Embed Size (px)
Citation preview
技術學刊 第二十七卷 第二期 民國一○一年 97
Journal of Technology, Vol. 27, No. 2, pp. 97-108 (2012)
統計式模糊邏輯應用於流量控制防止分散式 阻斷服務攻擊
劉仲鑫 1 邵 亦 2
1中國文化大學資訊工程學系 2中國文化大學資訊安全產業研發碩士專班
摘 要
維持高品質與不中斷的線上網站服務,減少因為網路中斷時造成的無形利
益損失,為此建立一網路監控機制以防止惡意連線與攻擊行為格外重要。
為提早發現網路威脅,降低後端入侵偵測系統負擔,本研究提出一基於監
控網路流量以防止惡意連線與攻擊行為,並且運用統計理論輔以模糊控制理論
為基礎架構,針對單一資料傳輸之流量行為與正常連線行為作為對比,建立正
常傳輸行為模組以達到網路監控與警示機制,試圖提高異常行為之判斷。
本研究分為三部分進行,第一部分主要是利用工具模擬偵測與攻擊行為,
第二部分依據專家經驗與防禦對策提出一防禦偵測機制,第三部分則是利用統
計式模糊流量控制技術試圖降低後方入侵偵測系統運算以達到流量控制目的。
關鍵詞:網路監控,網路流量,模糊理論,分散式阻斷服務攻擊 (DDoS)。
PREVENT DISTRIBUTED DENIAL OF SERVICE ATTACKS BASED ON STATISTICAL AND FUZZY LOGIC CONTROL
Chung-Hsin Liu1 I Shao2 1Department of Computer Science and Information Engineering
Chinese Culture University Taipei City, Taiwan 11114, R.O.C.
2Graduate Institute of R&D Master Program in Information Security Industry Chinese Culture University
Taipei City, Taiwan 11114, R.O.C.
Key Words: network monitoring, network traffic, fuzzy theory, distributed denial of service.
ABSTRACT
The research proposes monitoring network traffic to preventing malicious attacks. It uses statistical theory and fuzzy control architecture to create a single transmission behavior. It will establish a normal transmission behavior module in order to achieve network monitoring and an alert mechanism. The mechanism tries to improve the abnormal behavior detection rate. The study is divided into three parts. The first part uses tools to simulate detection and aggressive behavior. According to many defensive measure reports, we will build a detection mechanism. The third part uses statistical theory and fuzzy control to monitor each network flow. The mechanism will preprocess denial of service attacks for an intrusion detection system.
98 技術學刊 第二十七卷 第二期 民國一○一年
一、前 言
商業服務網站最著名的威脅乃是 2000 年 2 月 Yahoo
網站遭到分散式阻斷服務攻擊 (distributed denial of service,
DDoS) 期間,包括 eBay、Amazon、CNN等知名網站,也
均遭受此種威脅攻擊行為,導致網站服務無法正常營運,
使企業蒙受無數損失[1, 2]。
有鑑於此,建立一網路偵測防禦機制,針對網路通訊
中的異常流量、行為予以分析研究,以減少可疑之網路連
線與流量。為了及早發現網路威脅之所在,提供企業有效
縮短復原時間目標 (recovery time objective, RTO),避免不
可預計之後果與中斷服務影響,若能夠有效的降低救援時
間與發現機制,對企業而言相當重要。傳統偵測機制,如
特徵比對法 (signature-based detection) 無法隨時根據阻斷
服務攻擊作出動態之調整措施,而異常偵測 (anomaly-based
detection) 機制需要建立界定正常與異常行為之標準,駭客
可利用殭屍電腦 (botnet) 或 IP欺騙 (IP spoofing) 技術進
行攻擊,因此本研究提出一模糊流量控制機制監測網路通
訊行為,當阻斷服務攻擊發生時,能夠即時發現並啟動相
關之防禦措施,以降低企業之損失,並配合目前之佇列管
理機制與頻寬管理達到模糊控制之目的。
二、相關文獻探討
1. 阻斷服務攻擊
阻斷服務攻擊 (denial of service) 主要目的是設法癱
瘓主機或伺服器,使其提供之服務無法正常運作,透過大
量的偽造封包消耗其攻擊目標之主機可用資源的攻擊行
為,由於攻擊目標往往都是特定主機或服務,駭客可利用
所控制的電腦 (即 botnet) 進行攻擊作業,而此種可控制大
量電腦進行攻擊之行為即為分散式阻斷服務攻擊
(distributed denial of service, DDoS) [3]。
阻斷服務攻擊通常是利用 TCP/IP 網路通訊協定的漏
洞與特性,透過發送大量合法之封包以達到癱瘓網路之目
的,根據美國電腦網路危機處理協調中心 (computer
emergency response team/coordination center, CERT/CC) 與
美國國防部機構 DARPA 發表之 DDoS 之防禦技術機制研
究中[4, 5],依據其攻擊方式可分為以下主要四類:
(一) 網路頻寬消耗 (Bandwidth Consumption)
(二) 系統可用資源耗盡 (System Resource Starvation)
(三) 例外條件之缺陷 (Exceptional Condition Exploitation)
(四) 路由與網域名稱服務之操控 (Routing and Domain
Name Service Manipulation)
2. 分散式阻斷服務攻擊類型
分散式阻斷服務攻擊是運用大量合法之請求服務並
且達到佔用龐大網路資源,藉以癱瘓網路為主要目的。使
表一 阻斷服務攻擊類型
通訊協定 攻擊類型 說明
TCP SYN Flood
以假冒封包欺騙伺服器。透過
將封包內具有之原 IP 位址,經過特殊技術修改設定成不
合法或不存在之數值
Land 將封包中之原始發送位址與
目的端位址皆修改成遭受攻
擊伺服器 IP位址 TCP
TearDrop
利用竄改位移資訊內容,傳輸
封包欲進行重組作業時,將造
成重組錯誤而出現待解決之
問題
UDP UDP SYN Flood
攻擊者以偽裝或傳輸惡意封
包發動攻擊,利用點掃描工具
查詢可能開放之傳輸通信埠
進行相關攻擊方式
Ping of Death
以網路程式 Ping 發動攻擊,目標主機產生超過通訊協定
所能容忍之預設封包數量限
制將使系統當機
ICMP
Smurf
以區域網路概念發動廣播式
攻擊,由於路由器因為設定問
題未能達到最適當設定,駭客
可利用廣播機制傳輸大量偽
造之控制訊息協定回應於目
標主機,佔用系統資源造成網
路中斷
用者根據攻擊屬性與阻斷服務攻擊方式主要區分為兩大類
攻擊型態[2, 3, 6]:
(一) 利用網路通訊協定之缺失進行攻擊:
可分為 TCP、UDP與 ICMP等攻擊方法,常見之阻斷
服務攻擊類型如表一。
(二) 利用網路通訊服務或作業系統之缺失進行攻擊:
運用應用層即網路所提供之各類開發服務程式進行
攻擊。針對網路程式之缺失部分進行入侵,攻擊者當
滲透進主機系統後,駭客便可以針對某主機或網路服
務以大量消耗系統資源為目的,類似網際網路資訊服
務 (internet information services, IIS) 程式,迫害系統
提供之網路服務資源。
3. 阻斷服務攻擊防禦方式
針對阻斷服務攻擊 [7],常見的是利用防火牆
(Firewall)、交換機 (Switch)、路由器 (Router)、入侵偵測
系統 (IDS)、入侵防禦系統 (IPS) 等軟體與設備進行阻擋
與防禦。
4. 模糊控制理論
模糊理論[8, 9]主要是利用模糊集合 (Fuzzy set) 概念
劉仲鑫和邵 亦:統計式模糊邏輯應用於流量控制防止分散式阻斷服務攻擊 99
表二 模糊控制建立之步驟
步驟 主要內容
1 依據內容制定模糊控制結構
2 定義相關輸入與輸出集合
3 定義歸屬函數
4 建立模糊控制對策與策略
5 建立模糊控制表
6 執行模糊推論
7 建立解模糊器
定義各事物等級,取代事物之判斷原則,傳統上定義事件
會發生為 1,若是不會發生則為 0。模糊控制則是依據模糊
化 (Fuzzifier)、模糊規則庫 (Fuzzy Rule Base)、模糊推論
機 (Fuzzy Inference Engine) 與解模糊化 (Defuzzifier) 所
得到之一種智能控制方法,建立步驟如表二。
5. 偵測阻斷服務攻擊與防禦機制探討
阻斷服務攻擊之型態由於變化種類繁雜,以下就根據
此類型之阻斷服務攻擊與防禦機制所提出相關之研究進行
探討:
阻斷服務攻擊相關研究:
對於防止阻斷服務攻擊常見的研究方法分為:統計分
析、資料探勘、人工智慧、專家系統作為主要分析方
向,針對這些相關研究整理如表三所示。
三、系統流程與實驗架構
1. 實驗流程說明
分為三大部份進行研究,首先利用簡易工具對虛擬主
機進行探測與攻擊作業,同時提出監控之方式,並運用專
家闡述之理論與現有之設備與系統,包含WiNoc監控系統
與負載平衡器 Vigor 2910路由器進行阻斷服務攻擊防禦機
制,再來是針對提出之流量控管機制,並運用網路模擬軟
體 NS2進行網路模擬攻擊與流量控制之實驗,最後主要是
對攻擊方之流量監控,並且運用統計流量模糊控制方式,
設法達到入侵偵測與防禦之預警機制研究,試圖更進一步
提高網路傳輸流量控管作業與預警之機制之可能性,圖 1
為此實驗流程架構圖。
2. 系統弱點掃描
弱點掃描 (vulnerability scan) 主要是利用程式 (包含
軟體、硬體與韌體) 設計不良或是設定之疏忽造成效能上
之危害,主要運作方式是利用弱點掃描工具發現現有之主
機系統、網路管理設備與網路應用程式之弱點進行掃瞄動
作。針對存在之威脅提出專業之安全分析報告並提供現有
之安全漏洞與修補建議。可根據欲掃瞄之目的,主要區分
為網頁弱點掃瞄與系統弱點掃瞄兩種。
表三 阻斷服務攻擊相關研究
相關論文研究 內容描述
林子傑[10]
提出網路效能監控與網路流速控制等兩種
監控機制,針對網路特徵與網路效能,包含
封包延遲率與封包遺失率進行偵測,以網路
模擬器 NS2進行模擬。
紀宏宜[11]
運用倒傳遞類神經網路進行阻斷服務攻擊
偵測分析,針對資料流出與流入率進行研
究,但無進一步之偵測率與分析比較結果,
無法判斷其系統之好壞。
馬淑貞[1]
將各類型的阻斷服務予以分類,利用企業網
路與校園網路之網路管理設備作為正常網
路流量之訓練樣本,並且同時建構虛擬環境
模擬及蒐集四種攻擊環境之網路流量資
料,包括 TCP SYN Flood攻擊、Land攻擊、Fake Ping攻擊、Angry Ping攻擊等,透過資料探勘方式試圖協助對阻斷服務攻擊之偵
測率防禦研究。
劉博瑋[12] 提出結合入侵偵測系統與網路流量控制架
構,針對網路封包數量進行門檻控制並且以
網路模擬軟體 NS2進行研究。
張振宏[13]
以統計結合模糊理論針對阻斷服務攻擊試
圖降低攻擊流量以達到系統能承受之網路
流量,並且以網路模擬軟體 QualNet進行研究。
徐士卜[14]
對無線網路之阻斷服務攻擊,提出移動式偵
測防禦機制,尤其是行動通訊時,因為資源
處於有限之狀態,透過研究中所提出之移動
拓撲方式可讓阻斷服務攻擊達到可接受之
狀態。
鄭永隆[15]
利用可擴張馬爾可夫模型對網路封包進行
分析與研究,針對 KDD CUP 99 資料集之smurf與 neptune兩種阻斷服務攻擊分別偵測率達到 100%與 99.92%。
吳奕圻[16] 以決策樹方法判斷系統是否遭受攻擊,並且
運用灰色理論針對實際攻擊數據試圖追蹤
攻擊者達到良好之成效。
王品均[17]
針對網路攻擊如何進行探測與發現之動
作,以達成預警之機制,利用監控無線網路
封包與流量的方式監控網路傳輸並利用各
類攻擊程式進行攻擊,其中運用了封包擷
取、入侵偵測、入侵防禦、警示、模擬攻擊、
封包發送、WEP破解等七種模組方式進行無線網路之模擬攻擊與防禦系統,當行動通訊
已逐漸融入於日常生活當中,若能進一步對
無線網路進行偵測與防禦。
封包過濾機制[18]
(1) 流入過濾 (Ingress Filter) 利用限制能夠流入此路由器之網路區
段,若流入封包是屬於經過驗證授權之正
常封包則進行傳送,否則將此封包丟棄 (2) 流出過濾 (Egress Filter) 流出過濾則是將經過路由器往外傳送之
封包數量予以限制,避免偽造封包進行無
意義之傳輸
D-WARD [19]
主要運作功能由三大元件構成,作為封包是
否丟棄決策判斷 (1) 觀察元件 (Observation Component) (2) 流量限制元件 (Rate-Limiting Component) (3) 流量監控元件 (Traffic-Policing Component)
Packet Score [20]
運用機率統計方法過濾分散式阻斷服務攻
擊封包過濾方式,運作概念是以各項封包屬
性運用貝氏理論概念計算攻擊封包可能性
評分,達到防止阻斷服務攻擊之系統。
100 技術學刊 第二十七卷 第二期 民國一○一年
圖 1 實驗流程架構圖
3. 統計式模糊理論防禦法
本研究主要是以監控網路流量作為統計式模糊理論
防禦之方法 (statistical based fuzzy theory detection,
SFTD),監控範圍包含網路流量、封包數量、封包內容、
通訊協定方式與使用者人數等,並且以正常傳輸行為作為
評比方式,其理論基礎是建構於監控網路流量之方式[1]與
統計式模糊網路流量控制[13]之方式稍加以改善,並提出
一套統計式模糊理論之防禦方法,利用監控網路流量是否
遭受阻斷服務攻擊之影響,當遭受分散式阻斷服務攻擊
時,也能夠正常營運網站之正常服務功能。
首先監控流量的定義作為單一網路流量之對象,包含
來源端位置 (Source IP)、目的端位置 (Destination IP)、來
源端通訊埠 (Source Port)、目的端通訊埠 (Destination
Port)、封包大小 (Packet Size)、通訊協定型態 (Protocol type)
與封包存活時間 (TTL) 的機率分佈情形,當流入之封包屬
性跟正常模組下分佈情況差異過大,則此為攻擊封包之情
形將相對提升。本研究提出三項論點:
(一) 正常傳輸模組之建立
由於網路流量會隨著使用的網路環境,包括公司企
業、校園網路與家庭用戶的網路傳輸速率,使用者行
為等皆會有所不同而產生不同模組行為,監控於不同
傳輸環境亦會產生不同的效能。
(二) 監控網路流量之困難
當受到阻斷服務攻擊的主機,會因為遭受攻擊造成主
機資源耗盡而無法正常營運,此時,蒐集網路封包與
監控系統流量之行為也將隨之停擺。因此,同時能夠
發動分散式阻斷攻擊確實有其困難度,要如何能夠達
圖 2 事件發生機率與樣本大小之機率選擇方法
到蒐集網路封包、傳輸監控與效能兼顧等行為亦是困
難所在。
(三) 統計評估方法
此處運用兩種統計方法對異常之網路傳輸封包進行評
估作業,對異常封包經過數量及單位時間內使用者使用
及登入人數等,可運用出現之機率或期望值予以評估,
如貝式定理、卜瓦松分配;對異常網路流量進行評估
之統計方法,可依據研究中所能夠蒐集之資料多寡進行
選擇,如無母數方法、卡方檢定、z檢定、t檢定。
(1) 卜瓦松分配 (Poisson Distribution)
主要用於觀測單位時間內之出現特定事件次數,觀
測區間定義相當廣泛,包含時間 (每分鐘,每小
時…)、面積、體積、距離等等,X 為某項特定事
件發生次數,其可能值為 0, 1, 2,…,因此 X叫作
Poisson 隨機變數,針對離散型態的資料進行的統
計評估方式,例如某單位時間或特定間空內發生次
數的現象,稱作卜瓦松分配。
λt x xe ( t) eP(x) , 0,1, 2, ...
x! x!x
µλ µ−−= = = (1)
相關變數說明:
P(x) 為事件發生機率,其值會介於 0到 1之間。
e為自然對數 2.71828。
λ為單位時間內發生之期望值次數或稱為單位時間平均次數。
t為單位時間。
µ為λt之結果,此處稱作為單位時間期望值。
x為事件出現次數。
考量蒐集資料之正確性與採用之機率分配等因
素,主要是參考圖 2及阻斷服務攻擊發生之機率可
能性,因此本研究採用卜瓦松分配進行後續研究。
(2) t檢定 (t-Test)
以區間估計概念,將蒐集或觀測之資料,利用隨機
抽樣方式進行分析,假設資料皆屬於常態分配N (µ,
σ 2) 之抽取樣本作為可信賴之區間分析,其參考指
標為α。α稱作是顯著水準,即隨機取樣之樣本平均數有 100 (1-α)% 之可能性落於此區間內。本研
劉仲鑫和邵 亦:統計式模糊邏輯應用於流量控制防止分散式阻斷服務攻擊 101
圖 3 抽樣方式與區間估計之選擇方法
究因為考量蒐集到的攻擊數據是否具公信力以及
攻擊各項數據是否符合分散式阻斷服務攻擊之成
效,故使用圖 3之估計方式假定資料由常態母體進
行抽樣,並且母體變異數σ 2未知時,可運用 t檢定
設法估計區間流量。
2 2
( 1) , ( 1)S S
X t n X t nn n
α α
− − + −
(2)
相關變數說明:
X為蒐集樣本之平均數。
S為樣本變異數。
n為蒐集樣本之數量。
2
( 1)t nα − 為 t檢定得到之區間機率,通常以查表得
知。
四、實驗與數據蒐集
1. 模擬工具與實驗設備
利用系統偵測工具 Nmap、封包擷取軟體WireShark、
阻斷服務工具 UDP Flooder與網路模擬器 NS2等進行初步
攻擊作業,同時利用 WiNoc 監控系統與負載平衡路由器
Vigor 2910進行監控相關作業[21, 22, 23]。
2. 實際進行攻擊
利用虛擬機器VMware Workstation架設一虛擬網路環
境,模擬主機系統遭受攻擊[24, 25],其傳輸方式如下圖 4
所示,利用兩台受控制之惡意攻擊端電腦,進行攻擊主要
目標伺服器發動攻擊作業,同時有一主機傳送正常網路服
務,並且利用WiNoc系統進行監控作業。
攻擊端利用偵測軟體 Nmap進行偵測目標主機,當得
知目標主機防禦機制之弱點與安全漏洞或設法入侵其主機
伺服器之同時,利用阻斷服務攻擊工具進行模擬攻擊作
業,而主機端封包擷取軟體及流量監控則進行是否有異常
Internet
FirewallVigor Router Victim
WiNoc System Wireless GatewayWireless Device
Camera
Device Database User DatabaseAccounting Info Database
Firewall Device
Attack
Normal
Attack
Firewall
Firewall
圖 4 模擬攻擊環境架構
圖 5 Zenmap 偵測軟體
圖 6 利用 UDP Flooder 進行攻擊
行為與網路異常狀態發生情況,圖 5則是使用 Nmap之圖
形化介面 Zemnap,當輸入欲偵測之主機 IP位置及相關指
令,可得知其通訊埠狀態、作業系統與駭客可能運用之相
關訊息等。
當得知相關之入侵方式或未關閉之埠號時,則利用攻
擊工具進行攻擊作業,此實驗即利用 UDP Flooder工具進
行攻擊,如圖 6所示。因此,當受到攻擊一方的主機將因
為受到阻斷服務攻擊,如圖 7所示,導致 CPU效能不斷升
高或不穩定現象,影響其處理速度,甚至可能造成主機或
102 技術學刊 第二十七卷 第二期 民國一○一年
圖 7 遭阻斷服務攻擊之主機效能
圖 8 安裝 WireShark 監控軟體之主機
伺服器當機,而無法正常工作。同時,若是受攻擊之伺服
器裝設有監控網路流量及封包追蹤機制,將可依據其觀測
到之資訊進行追查或封鎖可疑之 IP位置,拒絕攻擊端對主
機傳送資料,圖 8 為安裝 WireShark 監控軟體之主機,當
發生攻擊行為時,受攻擊之主機將可疑封包進行記錄,以
待後續之追查動作。
3. 網路防禦機制
根據編寫阻斷服務攻擊工具 TFN2K之黑客 Mixter所
提出防止分散式阻斷服務攻擊策略,真正被入侵與阻斷服
務攻擊方式相當複雜,表四為Mixter所提出防禦阻斷服務
攻擊之建議。由上述黑客Mixter之論點,本研究則是利用
網路管理系統WiNoc對網路設備進行監控管理,此套系統
具備遠端登入之功能,可針對欲監控之網路傳輸設備進行
登入以達到管理之目的,同時與系統所連接之網路設備能
夠隨時監控各功能是否正常運作,包含網路各設備實體位
置、能否進行 Ping 連接測試、TCP 網路傳輸是否正常運
作、UDP網路傳輸是否正常運作及 SNMP協定是否正常運
作等,並且可以透過遠端登入修正方式,進行各設備檢查
問題與校正,如圖 9,而各網路設備也可經由WiNoc系統
表四 Mixter 所提出之阻斷服務攻擊防禦策略
編號 防禦對策
1 消除 FUD心態:恐懼 (Fear)、猜測 (Uncertainty)、 懷疑 (Doubt)。
2 要求與網路服務供應商 (internet service provider, ISP) 合作。
3 優化路由與網路結構。
4 優化對外提供服務之主機。
5 受到攻擊時,採用正確之對應策略。
6 消除 FUN心態。
7 確保主機安全且無法侵入。
8 定期稽核系統。
9 檢查文件是否完整。
10 發現遭受攻擊時,立即關閉系統並調查。
圖 9 系統控管區域內網路設備
圖 10 設備傳入流量時段排行與比例分配圖
進行監控、統計分析及產出各項相關資訊報表進行分析與
研究,如圖 10、圖 11。
本實驗分別控制多台電腦進行攻擊並且攻擊封包大
小約 1.5 Mbytes,以相異傳輸速率之分散式阻斷攻擊進行
研究分析,所得到之結果如表五所示,當利用不同攻擊速
率傳輸相同大小檔案所得到之比較結果效能表。
劉仲鑫和邵 亦:統計式模糊邏輯應用於流量控制防止分散式阻斷服務攻擊 103
表五 受攻擊之傳輸效能表
總攻擊 速率
傳輸檔案 大小
傳輸 時間
傳輸平均 速率
瞬間傳輸 最大速率
0 Mbps 102 Mbytes 9 11.3 Mbps 30 Mbps
75 Mbps 102 Mbytes 20 5.1 Mbps 13.4 Mbps
150 Mbps 102 Mbytes 85 1.2 Mbps 4.4 Mbps
225 Mbps 102 Mbytes 147 0.69 Mbps 1.5 Mbps
300 Mbps 102 Mbytes 162 0.63 Mbps 1 Mbps
375 Mbps 102 Mbytes 179 0.57 Mbps 0.9 Mbps
16 49.18%
12 12.72%
17 6.68%
14 6.61%
15 6.54%
13 6.40%
11 4.83%
10 3.46%
18 2.61%
19 0.71%
9 0.22%
8 0.03%
20 0.01%
5 0.00%
2 0.00%
22 0.00%
4 0.00%Total: 100.00%
49.18%16
12.72%12
6.68%17
6.61%14
6.54%15
6.40%13
4.83%11
3.46%10
2.61%180.71%19
0.71%90.03%8
0.01%20
圖 11 設備傳入流量時段圓餅圖
4. 分散式阻斷服務攻擊與佇列管理機制
利用 NS2 網路模擬器可以模擬網路傳輸之各種狀
況,圖 12為此實驗環境之架構,本研究中的統計式模糊理
論防禦機制將架設於 IPS伺服器 (IPS Server),其主要功能
在偵測流量控制避免過載 (overloading) 情形發生,而目標
伺服器則提供網路服務與被攻擊之對象。
此環境中有 N 個合法使用者 (normal users) 可正常向
伺服器端進行網路服務及資料傳輸等作業;有M 個惡意使
用者 (malicious users) 代表駭客端控制之電腦,並試圖癱
瘓提供服務之伺服器,圖 13 為運用網路模擬器 NS2 之情
境架構。
使用者可根據主機伺服器之需求、架設方式、網路傳
輸負載量等將相關資料進行輸入,本研究最重要是運用網
路流量之控管機制建立偵測預警。為此,各傳輸節點與攻
擊方網路傳輸流量均不相同,利用 NS2模擬攻擊之環境,
圖中有節點1至節點10為正常使用者傳輸正常封包於目標
主機,節點 11至節點 30為惡意攻擊者,路由器為節點 31,
而節點 32 為入侵防禦系統 (IPS),節點 33 為提供服務之
主機伺服器,正常封包傳輸為藍色,而惡意攻擊者封包傳
………
………
NetworkRouter
IPS Server Victim Server
N Normal Users
M Malicious Users 圖 12 模擬場景示意圖
圖 13 運用 NS2 模擬攻擊情境
圖 14 遭受攻擊環境封包遺失
輸為紅色,當惡意攻擊者欲阻礙正常使用者存取網路服務
時,刻意傳輸大量封包至目標主機,試圖妨礙使用者正常
使用網路服務,並且大量封包接收至路由器後,因為可使
用佇列空間被塞滿封包,因此,正常封包與惡意封包便有
可能於攻擊期間造成遺失或無法傳輸至目標主機,如圖 14
所示。
當封包傳送或接收時,封包都會於傳送佇列中等待後
續處理,如何能夠達到較佳之佇列管理機制之運作,以下
為較常見之佇列管理模式,因此本實驗僅在分析常見之佇
列包含 Droptail (FIFO)、DRR (deficit round robin)、FQ (fair
queue)、SFQ (stochastic fairness queuing)。
104 技術學刊 第二十七卷 第二期 民國一○一年
800
700
600
500
400
300
200
100
0Transmissionpacket total
Receive packet Loss packet
DroptailDRRSFQFQ
圖 15 佇列管理機制比較表
傳輸佇列管理機制為比較優劣性,故設置小型模擬攻
擊進行比較作業,佇列管理機制將於閘道器 (gateway) 進
行比較。由實驗結果得知,當正常封包進行傳輸受到攻擊
時,封包將會因傳輸速率限制而遺失,此時佇列管理機制
將發揮其功能,針對其發送與接收結果,而各佇列管理機
制之結果如圖 15所示,可發現 FQ佇列管理機制在此實驗
中能發揮較佳之傳輸接收率。
五、資料分析與流量控制機制
從文獻中所提出當受到攻擊時之重要觀測網路項目
[26]與研究報告[27]中指出下面六項觀測項目,為重要之網
路管理指標提供網管人員用來防堵阻斷服務攻擊之行為分
析,如表六所示。
1. 建立偵測資料庫與偵測步驟說明
本研究主要依據網路流量與單位時間內網路使用人
數進行後續研究探討,包含統計分析、模糊規則制定與運
用實際入侵偵測資料庫建立防禦規則,主要以兩大重點分
別進行研究:
(一) 正常連線行為資料庫建立
透過建立主要四項相關規則進行阻擋與分析,包含:
(1) t檢定規則:需建立當網路壅塞情形發生時,網路
服務之正常傳輸流量區間與判定標準。
(2) 卜瓦松規則:網路管理者需知曉網路服務系統單位
時間內平均連線人數。
(3) 模糊規則:透過建立 t 檢定與卜瓦松等相關規則
後,再次以模糊理論進行權重分析。
(二) 過濾機制與偵測步驟
主要透過實體設備進行偵測分析,包含防火牆與路由
器、網路監控系統WiNoc系統。
(1) 防火牆與路由器
透過設定規則之防火牆與路由器,針對一般常見之
攻擊方式包含封包大小限制、封包數量限制及其他
表六 重點觀測項目
觀測項目 內容說明
觀測網路流量統計資料 計算單位時間內網路使用情
形與網路負載量
網路使用人數統計資料 網路服務於單位時間使用之
人數統計
各網路通訊協定使用情形 單位時間各項網路通訊協定
封包數量
所有使用者流量統計表 使用者於網路內通訊之行為
記錄
使用者佔用資源記錄 包含主機 CPU、RAM等各項負載狀況與使用情形
與外部網路通訊情形 分析網路於內外網路間通訊
之記錄
圖 16 過濾機制示意圖
異常特徵與規則進行過濾。
(2) 網路監控系統WiNoc
透過監控網路行為等方式建立 t檢定規則、卜瓦松
規則及模糊規則。
(a)依據 t檢定排除正常連線以外之傳輸流量行為。
(b)過濾卜瓦松規則界定之單位時間內連線人數。
(c)以模糊規則與權重再次進行過濾機制。
因此,透過建立規則比對資料庫與過濾機制,不論是
正常連線使用者與異常連線使用者均會透過三階段的過濾
步驟進行異常過濾機制,如圖 16所示。而本研究所提出的
偵測規則會依據管理者欲達到之效果不同將有所差異,表
七為本研究提出之比對規則。
2. 統計檢定分析
本研究將運用兩種統計理論,包含 t檢定與卜瓦松
分配設法估計正常傳輸模組,並且定義監控流量為單
一流量對象,包含來源端位置 (Source IP)、目的端位
置 (Destination IP)、來源端通訊埠 (Source Port)、目的端
劉仲鑫和邵 亦:統計式模糊邏輯應用於流量控制防止分散式阻斷服務攻擊 105
表七 偵測規則相關說明
偵測規則 說明
t檢定規則 網路服務之正常傳輸流量區間與判定標準。
卜瓦松規則 建立網路服務單位時間內平均連線人數警
戒值。
模糊規則 建立 t 檢定與卜瓦松等相關規則後,再次以模糊理論進行權重分析。
> Normal_Flow [1] 1.05 1.75 1.34 0.96 1.21 1.32 0.42 1.46 1.27 1.65[11] 1.37 1.65 1.94 0.23 0.59 0.34 1.41 0.96 1.11 2.03[21] 1.04 1.24 1.21 0.67 1.03 1.80 1.75 0.73 0.12 0.74
圖 17 正常傳輸流量取樣模組
> t.test(Normal_Flow)
One Sample t-test
data: Normal_Flowt = 12.394, df = 29, p-value = 4.177e-13alternative hypothesis: true mean is not equal to 095 percent confidence interval: 0.9571679 1.3354988sample estimates:mean of x 1.146333
圖 18 正常流量單樣本 t 檢定
通訊埠 (Destination Port)、封包大小 (Packet Size)、通訊協
定型態 (Protocol type) 與封包存活時間 (TTL) 之行為機
率分布情形。
(一) 建立 t檢定規則
(1) 建立正常連線行為模組
當遭遇攻擊時,我們從正常傳輸模組中作取樣,
設法估計正常行為之傳輸區間,即取樣表五攻擊
流量為 150 Mbps之部分,其取樣為 30組觀測傳
輸流量資料,如圖 17所示,t檢定具備能將單位
時間觀測到之平均值,界定於可信賴之傳輸區
間,故運用 t 檢定方式,對正常傳輸之有效區間
樣本進行分析,利用觀測到之正常流量模組進行
單樣本 t檢定,可得到正常資料傳輸將於 95%信
賴區內 (0.957, 1.335) 進行傳輸作業之可能性,
如圖 18所示。
(2) 建立攻擊連線流量與分析
設定攻擊平均流量為 1.5 Mbps,為避免被視為惡意
攻擊,故將傳輸封包大小與傳輸流量作動態區間調
整,同時取樣攻擊數據為 30組,如圖 19所示。利
用統計分析軟體,進行取樣資料分析得知正常傳輸
模組與惡意攻擊傳輸模組之相關統計數據,如 圖
20 所示。在進行資料分析的前置作業前,必須先
針對兩取樣樣本間關係評估兩變數是否具備相同
> Attack_Flow [1] 1.28 2.62 1.37 1.45 1.72 2.46 1.31 2.38 2.34 1.17[11] 1.01 1.10 0.87 1.18 0.78 1.54 1.02 0.01 0.79 1.59[21] 1.18 2.89 0.96 1.44 1.75 1.78 2.65 3.55 2.21 1.25
圖 19 攻擊傳輸流量取樣模組
Min. 1st Qu. Median Mean 3rd Qu. Max.0.120 0.795 1.210 1.146 1.448 2.030
> summary (Normal_Flow)
Min. 1st Qu. Median Mean 3rd Qu. Max.0.010 1.118 1.405 1.588 2.102 3.550
> summary (Attack_Flow)
圖 20 各資料相關統計數據
> var.test(Normal_Flow,Attack_Flow)
F test to compare two variances
data: Normal_Flow and Attack_FlowF = 0.4476, num df = 29, denom df = 29, p-value =0.03416alternative hypothesis: true ratio of variances is not equal to 195 percent confidence interval: 0.2130437 0.9404139sample estimates:ratio of variances 0.4476039
圖 21 取樣變異數分析比較
> t.test(Normal_Flow,Attack_Flow)
Welch Two Sample t-test
data: Normal_Flow and Attack_Flowt = -2.6573, df = 50.628, p-value = 0.01051alternative hypothesis: true difference in means is not equal to 095 percent confidence interval: -0.7759864 -0.1080136sample estimates:mean of x mean of y 1.146333 1.588333
圖 22 雙樣本 t 檢定
之變異數,若是具備相似之變異數,則此流量可
能為正常之流量傳輸,並且採用不同檢測方式,
如圖 21所示,可得知此兩流量並無相似之變異數
分佈。利用攻擊流量樣本與正常流量樣本作雙樣
本 t檢定比較,所得到 p值為 0.01 < α (α = .05),
如圖 22所示。因此拒絕虛無假設,即攻擊流量與
正常傳輸流量無近似之傳輸平均值,因此攻擊流
量將被入侵偵測防禦機制給攔截而無法進行攻擊
作業。
(二) 建立卜瓦松規則
本研究主要是建立網路服務單位時間內平均連線人
數之警戒值。原則上會依據各網路服務、時段、使用
者可能使用機率與連線上限等諸多規則所建立,試圖
達到最佳之防禦效能。而表八為利用卜瓦松分配計算
之單位時間內連線數量機率,例如假定各網路服務單
位時間內連線人數為 2至 4人,取平均數為 3人,則
同時間 5人連線之可能性為 91.6%,當同時間內 10人
進行連線機率則為 99.97%。
106 技術學刊 第二十七卷 第二期 民國一○一年
表八 卜瓦松機率表
卜瓦松機率 P (5) P (10)
單位時間連線人數 (X) 5 10
平均連線人數 (µ) 3 3
時間內連線機率 (P) 0.91608 0.99971
例外機率 (1-P) 0.08392 0.00029
表九 模糊規則關係表
網路流量
流量低 適中 流量高
少 低危險 低危險 中等危險
適中 低危險 中等危險 高危險 單位時間內 連線人數
多 中等危險 高危險 高危險
表十 模糊規則定義表
規則名稱 程度判斷 定義 流量低 單一流量 < 1.146 Mbps 適中 0.957Mbps < 單一流量
< 1.335 Mbps t檢定規則
流量高 單一流量 > 1.146 Mbps 連線人數少 連線人數 < 7 連線人數適中 5 < 連線人數 < 10 卜瓦松規則
連線人數多 連線人數 > 7 低危險 0 < 攻擊權重 < 0.5 中等危險 0.3 < 攻擊權重 < 0.7 輸出規則
高危險 0.5 < 攻擊權重 < 1
3. 統計式模糊理論防禦機制
此處將 t 檢定方法建立之可信賴傳輸區間 (0.957,
1.335),以此資訊大量把可靠與正常傳輸流量界定於此區間
內,並且設定網路服務於單位時間內平均連線人數之警戒值
基礎進行評估,介於此兩項規則之模糊地帶,則導入統計式
模糊理論並且從所得到之結果計算權重值予以攔阻。
(一) 統計式模糊理論定義
t 檢定規則與卜瓦松規則所得到之結果,雖然能有效
將大量惡意連線進行攔阻,但惡意攻擊者仍有可能試
圖於此兩規則之模糊地帶進行攻擊。因此,此處先建
立模糊理論中之歸屬函數,將每種連線行為賦予權重
值再進行評估作業,如表九所示,而表十為相關規則
定義表。根據 t檢定所得到之規則,經過數據處理後,
將制定出圖 23 判斷正常且可信賴傳輸區間得到之模
糊流量控制模組。同樣運用卜瓦松規則所制定之單位
時間網路服務連線人數機率,制定出如圖 24 之使用
者連線人數控制模組。
將網路流量與連線人數制定出相關規則後,同時需定
義出兩者間關聯性,網路管理人員可依據公司決策與
1
0.8
0.6
0.4
0.2
00 0.5 1 1.5 2 2.5 3 3.5 4
Mbps
Network_Flow
圖 23 網路流量模糊規則
1
0.8
0.6
0.4
0.2
00 5 10 15
Persons
User_Total
圖 24 使用者連線人數模糊控制
1
0.8
0.6
0.4
0.2
00 0.20.1 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1
Rate
Attack_Index
圖 25 攻擊可能性模糊控制輸出
單位時間內連線人數
3 4 5 6 7 8 9 10 11 12 13 14 15 0.7 0.2 0.2 0.2 0.22 0.22 0.2 0.32 0.5 0.5 0.5 0.5 0.5 0.5 0.8 0.2 0.2 0.2 0.22 0.22 0.2 0.32 0.5 0.5 0.5 0.5 0.5 0.5 0.9 0.2 0.2 0.2 0.22 0.22 0.2 0.32 0.5 0.5 0.5 0.5 0.5 0.5
1 0.2 0.2 0.2 0.24 0.24 0.23 0.32 0.55 0.55 0.55 0.55 0.55 0.55 1.1 0.19 0.19 0.19 0.2 0.31 0.32 0.3 0.64 0.64 0.64 0.64 0.64 0.64 1.2 0.43 0.43 0.43 0.48 0.7 0.69 0.74 0.71 0.71 0.71 0.71 0.71 0.71 1.3 0.5 0.5 0.5 0.61 0.75 0.78 0.75 0.78 0.78 0.78 0.78 0.78 0.78 1.4 0.5 0.5 0.5 0.63 0.72 0.8 0.78 0.8 0.8 0.8 0.8 0.8 0.8
網 路 流 量
1.5 0.5 0.5 0.5 0.63 0.72 0.8 0.78 0.8 0.8 0.8 0.8 0.8 0.8
圖 26 偵測連線攻擊之關係示意圖
需求進行後續制定,本研究是依據表十制定並且將攻
擊可能性結果匯出如圖 25所示。圖 26則是透過上述
之關係與參數匯入情形而建立之表格,明顯得知當傳
輸流量與單位時間內使用者連線
劉仲鑫和邵 亦:統計式模糊邏輯應用於流量控制防止分散式阻斷服務攻擊 107
表十一 各偵測過濾階段說明
偵測階段 防禦方式 說明
防火牆 第一階段
路由器
依據設定規則進行防禦,此
處需仰賴管理者與公司管
理策略,通常是各項攻擊防
禦第一道關卡。
監控系統WiNoc
t檢定規則 第二階段
卜瓦松規則
依據監控系統及觀測正常
行為作出統計檢定標準進
行制定,避免入侵偵測系統
處理龐大攻擊資料。
入侵偵測系統 第三階段
模糊規則
以模糊規則制定之權重進
行阻擋作業,搭配入侵偵測
系統檢測特徵值進行強化
防禦機制。
圖 27 篩選過濾過程
數量超過警戒值後,偵測為攻擊流量可能之行為機率
將會明顯提升,管理者可依據此參數表進行攔截惡意
連線判別準則。
(二) 統計式模糊理論偵測率與驗證
為檢測統計式模糊理論防禦機制是否能夠有效減緩
抵禦分散式阻斷服務攻擊,利用亂數生成一萬筆攻擊
資料流量,並且隨機分配各資料流量、使用者連線數
量,產生攻擊總數超過三千次以上之分散式阻斷服務
攻擊,並且依據圖 27 流程進行攻擊阻斷標準,將分
成三項階段防禦攻擊過程,說明如表十一所示。本研
究設定攻擊方利用一萬種不同之連線流量行為進行
攻擊,並且運用網路模擬器 NS2進行攻擊模擬實驗,
當網路遭受攻擊時最大單一連線流量限制為 1.5 Mbps,
表十二 各階段偵測率分析表
偵測階段編號 規則比對 偵測率 防火牆
第一階段 路由器
6.67%
t檢定規則 87.18% 第二階段
卜瓦松規則 91.18% 第三階段 模糊規則 93.28%
表十三 研究結果與相關文獻比較
相關論文 研究
阻斷服務 攻擊類型
研究結果
林子傑[10] 網路模擬器 NS2模擬 減緩阻斷服務攻擊速
率
紀宏宜[11] 實作 Flooding攻擊 阻斷部分 Flooding 攻擊,偵測率未知
劉博瑋[12] 網路模擬器 NS2模擬 減緩阻斷服務攻擊速
率
張振宏[13] 網路模擬器 QualNet 模擬
減緩阻斷服務攻擊速
率
徐士卜[14] 無線網路模擬器模擬 通訊環境中 92%至96%之通訊者達到可接受之通訊品質
王品均[17] WEP 破解 可達到防止WEP破解
本實驗結果 網路模擬器 NS2模擬
經實驗可得知防禦
93.28%之攻擊流量,且同樣達到減緩阻斷
服務攻擊速率之成
效。
經過封包單位大小設限為 1.5 Mbytes,因此第一階段
偵測阻斷攻擊率只有少量的 6.67%。第二階段則是利
用監測系統WiNoc,以及統計檢定概念進行兩項規則
偵測,說明如表十二所示:
(1) 偵測 t檢定規則
利用監測使用者行為建立之 t檢定的可信賴區間,
在經過單位時間內的連線偵測速率與統計量測計
算下,具有 95% 的信心水準可說明該連線可於正
常連線區間 (0.957, 1.335) 進行傳輸,此處的偵測
阻斷率為 87.18%。
(2) 偵測卜瓦松規則
以單位時間內連線使用者數量之上限作為過濾標
準,此處設定當偵測機制啟動時,才會進行連線人
數數量之限制功能,本實驗是設定為單位時間內連
線人數以 10 個為最大連線之可能,因此進一步過
濾篩選,偵測率便達到 91.18%。
第三階段偵測機制是利用上述之資料與數據,以及企
業可承受之總流量等進行統計式模糊理論防禦機制
過濾,利用可疑連線大於 0.5 門檻值者進行截斷服
務,可以得到阻斷率達到 93.28%。
108 技術學刊 第二十七卷 第二期 民國一○一年
六、結 論
由表十三之實驗結果可以得知,當遭遇阻斷服務攻擊
時,若能夠利用正常傳輸之行為模組,建立異常偵測基礎
之統計式模糊理論防禦機制,運用 t 檢定與卜瓦松機率配
合模糊理論進行區分,對惡意網路傳輸進行控制,將能夠
有效防禦惡意之分散式阻斷服務攻擊,並且僅僅只讓少量
網路攻擊達到效果,無法造成嚴重影響。
運用網路模擬器 NS2可以得知,採用統計式模糊理論
防禦機制可將大量異常流量進行初步過濾,降低後方入侵
偵測系統之處理負擔。
參考文獻
1. 馬淑貞,「以網路流量資料探勘協助進行阻斷服務攻擊
偵測與防禦之研究」,碩士論文,國立中山大學資訊管
理研究所,高雄 (2005)。
2. 張智晴和林盈達,「分散式 Denial-of-Service 攻擊事件
的觀察」,網路通訊,第 108期 (2000)。
3. Wikipedia, Denial-of-Service Attack, http://en.wikipedia.
org/ wiki/ Denial-of-service_attack
4. CERT/CC, Denial-of-Service Attack, http://www.cert.org
/tech_tips/denial_of_service.html
5. Hardaker, W., Kindred, D., Ostrenga, R., Sterne, D., and
Thomas, R., “Justification and Requirements for a
National DDoS Defense Technology Evaluation Facility,”
Network Associates Laboratories Report #02-052. (2002)
6. OWASP, Top 10 2010-Main, https://www.owasp.org/
index. php/ Top_10_2010-Main
7. 徐悟梵,「DDoS攻擊及防火牆之研究:以 VoIP與視訊
會議為例」,碩士論文,中國文化大學資訊安全產業研
發專班,臺北 (2009)。
8. 陳彥升和吳文濱,人工智慧:智慧型系統導論 (第二
版),全華圖書,臺北市 (2007)。
9. 王進德,類神經網路與模糊控制理論入門與應用,全
華圖書,臺北市 (2007)。
10. 林子傑,「基於監控網路效能所提出之追蹤與緩和分散
式阻斷服務攻擊的新方法」,碩士論文,成功大學資訊
工程學系,臺南 (2004)。
11. 紀宏宜,「應用倒傳遞類神經網路偵測網際網路阻斷服
務攻擊之研究」,碩士論文,樹德科技大學電腦與通訊
系碩士班,高雄 (2005)。
12. 劉博瑋,「使用入侵偵測系統與流量控制模組減緩分散
式阻斷服務攻擊」,碩士論文,逢甲大學資訊工程學系
碩士班,臺中 (2006) 。
13. 張振宏,「利用統計式模糊流量控制防止分散式阻斷服
務攻擊」,碩士論文,國立成功大學電腦與通信工程研
究所,臺南 (2007)。
14. 徐士卜,「無線感測網路上移動式阻斷服務攻擊及其防
禦機制探究」,碩士論文,國立清華大學資訊工程研究
所,新竹 (2007)。
15. 鄭永隆,「基於可擴張馬爾可夫模型之可調適分散式阻
斷服務攻擊偵測機制」,碩士論文,樹德科技大學資訊
工程系,高雄 (2008)。
16. 吳奕圻,「應用決策樹偵測分散式阻斷攻擊與搭配灰色
理論之追蹤」,碩士論文,國立交通大學資訊科學與工
程研究所,新竹 (2008)。
17. 王品均,「無線區域網路攻擊與防禦機制之設計與實
作」,碩士論文,長庚大學資訊管理研究所,桃園縣
(2010)。
18. Ghosh, A., Wong, L., Crescenzo, G. D., and Talpade, R.,
“InFilter: Predictive Ingress Filtering to Detect Spoofed IP
Traffic,” Proceedings of the 25th IEEE International
Conference on Distributed Computing Systems Workshops,
pp. 99-106 (2005).
19. Mirkovic, J. and Reiher, P., “D-WARD: A source-End
Defense against Flooding Denial-of-Service Attacks,”
IEEE Transactions on Dependable and Secure Computing,
Vol. 2, No 3, pp. 216-232 (2005).
20. Kim, Y., Lau, W. C., Chuah, M. C., and Chao, J. H.,
“PacketScore: Astatistics-Based Packet Filtering Scheme
against Distributed Denial-of-Service Attacks,” IEEE
Transactions on Dependable and Secure Computing, Vol.
3, No. 2, pp. 1-15 (2006).
21. 柯志亨、程榮祥、謝錫堃和黃文祥,計算機網路實驗-
以 NS2模擬工具實做,學貫行銷,臺北市 (2005)。
22. Dittrich, D., “The DoS Project’s “Trinoo” Distributed
denial of Service Attack Tool,” http://staff.washington.edu/
dittrich/misc/trinoo.analysis (1999a).
23. Dittrich, D., “The “Tribe Flood Network” Distributed
Denial of Service Attack Tool,” http://staff.washington.edu/
dittrich/misc/tfn.analysis (1999b)
24. 鳥哥,鳥哥的 Linux 私房菜伺服器架設篇第二版,上奇
資訊,臺北市 (2007)。
25. 凱文瑞克工作室,資訊安全-駭客攻擊與防禦對策,學
貫行銷,臺北市 (2009)。
26. 賴溪松,資通安全專輯第三輯之『網路攻防實驗教
材』,財團法人國家實驗研究院科技政策研究與資訊中
心 (2005)。
27. 陳威宇,「以政策為基礎的網路管理之研究」,碩士論
文,中國文化大學資訊管理研究所,臺北 (2006)。
2011年 09月 13 日 收稿
2011年 09月 20 日 初審
2011年 12月 03 日 複審
2011年 12月 26 日 接受
