（无线电物理专业论文）网络入侵防御系统——正常程度计算模块的实现与系统的整合.pdf

an e 俩o r ki i l 仃u s i o np r e v e n t i o ns y s t e m t h en o n l l a l 时m e a s u r e m e n tm o d u l ea n dt h es y s t e m m 旬0 f ： n 锄e ： i n t e 殍i a t i o n r a d i op h y s i c s 2 脑q i a l l gl i 锄g p r o 矗鼹s o rs h 啪z b 朗gy _ u a b s t r a c t w i lt l l e r a p i dd e v e l o p m 铋to fi i l t e m e t ，n e t w o r ks e 训哆e v 锄t sh a p p e n e d 丘叼u e n t l y 觚dv 撕o u sk i n d so fa t t a c ka p p e a - e de n d l e s s l y a m o n gt l l 锄，d d o s ( d i s t r i b u t e dd e i l i a lo fs e r v i c e ) a t t a c kb e c o m e sac o m m o na t t a c kt e 州q u eb e c a l l s eo f i t sc h a r a c t e f i s t i c s ，s u i c h 勰g r e a td e s 协) y ，s 仃0 n gc 0 n c c a l i i l 踟t s i i i l p l et ob ed o n e 觚d h a r dt od e f i e n s e e t c t h j sd i s s e r t a t i o ni s t l l es u c c e s s i o no fo u rr e s e a r c hp r o i e c to fn e t w o f k 【n t r u s i o n p r c v e i l t i o ns y s t e n l ad e t e c t i o nm o d e lb 勰e do nh s m mm i d d c i ls 锄i m a r k o vm o d e l ， h s m m ) i sb 证l ti nm i s s y s o o o o o o o o o o o o o o o o 0 0 1 o o oo ：o i ”1 o o o o ：、= = o o&0 x 0 0 0 0 0 0 0 l ，z l0 0 0 0 ：j c 0 x 0 0 0 0 0 0 0lj x 0 0 0 e o u l 0 0 0 0 0 0 0 0 】0 x 0 0 0 0 0 0 0 50 x 0 0 0 0 0 0 0 2 0 x 0 0 0 0 0 0 0 c0 x 0 0 0 0 0 0 0 lo x 0 0 0 0 0 0 0 l 0 x 0 0 0 0 0 0 0 l0 0 0 0 0 0 0 0 l0 x 0 0 0 0 0 0 0 2 d x 0 0 0 0 0 0 0 j 。0 x 0 0 0 0 0 0 020 x 0 0 0 0 0 0 l l 0 x 0 0 0 ) j ：n ， o 0 x 0 0 0 0 0 0 0l 0 x 0 0 0 0 0 0 0i 6 0 0 0 0 0 e u ) x 0 0 0 0 “c rao x 0 0 0 0 0 0 0 l 0 x o u c 0 j u 0l# 0 0 04 j c 0 ， 0 x 0 0 0 0 0 0 qbo x o o o o o o o l 魄0 0 0 0 鹏o l o x0 0 0 0 0 0 0 l d x 0 0 0 0 0 0 0l 0 x 0 0 0 0 0 0 0 2 0 x 0 0 0 0 0 0 020 x 0 0 0 0 0 0 1 2 0 x 0 0 0 0 0 0 0l0 x 0 0 0 0 0 0 0 2 0 x 0 0 0 0 0 0 02 - o x o o o o o o o d 本人郑重声明： 原创性声明 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成 果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表 或撰写过的作品成果。对本文的研究作出重要贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 窍铅苔每 日期：抛聆多月2 日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 学作：零铅强 翩躲 日期：加明年f 月g 日 ，协 日期：力璐年岁月g 日 第1 章绪论 1 1研究背景和意义 随着互联网( i m e m e t ) 业务的快速发展，各种互联网上的新业务与新应用不断涌 现，如电子商务、电子政务、网络电视等，涉及到经济、政治、文化、娱乐等各行业 和部门。互联网己经成为社会基础设施的重要组成部分，人们对互联网的依赖程度越 来越大。同时，互联网作为一个社会开放系统，所面对的安全威胁也日趋复杂和严重。 目前，分布式拒绝服务【1 】( d i s t r i l u t e dd e l l i a lo f s e n r i c e ，d d o s ) 攻击、蠕虫、黑客入 侵、垃圾邮件等已经成为网络安全的主要威胁，引起了世界各国的高度重视。 d d o s 攻击是近几年来影响很大的一种网络攻击方式，具有破坏性大、隐蔽性强、 容易实现和难以防御等特点。它的基本攻击策略是通过很多僵尸主机( 被攻击者入侵 控制的计算机) 向受害者主机发送大量看似合法的数据包，从而造成网络堵塞或服务 器资源耗尽而使服务器拒绝服务，导致合法用户无法正常访问服务器的资源【l j 。 d d o s 攻击最早出现是在1 9 9 9 年8 月，当时美国明尼苏达州的一台计算机遭受了 来自2 0 0 多个远程系统的拒绝服务攻击。d d o s 攻击开始受到广泛关注是在2 0 0 1 年 2 月，当时m o o 、蚍n 和c n n 等大型网站先后遭受到大规模的d d o s 攻击，致 使这些网站的服务长时间中断，其经济损失高达几百万美元。2 0 0 6 年4 月，国内许多 门户网站、g 0 0 9 l e 中文搜索引擎以及部分专题网站遭到大规模的d d o s 攻击，发生了 大面积的网络瘫痪，造成的社会负面影响非常大。在国内外还有许多d d o s 攻击造成 巨大损失的例子【2 】。d d o s 攻击成为了当前最难以防范的网络攻击手段之一。 目前研究的普遍看法是，d d o s 攻击主要是利用了互联网基本架构本身的缺陷， 至今仍没有十分有效的d d o s 攻击防御方法。d d o s 攻击的防御策略一直是近几年来 的研究热点。 d d o s 攻击的其中一种，泛洪攻击【1 】( f l o o d a t t a c k ) ，是对大型活动网站直接有效 的攻击方法。大型活动网站是指那些用于报道大型活动的网站【3 】，例如2 0 0 8 年北京 奥运会的网站，一些重大商务活动、大型文艺演出的专题网站。不同于一般网站的安 全问题，大型活动网站的峰值业务量非常巨大，具有突发性的特点，很容易与具有类 似特点的泛洪攻击流相混淆，因此峰值时段是大型活动网站最容易遭到泛洪攻击的时 中山大学硕士学位论文 3 僵尸主机：僵尸主机也是被攻击者入侵并控制的一批主机，它们接受和执行 主控端发来的指令。僵尸主机是攻击的执行者，直接向受害者主机发起攻击。 三者在d d o s 攻击中的关系如图2 1 所示。 图2 1d d o s 攻击模型 一般地，一次d d o s 攻击有以下几步： 1 扫描主机。借助一系列安全漏洞扫描工具，在i m e m e t 上寻找一些安全性比 较低的计算机，以便对其入侵。 2 入侵主机。对扫描获得的可入侵主机，攻击者使用各种方法获得其控制权， 在可入侵主机上安装后门程序和攻击程序，其中一部分主机充当攻击的主控端，一部 分主机充当攻击的僵尸主机。攻击者入侵的主机越多，攻击队伍就越壮大。 3 发起攻击。在攻击者的控制下对受害者主机发起攻击。大量的攻击数据包会 大量消耗受害者主机的系统资源，同时也会堵塞受害者主机所在网络的网络设备，从 而使受害者主机不能提供正常的网络服务。 2 1 3d d o s 攻击方式 d d o s 攻击的攻击方式可以分成两类【1 】：泛洪攻击( f l o o da t t a c k ) 和畸形包攻击 ( m a 蜘m l e dp a c k e ta n a c k ) 。泛洪攻击是发送大量无用的数据包，堵塞网络、占用带 宽、消耗服务器的系统资源；畸形包攻击是利用系统软件漏洞，发送畸形数据包，使 得服务器系统崩溃。其中，泛洪攻击的破坏性更加大，是目前d d o s 攻击的主要方式。 6 第2 章d d o s 攻击与网络处理器技术 1 泛洪攻击 s y nf l o o d 【1 4 】：该攻击利用t c p i p 协议的固有漏洞，向受害者主机发送s y n 包， 但不回应受害者主机的s y na c k 包。受害者主机由于没有收到源主机a c k 包而一 直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 s 珊f 【1 5 】：该攻击利用网络的广播功能和i c m p 的应答请求功能，产生的大量数 据包攻击受害者主机。该攻击把受害者主机的地址作为源地址，向一个子网的广播地 址发送一个带i c 回应请求的数据包，子网上所有主机向受害者主机发送的回复数 据包汇聚成很大的流量，使该主机受到攻击。 p 啦f 1 0 0 d ：该攻击在短时间内向受害者主机发送大量p i n g 包，造成网络堵塞或 系统资源耗尽。 u d pf l o o d ：当提供基于u d p 服务的服务器收到一个u d p 数据包时，如果这个 u d p 包不对应服务端口，服务器必须使用一定的系统资源向客户端返回一个 d e s t i n a t i o np o r tu n r e a c h a b l e 的i c m p 包。利用这个特性，该攻击向受害者主机的u d p 端口发送大量的随机端口u d p 数据包，致使受害者主机处理不过来而崩溃。 2 畸形包攻击 l a n d - b a s e d 【1 6 j ：攻击者把源地址和目的地址都为受害者主机地址的数据包发送给 受害者主机。受害者主机收到这种包就向本机回复一个a c k 包并建立一个连接过程， 这个连接过程一直保留到连接超时，大量这些无用连接过程会大量消耗受害者主机的 资源，影响对正常用户的服务。 p i l 毽o f d e a t h 【1 6 】：根据t c p i p 协议，一个数据包的长度最大为6 5 5 3 6 字节。该攻 击向受害者主机发送长度大于6 5 5 3 6 字节的数据包，造成受害者主机系统崩溃。 t e 甜d r o p ：攻击者设计出有重叠偏移的数据包发送到受害者主机，例如：第一个 包的偏移量为o ，长度为n ，第二个包的偏移量小于n 。为了合并这些数据分段，t c p i p 协议要分配很多的系统资源，从而造成资源缺乏甚至系统崩溃。 2 1 4d d o s 攻击常用工具 1 t r i n o o 【1 7 】 t r i n o o 只能进行u d pf l o o d 攻击，攻击方法是向受害者主机的随机端口发送出全 o 的4 字节u d p 包。攻击者到主控端、主控端到僵尸主机之间的通信都有口令保护。 7 中山大学硕士学位论文 2 t f n 【1 8 】 t f n 由主控端程序和代理端程序两部分组成，攻击方法为u d pf 1 0 0 d 、s y nf l o o d 、 p 地f 1 0 0 d 和s m u r f 攻击，具有伪造数据包的能力。t f n 无口令保护。 3 t i n 2 k 【1 卅 t f n 2 k 是由t f n 发展而来的，t f n 2 k 具有更多的功能和更大的灵活性。t 斟2 k 加密了主控端与代理端之间的通信，可以配置代理端进程端口。 4 s t a c h e 眦f 2 0 】 s t a c h e k 蛔l h t 是从t f n 派生出来的，s t a c h e l d r a h t 具有与t f n 一样的攻击方法，它 也能加密主控端与代理端之间的通信，可以伪造命令源。s t a c h e l d r 出中有一个内嵌的 代理端升级模块。 2 2d d o s 攻击检测防御技术 对应d d o s 攻击的整个过程，有三种防御d d o s 攻击的方法：攻击预防、攻击源 的回溯和识别、攻击检测和过滤【2 。 2 2 1攻击预防 攻击预防方法主要用于攻击发生之前。从被动方面来说，主机应该被安全地保护， 以防止被入侵控制成为主控端或僵尸主机，主机和服务器的管理员需要做到以下的防 控措施： 1 经常给系统打补丁，修补系统的漏洞； 2 安装防火墙和防毒软件等安全防护工具； 3 监测本机和网络中的通信流量是否有异常情况； 从主动方面来说，可以使用网络分析软件等工具截获将要发动d d o s 攻击的信息， 以便在攻击到来之前作出必要的防备。 但总有一些安全性能较低的主机容易被入侵成为主控端或僵尸主机：而且在 d d o s 攻击发动之前，要截获和分析相关的信息需要深厚的计算机网络知识。因此， 单独使用攻击预防方法明显是不足够的。 8 第2 章d d o s 攻击与网络处理器技术 2 2 2攻击源的回溯和识别 攻击源的回溯和识别方法主要用于攻击过程中和攻击之后，这里的具体方法主要 指i p 回溯【z 2 j ( i pt r a c e b a c k ) 。i p 回溯存在一个矛盾：需要识别数据包的真实源信息， 但这些数据包是通过不依赖于源信息的互联网传递过来的【2 l 】。 一般来说，i p 回溯有两个方法：第一个，路由器记录由它们转发的包的信息【2 3 1 。 第二个，由路由器向它们所转发的包的目的地址发送附加的关于包的信息，方法可以 是通过包本身【2 4 域i c m p 信息。 i p 回溯存在一些不足：第一，i p 回溯不能中止正在进行的d d o s 攻击；第二，目 前的i p 回溯方法不一定能追踪到所有包的源头，例如某些防火墙和网络地址转换器 转发过来的包；第三，i p 回溯对于反射攻击【2 5 】是无效的，因为这时攻击包都是来自合 法的源地址；第四，追踪处于网络上游的攻击者需要和许多i s p 合作，现实中并不容 易实现。因此，源追踪技术一般不容易取得理想的防御效果，只能作为一种辅助手段。 2 2 3攻击检测和过滤 攻击检测和过滤方法主要用于攻击过程中。检测部分负责识别d d o s 攻击或者攻 击包。过滤部分负责对这些包分类，然后限速或者丢弃。 1 检测部分 d d o s 攻击检测方法可以分为以下两类：基于规则的入侵检测方法一滥用检测 ( m i s u s ed e t e c t i o n ) 、基于行为的入侵检测策略一异常检测( a n o m a l yd e t e c t i o n ) 。 滥用检测2 6 1 。将观察对象与预先建立的入侵检测规则进行匹配，判断是否出现该 种非法行为。对于入侵检测规则中的攻击，这种检测方法能够比较准确地检测到，但 缺乏灵活性，不能检测与已有入侵检测规则不同的攻击。 异常检测f 2 7 1 。先建立统计概率模型，把正常行为定义为一个异常检测模型，确定 正常程度的门限，然后使用异常检测模型来检测观察对象的正常程度，在门限内判为 正常，在门限外判为异常。这种检测方法可以检测未知攻击，但需要分析大量数据以 确定正常程度的门限。 2 过滤部分 过滤部分关注过滤攻击包后所能保留的正常服务的程度。最简单的过滤方法就是 9 中山大学硕士学位论文 丢弃可疑数据包，也可以对可疑的数据包进行限速，当异常流量持续超出限制值一段 时间后，才开始对超出限制值部分的可疑数据流量予以丢弃【2 1 1 。 3 检测部分和过滤部分的部署 攻击源网络 厂 f大量的、分散的僵尸主机 jj?i。j7 ， x 百倜r 3 币 受害者主机 包 检 测 有 效 性 增 加 包 过 滤 有 效 性 增 加 图2 2 检测和过滤位置示意图 如图2 2 所示，在受害者主机和僵尸主机之间的网络上，存在两个关键地方，分 别称为攻击源网络和受害者网络。从图中可以看到，攻击包从分散广阔的区域里发出， 像漏斗的顶部；受害者主机像漏斗窄的下端，接收所有的攻击包。 由于所有攻击包都到达受害者网络，因此在受害者网络检测d d o s 攻击是相对容 易的：在分布广阔的源网络，分散的攻击包隐藏正常数据流中，要检测攻击包是比较 困难的。与攻击检测的情况相反，离僵尸主机越近，攻击包过滤越有效；而离受害者 主机越近时过滤攻击包，包过滤的有效性越低【2 1 j 【2 8 1 。 2 3大型活动网站的安全策略 为了防御d d o s 攻击，保证大型活动网站的安全，常用的安全策略有超大带宽的 网络接入、超大规模的服务器阵列等。这些方法以巨大的系统冗余来换取网站工作的 稳定性，以资源比拼的方法来保证网站对正常用户的服务。 1 超大带宽网络接入【4 】【5 1 使用高速的网络设备、提高网络入口带宽等，以提高大型活动网站的入口链路数 据容量，使d d o s 攻击流量无法使链路拥塞。 2 服务器阵列【4 】【5 】 服务器阵列具有多台应用服务器，可以同时处理很多用户请求。服务器阵列需要 1 0 中山大学硕士学位论文 在i n t e r n 或的核心层中，网络处理器可以用于实现核心交换机；在分布层中，可 以用于实现i s p 接入设备；在局域网中，可以用于实现用户管理和接入控制。 i 2 4 0 0 是i n t e l 公司的第2 代网络处理器产品，具有强大的网络处理性能、高度 的可编程性、灵活的网络处理功能【1 2 】。因此可被用作高性能路由器、三层交换机、以 及防火墙等网络设备的硬件平台。 由图2 3 可见，i x p 2 4 0 0 由x s c a l ec o r e 、m i c r o e n g i n e 、m s f 、s r a mc o n t r o l l e r 、 d 壬乙mc o m r o l l e r 、p c ii n t e r 蠡c e 、c t 粥s i s 等部分组成【l l 】【1 2 】，下面分别介绍。 2 5 1x s c a i ec o r e 图2 3i 2 4 0 0 硬件结构图【3 0 1 x s c a l ec o r e 负责处理网络处理器中的控制面的处理任务，又称为数据包的慢通 道。主要执行系统芯片初始化配置、系统运行控制与管理、运行路由协议栈、更新路 由表等操作，还负责处理异常数据包【1 1 1 。i x p 2 4 0 0 中x s c a l ec o r e 的时钟频率为 6 0 0 m h z 。 2 5 2微引擎 微引擎( m i c r o 曲g k ，) 负责网络处理器中的数据面的处理任务，又称为数 据包的快通道。i 2 4 0 0 中有8 个微引擎，分为两组( c l u s t e r ) ，0 3 属于c l u s t e r 0 ， m e 4 m 巳7 属于c h j s t e r l 。i ，2 4 0 0 中的微引擎时钟频率为6 0 0 m 】。 微引擎主要由以下部分构成【11 】： 1 2 第2 章d d o s 攻击与网络处理器技术 1 控制存储区 控制存储区( c o i i t r o ls t o r c ) 通常用于存储微引擎执行的程序，可以保存4 0 0 0 条 指令，每条指令4 0 位。微引擎可以单周期对控制存储区中的程序指令进行访1 日【1 1 】。 2 数据通道寄存器 每个微引擎包含4 类3 2 位的数据通道寄存器( d a ：t ap a t hr e g i s t e r ) ，分别如下： ( 1 ) 2 5 6 个通用寄存器 通用寄存器( g e n e m lp u r p o s er e g i s t e r ) 一般作为指令的源地址寄存器和目的地址 。寄存器，是微引擎进行数据处理的时使用最为普遍的寄存器资源。通用寄存器分为a b a l l l 【和bb a n k ，各有1 2 8 个。 ( 2 ) 5 1 2 个传输寄存器 传输寄存器( t 锄s 衙r e g i s t e r ，陋r ) 是微引擎与其他功能单元( 如d r m 、 s 洲等) 之间数据交换的窗口【l l 】。传输寄存器既可以分为s 删传输寄存器和 d 黜蝴传输寄存器两类，又可为x f e ri i lr e g 和x f e ro u tr e g 两类。读操作时，数据 从其它功能单元写入x f e r 访r e g ；写操作时，数据从x f e ro u tr e g 写入其它功能单 元。这使得微引擎对内存单元的读、写操作可以同时进行。 ( 3 ) 1 2 8 个邻居寄存器 邻居寄存器( n e x tn e 适h b o rr e g i s t e r ，n n r ) 是相邻的两个微引擎之间传输数据 的快速通道。既可由上一邻居微引擎向邻居寄存器写入数据，也可由本微引擎写入数 据，也可以以r i i l g 模式来使用邻居寄存器。 ( 4 ) 6 4 0 ) ( 3 2 位本地存储器 本地存储器( l o c a lm e i n o r y ，l m ) 容量为6 4 0 3 2 位，本地存储器可以作为指令 的源存储单元和目的存储单元。为了便于本地存储器的寻址，每个线程各有2 个本地 存储器的地址指针。 3 执行数据通道 执行数据通道( e x e c u t i i l gd a t ap a t h ) 是微引擎的指令执行单元。由于控制存储区 和数据通道寄存器等均在微引擎内部，因此平均而言，执行数据通道执行一条指令只 需要一个时钟周期【l l 】。 4 ；线程 每个微引擎中的8 个线程( c o m e x t ) ，每个线程都有自己独立的寄存器、程序计 数器和私有的本地硬件资源，所以当发生线程切换时，无需进行现场保护和现场恢复 中山大学硕士学位论文 等操作，从而可以实现线程间接近零时延的快速切换。这种线程间的快速切换可以使 线程在等待i o 操作完成时，将系统资源迅速地转让给其它线程来使用，将存储器访 问时延有效地隐藏在指令执行周期后面，以充分利用微引擎的m i p s 处理能力【l ，从 而在宏观上得到并行处理的效果。 线程有4 个状态：未激活状态( i n a c t i v e ) 、执行状态( e x e c u t 吨) 、就绪状态( r e a d y ) 和休眠状态( s l e 印) ，状态之间的转换如图2 4 所示。 交出微引擎控制权 图2 4 线程状态转移图 5 事件信号 i 2 4 0 0 中采用事件信号( e v e n ts 远m 1 ) 来同步微引擎线程的操作与外部事件的 完成，事件信号是一种软件机制。每个线程最多可使用1 5 个事件信号。 2 5 3媒质和交换结构接口 媒质和交换结构接口( m e d i a 锄ds w i t c hf a b r i ci n t e 出c e ，m s f ) 是i x p 2 4 0 0 进行 数据收发的窗口【1 1 1 。m s f 的每个接口可单独配置为u t o p i a 、s p i 或c s i x 协议， i ，2 4 0 0 通过u ，r o p i a 、s p i 协议与m a c 等网络接口卡连接，通过c s i x 协议与交换 结构( s w “c hf a b r i c ，s f ) 连接。 2 5 4s r a m 控制器 s 黜w 控制器( s r a mc o n t r 0 u e r ) 用于接口s 黜m 存储设备( 简称为s r j m ) ， 一般存储表( 1 a b l e ) 、缓冲区描述符( b u 虢rd e s c r i p t o r ) 、缓冲区链表( b u 能rl i s t ) 等数据结构【11 1 。 1 4 中山大学硕士学位论文 2 i x as d k 软件框架3 5 ( i x as d ks o f i 硼啪f m n l e w o r k3 5 ) ：包含软件构件块 ( s o r w a r cb u i l d i l l gb l o c k ) 及其框架、一些基于这些构件块的例子程序。 微引擎开发环境支持两种编程语言，分别为微代码( m i c r o c o d e ) 和m i c r 0 c 1 3 。 微代码是专门为i x p 2 4 0 0 设计的，执行效率高，但是使用其编程具有一定的难度。 m i c r 0 c 与c 语言有很大的相似性，是一种高级编程语言，用户比较容易掌握，并且 支持特定的i ，2 4 0 0 硬件函数，具有较好的代码可移植性。 2 7 2硬件开发环境一e n p 2 6 1 1 开发板 e n p 2 6 儿是一款由i 己a d i s v s 公司出品的基于i n t e l 网络处理器i x p 2 4 0 0 的开发板， 提供板卡支持环境( f k h 、s 凡蝴、d 蝴、网络接口和电源支持等) 、开发软件环 境( 启动、调试和f t p 支持等) 等功能。 e n p 2 6 1 1 开发板主要由以下硬件部分组成【3 4 】： 1 板载1 个频率为6 0 0 m h z 的i x p 2 4 0 0 网络处理器 珏矍薹薹囊囊；丽羹m l f 主雾囊疆用于存i 尉副加型酬枣 雨薹矍鋈圣鬻野型鳍醢霾 卜f 刚霆姜型n 卟需烂羹；薹，薹j 羹型雾i 羹拳 摹雾|鞠摹习捌奏萎i燮零l毒翼；囊蕤嚣；蓁甬誉篱孺陌凄蓁毳窿；囔基雾湖塾雩熏篡型誊。 璧薹i 用妻在播释蓁臻媸婴撵t e l8 2 5 5 9 p c i 以太网控制器，支持1 个1 0 1 0 0 m 以 太网端 口，用于传输代码和调试；4 1 个串口，用于调试； 5 1 个6 4 位p c i 接口，用于与宿主机通信。在软件上，e n p 2 6 1 1 支持m o n ta v i s t a linux和wmdriverv x w r o r k s 嵌入式操作系统，兼容l x a s d k ，也提供开发 板的e n ps d k 。2 8本章小结本章主要介绍了d d o s 攻击的概念、攻击方式、常用工具，以及应对d d o s 攻击的相关检测防御策略 ；对本系统使用的intel网络处理器i，2400作了详细的说明， 包括i，2400硬 第3 章基于i x p 2 4 0 0 的网络入侵防御系统 3 1 网络入侵防御系统整体架构 系统流程图如图3 1 所示。 输出数据包 图3 1 系统流程图 本文的网络入侵防御系统设置在被保护大型活动网站w r e b 服务器的前端，利用 i n t e l 网络处理器i ，2 4 0 0 硬件平台对从客户端到服务器端的h 1 印数据流进行分类， -；i一，11；-j 中山大学硕士学位论文 用隐半马尔可夫模型来描述正常w r e b 用户的访问行为，并用与大多数正常用户访问 行为特征的偏离作为数据流的异常程度的度量，并根据度量结果提供不同优先级的服 务，达到区分和限制d d o s 攻击流量的目的。 图3 1 中用虚线分别圈出的是本系统的三大模块，分别是用户分类模块、正常程 度计算模块和排队服务模块。这三大模块是本系统的核心部分，担负着系统的核心功 能，本文的研究主要涉及这三大模块。 因为正常用户与异常用户对w r e b 网站的访问行为是有区别的，例如正常用户点击 网页的频率一般不会太高，而异常用户则可能会连续不断地发送请求，从而，正常用 户与异常用户的数据流会表现出不同。所以根据不同数据流表现出来的特点，系统对 流经的数据流作如下处理： 数据包经过接收模块后到达用户分类模块。用户分类模块利用协议分析p 5 】和 c o o k i e 匹配【3 6 】对数据包进行分类，可以区分代理服务器或防火墙背后的用户。用户分 类模块对含系统特殊c o o k i e 数据包分配i d f 3 7 1 号，每一个i d 号标识一个用户；并按 数据包到达速率统计观测向量，观测向量值反映了不同数据流的特征，然后把观测向 量传递给正常程度计算模块。正常程度计算模块采用隐半马尔可夫模型建立数据流检 测模型，并使用模型检测算法计算观测向量序列关于给定参数的模型的平均对数或然 概率，然后换算得出该i d 对应的正常程度。经过j 下常用户数据流训练后的检测模型 能有效地区分正常用户数据流和异常数据流，使正常用户获得高的正常程度，异常数 据流则得到低的正常程度。排队服务模块根据正常程度值给出相应的服务优先级，使 正常程度高的用户得到较大的输出带宽，正常度低的则得到较小的输出带宽。最后， 经过调度后的数据包通过发送模块发送到网络上。 这样，异常数据流受到了抑制，正常用户的请求得到了保证，达到防御d d o s 攻 击的目的。 3 2 隐半马尔可夫模型 本系统使用隐半马尔可夫模型建立数据流检测模型，下文是系统实现中使用到的 隐半马尔可夫模型理论。 第3 章基于p 2 枷的网络入侵防御系统 3 2 1隐半马尔可夫模型概念嗍阴m l 设任一w 的流具有m 个离散状态，用s 表示这些状态的集合，用具有m 个状态 的马尔可夫链来描述m 个状态之间的状态转移关系。矩阵a 表示状态转移概率，它 的元素口删( 聊，以s ) 表示从状态m 到状态n 的转移概率，并且令状态之间的转移是由 低到高或由高到低逐级变化的过程，即当l 聊一刀l l 时，= o ，如图3 - 2 所示。 “2 l 臼3 2口肛胁l 图3 2 状态转移关系1 3 8 】 隐半马尔可夫模型由参数的集合q = 兀，k p ) 表示，其中死= 乃，乃， 为初 始状态概率分布向量，九= a ，五，九) ，i i = m ，鸬，心 。 令以( d ) 表示前后两个状态之间的时间差为d 的概率，即状态掰s 的持续时间的 离散概率分布，d 1 ，满足d ( d ) = 1 ，其符合p a r e t o 分布，即 ( d ) = 以( d + 1 ) 一厶+ 1 ，d = 1 ，2 ，o o 。酾重善；羲蓍囊 l 蓁= j 霎 醋辨i 蓁l 街删晰塞蓑面篚耥衙。雾弛雾霎薹蠢季羹季雾熏亳墨骥墨i 耋蒌；爱鲤 霪! 澎；蓍l “| ；蚴影彩羹妻爹囊鬣鬻；霎 歪l 羹誓i 霪* 羹! 誊薹薯i 一震萼。薹一鬟，笋i 囊霎茎i 圣零冀 童羹 x 中山大学硕士学位论文 t i m eu n i t b a t c ha 1 1 r i v a l s r 1 = 3吃= 2巧= 4 i 卜g l = 1 - - 一9 2 = 3 扣9 3 t i m eb e t 、e e n b a t c ha r r i v a l s 图3 3 观测向量定义示意图【3 8 】 3 2 2隐半马尔可夫模型检测算法 1 理论计算方法【3 】【9 1 由下面3 步可以计算各个数据流的观测向量序列相对于检测模型的平均对数或然 概率： ( 1 ) 采用前向算法 ( 脚) = ，聊s ( 3 4 ) 咖，= l 互卅。翻c 帆卜球n ，鲻胁s ，研= 坍一l ，肿，卅+ i 翻 m ( 2 ) p r d ：i q 】：口，( 所) ， 册= l ( 3 ) 计算平均对数或然概率 厶= l np r d “q 】， ( 3 5 ) ( 3 - 6 ) ( 3 7 ) 2 网络处理器上实现方法 具体在本系统的网络处理器上实现上述算法时，模型参数为： 喁，l = 口l ，2 = q 0 ，9 = 口l ”o = 1 2 ，。= 。腑一l = ，。+ l = 1 3 ( 1 m 1 0 ) = 1 1 0 ( 1 埘1 0 ) ，厶= 1 2 ( 1 册l o ) ，心= 1 0 坍1 0 ( 1 朋1 0 ) 由于、。、( ) 、( 吼) 、q ( 聊) 都是o 到1 之间的数，而网络处理器不支 持对数运算，且只能进行整数运算。为提高精度，这些量在网络处理器上的值取实际 值的负自然对数再左移1 6 位，即一1 i l ( ) 6 5 5 3 6 。并且，、口埘、k ( ) 、以( g f ) 的 值由预先计算得到，编程时作为模型的参数写入程序中。 具体实现方法如下： 第4 章系统改进设计方案 本文在项目组往届同学已完成工作的基础上，进行了软件仿真和硬件实验，发现 系统仍存在一定的问题，未能符合系统设计思想。 主要表现为：系统未能正确形成观测向量，系统形成值与实际值存在较大的差距， 导致系统未能实现正常程度计算功能，不能体现本系统的研究意义。 解决问题思路：重新规划用户分类模块与正常程度计算模块之间的功能划分，重 新编写两个模块的部分源程序，重新设计两个模块之间的接口，重新规划系统资源。 4 1原系统问题分析 4 1 1问题提出 软件仿真和硬件实验数据显示，用户分类模块与正常程度计算模块接口两边的变 量值不一致。 原系统中，用户分类模块与正常程度计算模块之间采用微引擎间信号机制进行通 信，每当数据包经过用户分类模块处理得到i d 时，立即发送相应信号给j 下常程度计 算模块，正常程度计算模块则根据信号的到达频率计算此i d 对应的数据包的到达速 率，进而形成观测向量。 具体实现时，每当数据包得到i d 时，用户分类模块使用s i g m l n e x t _ l n c j l l i s _ c t ) 函数发送信号；正常程度计算模块不断使用s i g l l a l j e s t ( ) 函数检测信号的到来，一旦检 测到信号到来，则执行初始化函数或观测函数，并根据初始化函数或观测函数的执行 次数来形成观测向量。 但通过仿真数据分析和对信号机制的进一步认识后，发现上述机制在并不可行， 软件仿真截图如图4 1 、4 2 所示。图4 1 、4 2 中程序语句左侧数字表示该条语句大概 执行次数。图4 - 1 中，( 1 ) 框中的2 1 0 表示s i g 船1 e 】( ti 鹏t h i 删) 函数的大概执行次 数；图4 2 中，( 1 ) 框中的2 表示初始化函数i i l i t i a l 娩e ( ) 的大概执行次数，( 2 ) 框中的1 2 2 表示观测函数o b s e r v e ( ) 的大概执行次数。如果系统设计合理的话， s 远n a l _ n c x tm el h i s _ c t ) ) 函数的执行次数应该等于初始化函数与观测函数执行次数之 2 s 第4 章系统改进设计方案 4 2正常程度计算模块改进方案 正常程度计算模块实时计算各个i d 的观测序列相对于检测模型的平均对数或然 概率，再换算得出各数据流的正常程度。 针对i ，2 4 0 0 的s c r a t c h 陆g 机制，设计了该模块读取观测向量并进行预处理的 功能，并使用网络处理器的特性实现系统正常程度计算功能。正常程度计算模块流程 图如图4 3 所示。 图4 3 正常程度计算模块流程图 正常程度计算模块首先对模型参数进行初始化。然后从s c r a t c hr 啦中读取包含 i d 值、队列长度值和观测向量值的数据结构。首先根据i d 值判断读出的数据结构是 否包含了有效数据，再判断刚读出的数据与上一次读出的数据是否相同，相同则重新 读取，不相同则检测该数据结构中的观测向量队列长度是否为1 ，如果为1 ，则重新 对该i d 对应的前向变量赋初值，( 删) = ，肌s 。 中山大学硕士学位论文 读取到有效的数据结构后，使用第3 章中的模型检测算法在网络处理器上的实现 方法，即公式( 3 1 8 ) 、( 3 1 9 ) ，计算该i d 对应的前向变量和平均对数或然概率，换 算得到该i d 对应的正常程度，最后把该i d 的正常程度写进与排队服务模块接口的用 户队列表中。完成这些操作后，进入下一次处理循环，重新从s c r a t c h 础n g 中读取数 据结构。 其中计算得到平均对数或然概率后，通过下式计算数据流的正常程度： d ，聊= ( 4 1 ) 其中，l n p r 【讲l q 】r 为计算得到的平均对数或然概率，为所有用户平均对数或 然概率的均值，盯为所有用户平均对数或然概率的标准方差。在正常程度计算模块程 序中，设定= 1 9 6 6 0 8 ，仃：1 6 3 8 4 0 【3 引，其中，与仃的值为原值取负自然对数再左 移1 6 位，即一l i l ( ) 6 5 5 3 6 。 当o 朋 a - c a - c - a c 。表达的意思是，每执行一次i d 映射函数，必然执行一 次初始化函数或者观测函数。对应本仿真数据流，初始化函数只执行一次，而且先于 观测函数的执行。仿真结果如下： 到达断点a ，到达时刻已执行指令数为1 1 0 5 0 7 。 b r e 毒山田o i n th i ta t l l i n e5 9 l i nt l - r e a d i l i r e 毫d 8 锄i c r ；e n g i n ；o ：l ，t 赢嚣；o ，p c = i l l 8 ) 点曩 到达断点b ，到达时刻已执行指令数为1 1 0 5 2 1 。 b r e a k d o i n th ita t ll i n e1 4 5l i nt 】盯e a d t h 鼻摹d 锄i c r 日啦西n e0 ：l ，t 丽磊聂- 6 ，p c = l 碍) 。 断点b 到达断点a ，到达时刻已执行指令数为1 13 4 0 4 。 b r e a o i n tmt 囊t l1 i n e5 9 i nt h r e a d 了l l r e 粤耐 册ic r o 雠g i n e0 ：l ，c 省x f l 尉o ，p c = 1 1 1 8 ) 点盘 4 5 中山大学硕士学位论文 到达断点c ，到达时刻已执行指令数为1 1 3 4 1 8 。 其中，已执行指令数随着时间的递增而递增。可见仿真结果符合设计思想，形成 观测向量子模块已加入到用户分类模块的数据包处理流程里面。 2 检测形成观测向量子模块是否能正确形成观测向量 由于仿真数据流中的数据包大小为2 7 2 b ，类型为以太网数据包。因此在数据流 中，要加上7 b 前导码和l b 帧首定届符。数据流中实际包大小为2 8 0 b 。根据设定的 接收速率5 0 0 m b p s ，可得数据流中数据包速率为 5 0 0 m b p s 8 2 8 0 b = 2 2 3 2 1 4p a c k e 吣 数据包到达时间间隔为 l 2 2 3 2 1 4 p a c k e 讹= 4 4 8u s 网络处理器i x p 2 4 0 0 微引擎的时钟频率是6 0 0 m h z ，时钟周期为1 6 7 n s 。由于大 多数指令周期为一个时钟周期，可以估算地认为，微引擎每秒可执行6 0 0 m 条指令， 每指令周期为1 6 7 1 1 s 。 则数据包到达间隔时间内可执行指令数为 4 4 8 u s 1 6 7 i l s = 2 6 8 3 即可以估算地认为，每执行2 6 8 3 条指令，就会有一个数据包到达。 由于仿真环境是在普通p c 机上运行，仿真中，要程序运行6 0 0 m 条指令，即模拟 实际环境的l s ，需要5 6 个小时。所以如果要在仿真中获得几个观测向量，费时太多， 而且看到的程序处理细节不够多，现实性不大。 根据以上分析，我们采用两个方案检测得到的观测向量是否正确。 ( 1 ) 第1 个方案 检测是否每执行大概2 6 8 3 条指令，批到达数增加1 。因为l s 需要很长的时间的 仿真时间，所以这个方案只能检测第一个观测向量内的批到达数，不能检测批到达时 间间隔。在批到达数上设置断点，批到达数发生改变时，程序停止运行。 第5 章软件仿真 由设计思想推导，今次与上次到达断点时指令数之差应该接近一个常量，平均值 接近计算值2 6 8 3 。每次到达断点时观测向量的批到达数应该递增l 。 当前接收数据流速率为5 1 8 m b p s 时，仿真数据如表5 - l 所示。 表5 1 方案1 仿真数据 当前己运行指令数每次到达断点时观测向量今次与上次到达断点时已 ( 指令)的批到达数( 个)运行指令数之差( 指令) 1 3 8 3 5 6 74 2 2| 1 3 8 6 4 9 64 2 32 9 2 9 1 3 8 9 5 1 44 2 43 0 1 8 1 3 9 2 7 6 64 2 53 2 5 2 1 3 9 5 8 4 l4 2 63 0 7 5 1 3 9 8 9 1 3 4 2 7 3 0 7 2 1 4 0 2 0 3 l4 2 83 1 1 8 1 4 0 5 0 3 0 4 2 9 2 9 9 9 1 4 0 8 0 2 l4 3 02 9 9 1 1 4 1 0 9 8 94 3 l2 9 6 8 表5 1 中数据表示一共1 0 次到达了断点，每次到达断点时观测向量的批到达数都 递增l ，符合设计思想。 今次与上次到达断点时指令数之差都在3 0 0 0 上下，波动不大，符合仿真数据流 的匀速特点。平均值为3 0 4 6 ，与计算值2 6 8 3 误差