基于流记录的检测方法

　　检测算法

　　由于Chargen 不是常用协议，因此对于这类DDoS 可以使用基于端口匹配的方法进行检测。这种检测方法适用于部署在网络边界，用于对网内主机参与Chargen攻击的情况进行监测，即只有当攻击流量穿越网络边界，即被攻击者位于网外时能被检测到，无法感知攻击和受害主机都在网络内部的情况。

　　算法实现

　　我们将上述Chargen 攻击检测算法成功地实现在NBOS 系统平台上，完成了对CERNET 网内参与Chargen 攻击的主机的检测。

　　NBOS（Network Behavior Observation System）是CERNET 华东北地区网络中心在国家科技支撑计划课题“新一代可信任互联网安全和网络服务”支持下开发的用于监控和管理CERNET 网络服务质量和网络安全状态的新型网络管理系统，它基于流记录工作，以不同的时空尺度提供网络的基础运行数据。2013 年8 月，NBOS 完成了在CERNET 全国38 个主节点的部署，并稳定运行到现在。

　　在实现过程中，为了不影响NBOS 的正常运行我们只选择检测了向国外主机发起Chargen 攻击的流量，因为只需要检测到一次攻击行为就可以定位发起Chargen攻击主机，因此这个方法不会影响对事件主机的查准率。

　　检测结果

　　实际检测时算法使用的阀值是在一个5 分钟的NBOS 时间粒度中，UDP:19 平均流量超过1Mbps。图2 给出了检测结果的实例，从2 个角度进行了展示。(a) 给出了一个CERNET 主节点所管理的网络在某个时间段参与过Chargen 攻击的主机列表；(b) 是某个主节点参与一次特定Chargen 攻击的主机列表。

图2 CERNET 上的Chargen 攻击检测结果

　　在CERNET 的38 个主节点中，NBOS目前可以获取完整分析源数据（流记录）的主节点有28 个，还有2 个主节点只能获得部分分析源数据。根据上述检测程序在这些主节点上的运行观测发现2013年这些主节点的被管网络中普遍存在着Chargen 反射式UDP Storm 攻击，大量校园网主机被用作攻击主机，到2014 年的情况没有明显改善，仍有超过500 台主机存在这个漏洞并有持续参与攻击的行为发生。有关结果在图3 中给出，其中(a) 为2014 年3 月10 日~23日这14 天中按天统计的全网Chargen 攻击活跃主机情况，(b) 为该时间段内CERNET 各节点平均主机和事件数的分布情况，图中节点1-2 为获取部分分析源数据的节点，3-30为28 个获取全部分析源数据的节点。

图3(a) 2014 年3 月中旬Chargen 攻击活跃主机数

图3(b) CERNET 全网2014 年Chargen 攻击活跃主机数及事件数分布