻防过程的排队论建模及求解主机资源耗尽型攻击攻防过程的排队论建模及求解 以SYN Flood攻击为例,攻击者向受害主机的服务端口发送大量伪造源地址的TCP SYN报文 半连接队列被填满,导致该端口无法响应正常的连接请求
SYN Flood攻击排队论模型 • SYN Flood攻击模型被看作两个独立的服务率不同的M/D/m/m队列组成的二维马尔可夫链
SYN Flood攻击排队论模型 • Sr=后两次握手信息往返时间 • 正常请求的服务器利用率 • 类似地,设队列中攻击请求数量为a,攻击请求到达间隔服从指数分布,平均值为Ia,攻击请求的服务时间Sa=服务器设定的半开连接超时时间,Sa为常数。攻击请求的服务器利用率 • 由细节平衡方程可求出M/D/m/m队列中有n个用户的概率
SYN Flood攻击排队论模型求解 • 由于攻击请求队列和正常请求队列相互独立且都是出生-死亡队列,此二维马尔可夫链存在乘积形式的解。队列中有r个正常用户和a个攻击用户的概率 • 其中G是归一化常数,由 • 得:
SYN Flood攻击排队论模型求解 • 则他们共同组成的队列系统中有k个客户的概率 • 拒绝服务概率
实例分析及评估结果 实验设计 • 利用网络仿真软件NS-2完成 • 对NS-2进行扩展:完善三次握手、管理半开连接队列、实现超时机制 • UDP Flood实验将queue-limit属性设置为足够大的值 • 用Python脚本处理实验结果
模型推导结果与实验结果的对比 • 实验一:UDP Flood攻击
模型推导结果与实验结果的对比 • 实验一:UDP Flood攻击
模型推导结果与实验结果的对比 • 实验二:SYN Flood攻击
模型推导结果与实验结果的对比 • 实验二:SYN Flood攻击
绩效评估及对比实例 • 实例一:假设某系统服务方式是:在建立TCP连接后传输5mB数据,服务请求串行完成,仅遭受UDP Flood攻击,瓶颈带宽8mB,其他参数与实验一相同。 • 实例二:假设某系统服务方式是:在建立TCP连接后传输5mB数据,此系统只遭受SYN Flood攻击,忽略网络传输中的排队时间,设连接重试间隔Ti=5s,其他参数与实验一、二相同。
绩效评估及对比实例 • SYN Flood攻击只需较低的攻击速率即可达到与较高速率的UDP Flood攻击同样的攻击效果
与现有绩效评估方法的对比分析 • 评估过程可操作性分析 • 现有的采用以用户为中心的指标的评估方法需要进行各种强度的压力测试才能够获得平均停留时间等指标,反复实验耗费大量时间和资源,影响了其可操作性 • 在基于排队论的DoS攻防绩效评估方法中,操作过程的主要难度在于绩效计算 • UDP Flood模型的求解时间复杂度为O(1) • SYN Flood模型的求解时间复杂度为O(m3)
与现有绩效评估方法的对比分析 • 评估结果合理性分析 • 文献[7]包括了对防护手段的评估,将漏判率、平均时延、拒绝服务比例三者加权求和得到绩效值GS,权重值由经验值确定,此实例中取三者权重为(0,0.5,0.5) • 文献[2]将三个参数归一化后计算绩效,此实例中不考虑抖动,拒绝服务概率分布在0~1之间,时延分布在,用公式归一化,认为两者归一化后具有同样的权重。
与现有绩效评估方法的对比分析 • 这两种方法单独评估某类攻击时可以反映出攻击效果随攻击强度增长的趋势,但在对比不同类型攻击的效果时结果不够合理。 • 左图未作归一化,单位会造成结果的悬殊差异 • 右图对为何用 归一化没有充分论证,且绩效值缺乏物理意义
今后的工作 • 针对更多攻防手段建立排队论模型 • 研究与其他评估方法的配合,使基于排队论的绩效评估方法应用范围更广 • 在对防护手段的绩效评估方面,加入对于防护效果以外其他因素的考虑,为防护手段的选取和改进提供依据。
参与项目 • 国家863项目 • 2006AA01Z437:分布式计算的安全模型及关键技术研究 • 2007AA01Z475:大规模网络安全风险评估及主动防御系统(Active NetCT) • 开发类项目 • 信息系统安全态势评估工具
论文进展情况及预计答辩时间 • 学位论文 • 评估框架与指标体系的确定。 • 基于排队论的建模及求解。 • 设计实验并得到初步实验结果。 • 原型系统开发完成。 • 工作还有待进一步细化完善,并开始论文的撰写。 • 论文情况 • 《一种基于排队论的DoS攻防绩效评估方法》投稿于《中科院研究生院学报》,已录用。 • 预计答辩时间:2010年5月
参考文献 • [1] Mirkovic J, Hussain A, Wilson B, et al. A user-centric metric for denial-of-service measurement[C]// Experimental computer science on Experimental computer science: Berkeley, CA, USA: USENIX Association: 2007, 7-7. • [2] Su P, Chen X, Tang H. DoS attack impact assessment based on 3GPP QoS indexes[C]// Proceedings of the 2008 3rd International Conference on Innovative Computing Information and Control Volume 00:Washington, DC, USA: IEEE Computer Society, 2008: 103. • [3] Aburrous M, Hossain M, Thabatah F, et al. Intelligent quality performance assessment for E-Banking security using fuzzy logic[C]// Proceedings of the Fifth International Conference on Information Technology: New Generations: Washington, DC, USA: IEEE Computer Society: 2008: 420-425. • [4] Chen TW, Sortais M, Schafer M, et al. Performance analysis of a denial of service protection scheme for optimized and QoS-aware handover[J]. Computer Networks: The International Journal of Computer and Telecommunications Networking, 2005, 49(3):449-464. • [5] Yin Q, Research of SIP DoS attack defense mechanism based on queue theory [J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2008, 20(4) (in Chinese). • 殷茜. 基于排队论的SIP DoS攻击防御机制的研究[J]. 重庆邮电大学学报:自然科学版, 2008, 20(4). • [6] Wang Y, Lin C, Li Q, et al. A queueing analysis for the denial of service (DoS) attacks in computer networks[J]. Computer Networks: The International Journal of Computer and Telecommunications Networking, 2007, 51(12):3564-3573. • [7] Bellaiche M, Gregoire J. Measuring defense systems against flooding attacks[C].// Wireless Communications and Mobile Computing Conference: 2008: 600-605. • [8] Zhang SJ, Li JH, Chen XZ, et al. Method Research for Defending Against Distributed Denial-of-Service Attacks Based on Dynamic Game Theory[J]. Journal of Shanghai Jiaotong University. 2008, 42(2) (in Chinese). • 张少俊, 李建华, 陈秀真, 等. 基于动态博弈理论的分布式拒绝服务攻击防御方法[J]. 上海交通大学学报, 2008, 42(2). • [9] Shi P, Lian YF. Game-Theoretical effectiveness evaluation of DDoS defense[C]// The Seventh International Conference on Networking: 2008: 427-433. • [10] Willig A. A Short Introduction to Queueing Theory[M]. 1999. • [11] Tijms H. New and old results for the M/D/c queue[J]. AEU - International Journal of Electronics and Communications, 2006: 60(2):125-130. • [12] Bertsekas DP, Gallager. Data Networks[M]. 2nd edition. Prentice Hall, 1992. • [13] Fall K, Varadhan K. The ns Manual[M/OL]. 2009-01-06[2009-05-01]. http://www.isi.edu/nsnam/ns/doc/index.html. • [14] Fui-Hoon F, Nah. A study on tolerable waiting time: how long are web users willing to wait? [J]. Behaviour & Information Technology, 2004, 23(3):153. • [15] Thomas R. UNIX IP stack tuning guide[M/OL]. 2000-12-03[2009-05-01]. http://www.cymru.com/Documents/ip-stack-tuning.html.