针对拒绝服务攻击的攻防绩效评估方法研究

报告人：王必达导 师：连一峰

硕士论文中期报告

专 业：信息安全实验室：信息安全国家重点实验室

提纲 选题背景及意义 国内外研究现状 研究内容及阶段性成果 下一步工作计划 参与项目及发表论文情况

选题背景及意义 拒绝服务 DoS(Denial of Service) 是用一定

手段来消耗网络带宽或系统资源，致使网络或系统服务瘫痪的一种攻击手段

绩效评估是针对网络安全防护系统的保护能力、安全性等方面因素的综合考量

对拒绝服务攻击的攻防效果进行绩效评估可为部署安全措施提供参考

攻击绩效和防护绩效是密不可分的

选题背景及意义 DoS 攻击手段分类

按自动化程度分类：手动攻击、半自动攻击、自动攻击

按攻击速率分类：恒定速率攻击、可变速率攻击 按攻击目标分类：带宽资源耗尽型攻击、主机资

源耗尽型攻击 DoS 防御手段分类

按采取行动的阶段分类：预防机制、反应机制 按部署位置分类：源端防御、被攻击端防御、中

间网络防御

国内外研究现状 基于 QoS 指标的 DoS 攻击绩效评估方法： Jelena

等 大量实验获得 QoS 指标，加权平均得到最终结果

基于模糊逻辑的评估方法： Maher 等 问卷调查确定权重，加权平均得到最终结果

博弈论在 DoS 绩效评估方面的应用：张少俊等 适于描述 DoS 过程，收益值影响结果的合理性

基于排队论的 DoS 攻防建模与评估： Tianwei Chen 等 针对某一类攻击手段，侧重建模

国内外研究现状 现有方法的不足

现有评估方法往往只针对一类 DoS 攻防手段 带宽占用率、 CPU 占用率等技术指标仅表明被攻击系统

内部受到的影响，没有从用户的使用感受出发来建立评估指标，不够直观

使用多个指标描述绩效不利于多种攻防手段的相互对比，使用权重整合受主观因素影响较大

有些评估方法需要进行大规模、长时间的攻防实验，可操作性不足

基于排队论的 DoS 攻防绩效评估方法包括下面几部分研究内容：

针对不同种类 DoS 攻防手段建立了统一的指标体系和绩效计算方法

基于排队论方法分别建立了评估模型，对 UDP Flood和 SYN Flood攻击的绩效进行不包含主观因素的定量评估，有效分析不同攻击手段和强度的效果

利用网络仿真工具进行了模拟实验，对比验证了排队论模型的合理性，通过实例阐述了此评估方法的应用

绩效评估框架 不同类型的 DoS 攻击手段的目标都是使系统的可

用性降低，防护手段的目标则是维护系统的可用性，保证用户获得快速而稳定的服务

绩效定义 DoS 攻防绩效：指 DoS 攻击或防护手段的

效果，通过攻防过程对服务系统的服务质量造成的影响来衡量。

两方面影响：停留时间延长和拒绝服务概率增加

引入测试用户以整合为统一的绩效值，统计第一次发起连接到完成服务所需时间的数学期望 E作为最终的绩效值

绩效计算方法 绩效值 E：是对攻防绩效的定量表述，

Tt 平均停留总时间； Ti 测试用户的重试间隔时间； Pb 用户的服务请求被拒绝的概率； 绩效值 E从用户的角度描述服务质量， DoS 攻

击目标是使 E增大，而防护手段的目标则是使 E减小

, 0 11

, 1

b it b

b

b

E

PTT P

P

P

攻防过程的排队论建模及求解 为了全面反映攻防绩效，需要针对不同的攻防手

段和强度进行多次反复实验并统计较长时间段内的记录

针对服务系统进行压力测试面临一定的安全风险引入排队论的方法，建立服务过程模型，使用服

务系统和攻防手段的基本参数作为输入，通过公式计算得到服务质量指标

排队论概述 排队论（ Queueing Theory ）是应用概率

理论的分支，可以解答顾客在排队系统中的平均排队时间、队列中顾客数的概率分布等问题。

一般排队系统由输入过程与到达规则、排队规则、服务机构的结构、服务时间与服务规则组成

DoS 攻防过程概念与排队论概念的对应关系

DoS 攻防过程 对应的排队论概念带宽等服务资源 服务台攻击请求和正常请求 不同类型的客户路由策略等服务策略 排队规则与服务规则攻击过程 占据服务台包过滤等防护手段 降低攻击请求到达率负载均衡等防护手段 优化排队系统结构和服务率划分优先级等防护手段 优化排队系统的服务规则

带宽资源耗尽型攻击攻防过程的排队论建模及求解以 UDP Flood攻击为例，攻击者可以直接发送大量

的 UDP封包到服务器造成其出口链路的堵塞 可看作两个M/D/1队列组成的二维马尔可夫链正常访问请求和恶意访问请求为两个独立的泊松过

程，平均间隔分别为 Ir(ms) 和 Ia(ms) ，数据包长均为常数 Lp(Bytes) ，瓶颈带宽 Bw(Mbps)

UDP Flood攻击过程的排队论建模及求解正常请求到达率 攻击请求到达率 服务率 利用率

M/D/1系统有 平均服务时间 平均排队时间 平均停留时间

rr I

1000

aa I

1000

610 / 8w

p

B

L

r a

1sT

2(1 )s

q

TT

q sT=T +T

主机资源耗尽型攻击攻防过程的排队论建模及求解以 SYN Flood攻击为例，攻击者向受害主机的服务端口发送大量伪造源地址的 TCP SYN报文半连接队列被填满，导致该端口无法响应正常的连接请求

SYN Flood攻击排队论模型

• SYN Flood攻击模型被看作两个独立的服务率不同的M/D/m/m队列组成的二维马尔可夫链

SYN Flood攻击排队论模型 Sr= 后两次握手信息往返时间 正常请求的服务器利用率

类似地，设队列中攻击请求数量为 a ，攻击请求到达间隔服从指数分布，平均值为 Ia ，攻击请求的服务时间 Sa=服务器设定的半开连接超时时间， Sa 为常数。攻击请求的服务器利用率

由细节平衡方程可求出M/D/m/m队列中有 n 个用户的概率

aa

a

S

I

rr

r

S

I

0

!( )

!

n

im

i

nP n

i

SYN Flood攻击排队论模型求解由于攻击请求队列和正常请求队列相互独立且都是出生 -死亡队列，此二维马尔可夫链存在乘积形式的解。队列中有 r 个正常用户和 a 个攻击用户的概率

其中 G是归一化常数，由 得：

! !( , )

arar

r aP r aG

0, 0

( , ) 1r a m

r a

P r a

0 0 ! !

arm m rar

r a

Gr a

SYN Flood攻击排队论模型求解则他们共同组成的队列系统中

有 k个客户的概率

拒绝服务概率

0 ,0 ,

0

0

( ) ( , )

( , )

1

! ( )!

r m a m r a k

k

r

k rrkar

r

P k P r a

P r k r

G r k r

0

1( )

! ( )!

m rrmar

r

Pb P mG r k r

实例分析及评估结果 实验设计 利用网络仿真软件NS-2 完成 对 NS-2进行扩展：完善三次握手、管理半开连接队列、实现超时机制

UDP Flood实验将queue-limit 属性设置为足够大的值

用 Python脚本处理实验结果

模型推导结果与实验结果的对比 实验一： UDP Flood攻击

说明 取值

Lp 数据包长度 1000Bytes

Ir 正常请求平均间隔 0.5s

Bw 瓶颈带宽 8Mbps/4Mbps

模型推导结果与实验结果的对比 实验一： UDP Flood攻击

模型推导结果与实验结果的对比 实验二： SYN Flood攻击

说明 取值

m 半开队列长度 15/30

Ir 正常请求平均间隔 0.5s

从客户端到服务器的传输时延 0.05s

服务器处理连接请求所需时间 0.05s

Sr 正常请求平均服务时间 0.15s

Sa 半开连接超时 10s

模型推导结果与实验结果的对比 实验二： SYN Flood攻击

绩效评估及对比实例 实例一：假设某系统服务方式是：在建立 TCP 连接后传输 5mB数据，服务请求串行完成，仅遭受 UDP Flood攻击，瓶颈带宽 8mB，其他参数与实验一相同。

实例二：假设某系统服务方式是：在建立 TCP 连接后传输 5mB数据，此系统只遭受 SYN Flood攻击，忽略网络传输中的排队时间，设连接重试间隔 Ti=5s，其他参数与实验一、二相同。

绩效评估及对比实例

SYN Flood攻击只需较低的攻击速率即可达到与较高速率的 UDP Flood 攻击同样的攻击效果

与现有绩效评估方法的对比分析 评估过程可操作性分析

现有的采用以用户为中心的指标的评估方法需要进行各种强度的压力测试才能够获得平均停留时间等指标，反复实验耗费大量时间和资源，影响了其可操作性

在基于排队论的 DoS 攻防绩效评估方法中，操作过程的主要难度在于绩效计算 UDP Flood模型的求解时间复杂度为 O(1) SYN Flood模型的求解时间复杂度为 O(m3)

与现有绩效评估方法的对比分析 评估结果合理性分析

文献 [7] 包括了对防护手段的评估，将漏判率、平均时延、拒绝服务比例三者加权求和得到绩效值 GS ，权重值由经验值确定，此实例中取三者权重为 (0， 0.5， 0.5)

文献 [2] 将三个参数归一化后计算绩效，此实例中不考虑抖动，拒绝服务概率分布在 0~1 之间，时延分布在，用公式归一化，认为两者归一化后具有同样的权重。

与现有绩效评估方法的对比分析

这两种方法单独评估某类攻击时可以反映出攻击效果随攻击强度增长的趋势，但在对比不同类型攻击的效果时结果不够合理。

左图未作归一化，单位会造成结果的悬殊差异 右图对为何用 归一化没有充分论证，且绩效值缺乏物理意义2 (x)arctg

今后的工作 针对更多攻防手段建立排队论模型 研究与其他评估方法的配合，使基于排队论的绩效

评估方法应用范围更广 在对防护手段的绩效评估方面，加入对于防护效果以外其他因素的考虑，为防护手段的选取和改进提供依据。

参与项目 国家 863 项目

2006AA01Z437 ：分布式计算的安全模型及关键技术研究

2007AA01Z475 ：大规模网络安全风险评估及主动防御系统（ Active NetCT）

开发类项目 信息系统安全态势评估工具

论文进展情况及预计答辩时间学位论文

评估框架与指标体系的确定。 基于排队论的建模及求解。 设计实验并得到初步实验结果。 原型系统开发完成。 工作还有待进一步细化完善，并开始论文的撰写。

论文情况 《一种基于排队论的 DoS 攻防绩效评估方法》投稿于《中科院研究生院学报》，已录用。

预计答辩时间： 2010年 5 月

参考文献 [1] Mirkovic J, Hussain A, Wilson B, et al. A user-centric metric for denial-of-service measurement[C]// Experimental computer science

on Experimental computer science: Berkeley, CA, USA: USENIX Association: 2007, 7-7. [2] Su P, Chen X, Tang H. DoS attack impact assessment based on 3GPP QoS indexes[C]// Proceedings of the 2008 3rd International Co

nference on Innovative Computing Information and Control Volume 00: Washington, DC, USA: IEEE Computer Society, 2008: 103. [3] Aburrous M, Hossain M, Thabatah F, et al. Intelligent quality performance assessment for E-Banking security using fuzzy logic[C]// P

roceedings of the Fifth International Conference on Information Technology: New Generations: Washington, DC, USA: IEEE Computer Society: 2008: 420-425.

[4] Chen TW, Sortais M, Schafer M, et al. Performance analysis of a denial of service protection scheme for optimized and QoS-aware handover[J]. Computer Networks: The International Journal of Computer and Telecommunications Networking, 2005, 49(3):449-464.

[5] Yin Q, Research of SIP DoS attack defense mechanism based on queue theory [J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2008, 20(4) (in Chinese).

殷茜 . 基于排队论的 SIP DoS 攻击防御机制的研究 [J]. 重庆邮电大学学报：自然科学版 , 2008, 20(4). [6] Wang Y, Lin C, Li Q, et al. A queueing analysis for the denial of service (DoS) attacks in computer networks[J]. Computer Networks:

The International Journal of Computer and Telecommunications Networking, 2007, 51(12):3564-3573. [7] Bellaiche M, Gregoire J. Measuring defense systems against flooding attacks[C].// Wireless Communications and Mo

bile Computing Conference: 2008: 600-605. [8] Zhang SJ, Li JH, Chen XZ, et al. Method Research for Defending Against Distributed Denial-of-Service Attacks Based on Dynamic Ga

me Theory[J]. Journal of Shanghai Jiaotong University. 2008, 42(2) (in Chinese). 张少俊 , 李建华 , 陈秀真 , 等 . 基于动态博弈理论的分布式拒绝服务攻击防御方法 [J]. 上海交通大学学报 , 2008, 42(2). [9] Shi P, Lian YF. Game-Theoretical effectiveness evaluation of DDoS defense[C]// The Seventh International Conference on Networki

ng: 2008: 427-433. [10] Willig A. A Short Introduction to Queueing Theory[M]. 1999. [11] Tijms H. New and old results for the M/D/c queue[J]. AEU - International Journal of Electronics and Communications, 2006: 60(2):12

5-130. [12] Bertsekas DP, Gallager. Data Networks[M]. 2nd edition. Prentice Hall, 1992. [13] Fall K, Varadhan K. The ns Manual[M/OL]. 2009-01-06[2009-05-01]. http://www.isi.edu/nsnam/ns/doc/index.html. [14] Fui-Hoon F, Nah. A study on tolerable waiting time: how long are web users willing to wait? [J]. Behaviour & Information Technolog

y, 2004, 23(3):153. [15] Thomas R. UNIX IP stack tuning guide[M/OL]. 2000-12-03[2009-05-01]. http://www.cymru.com/Documents/ip-stack-tuning.html.

谢谢各位老师！