摘要：在IPv4/v6互聯網中，DNS是最關鍵的基礎核心服務之一，其服務的開放性及其對網絡服務影響的廣泛性，往往使得其DDoS分布式拒絕服務攻擊的首要焦點，其典型的安全相關事件包括2009年“5.19斷網事件”、2014年“1.21宕機事件”等。而作為銜接IPv4/v6網絡服務橋梁、并正在快速普及的DNS64服務，其安全性保障正在逐漸受到人們的重視與關注。

　　目前，已涌現出多種基于流量的DNS拒絕服務攻擊檢測技術。秦勇等[1]提出了一種通過對DNS流量摘要記錄進行分析來實現DNS異常檢測的方法;Musashi等[2]實現了一種針對多種類型DNS日志流量報文實施異常檢測的方法;Ren等[3]提出一種DNS流量可視化分析方法以解決DDoS所導致的緩沖中毒等問題。上述方法對于流量統計發生突變的DNS攻擊場合均非常有效，然而卻普遍不能有效應對日益流行的流量漸進攻擊方式，由于漸進攻擊并不會導致流量統計突變，因此此類基于流量統計的檢測方法均在不同程度上具有一定的局限性。

　　而基于熵估計的入侵檢測思路則有助于克服這一問題。在流量統計的過程中，結合相應的異常信息成分估計來實現相應的攻擊檢測，是該思路的主要特點。目前針對這一方法的研究尚處發展階段，丁森林[4]等使用信息熵對若干現實攻擊事件進行了分析，其結果證實了信息熵能夠及時發現攻擊點;張潔[5]等在信息熵檢測方法基礎上進一步提出了分級閾值的思路，并從一定程度上降低了DDoS攻擊檢測的誤報率。

　　本文結合DNS64分布式拒絕服務攻擊的具體攻擊場景，提出了一種基于熵估計的異常流量檢測技術，該技術采用了統計閾值而非固定閾值的攻擊檢測方式，并結合DNS64協議特點，有針對性地引入了相應的攻擊特征分類機制，以解決當前基于固定閾值的熵估計攻擊檢測技術所普遍存在的誤報率較高的問題。該文同時針對上述檢測思路進行了實驗驗證。分析結果表明，上述技術能夠在較大提升DNS64分布式拒絕服務攻擊的檢測率的同時，降低其檢測誤報率，從而具備良好的實際應用價值。

　　1 DNS64技術與熵估計方法簡介

　　1.1 DNS64并存過渡技術

　　DNS64[6]是一種IPv4-IPv6過渡技術。其一般用來與IPv6/IPv4轉換設備(如NAT64[7]設備等)協同工作，以保證IPv6-only主機可通過域名與IPv4-only的服務器建立通信。其中，NAT64通常用來實現TCP、UDP、ICMP協議下的IPv6與IPv4網絡地址和協議報文的轉換。而DNS64則主要是配合NAT64工作，用于在建立連接伊始，將DNSv4查詢信息中的A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中，繼而將合成后AAAA記錄用戶給IPv6側用戶。

　　DNS64與NAT64配合工作的協議流程如下圖所示。

　　在上述跨協議域的交互過程中，不難發現，DNS64服務器極易成為分布式拒絕服務攻擊的重點目標。這主要是因為，首先，由于該服務涉及到多次DNSv4、DNSv6請求的發起與組裝返回，而這一過程是有狀態的，如果針對該服務進行DDoS攻擊的話，勢必能夠以更高的效率耗盡DNS64服務的處理能力及其狀態保存相關的存儲資源;其次，對于背后的雙棧DNS服務器而言，遭受到DDoS攻擊的DNS64服務器恰好成為了一個放大攻擊流量的跳板，在遭受DDoS攻擊的場合下，其勢必也將導致背后的DNS服務也遭受到至少同等強度的拒絕服務攻擊。

　　由此不能看出，DNS64作為一種被廣泛應用的64過渡機制，其在應對DDoS攻擊方面實際上存在著顯著缺陷，其本身不僅容易受到攻擊，而且在受到攻擊的情況下，其還將連帶波及到其他關鍵服務網元。因此，及時檢測出針對DNS64服務器的攻擊并采取相應的防護措施，對于保障其正常服務而言非常關鍵。

　　1.2 基于信息熵度量的攻擊檢測

　　信息熵的概念最先由信息論之父香農于1948年提出，作為一個衡量事件信息含量的基本度量，其認為所有的信息均不同程度的存在著冗余，而冗余的大小與信息中的符號出現概率相關，而在剔除信息中冗余信息之后所剩余的平均信息量則被定義為“信息熵”。信息熵這一概念被廣泛地應用于描述隨機事件出現的不確定性;如某系統中事件出現的越隨機、越雜亂無章，則其含有的信息量就越大，其熵值也應越大。

　　假設存在某個隨機事件X，則其發生時所包含的信息量應該是該事件發生時先驗概率 P (X)的函數，于是可將事件 X所包含的自信息量I(X)(單位bit)以如下形式定義：

　　信息熵一般具有非負性，即其通常為正數;同時，其還具有對稱性，其值并不會因為事件統計順序變化而發生改變;同時其還具有確定性，即當某事件發生概率為1時，則信息熵取值必定為0;除此之外，其還具有最大離散熵屬性，即當系統中所有離散事件發生的概率相等時，此時系統具有最大離散熵。

　　信息熵的上述性質，使得其非常適合用來作為分布式拒絕服務攻擊檢測的度量。其主要思路在于：為規避攻擊檢測，目前DNS分布式拒絕服務攻擊大多通過采用大量的偽造源地址、針對大量不存在的域名發起DNS請求的方式來發起攻擊，因此將直接導致在一定時間窗口內以不同源地址或不同請求域名作為隨機事件的熵度量的顯著增長，而這一熵度量則可作為判別分布式拒絕服務攻擊是否發生的一個直覺依據。

　　2 基于熵估計的DNS64分布式拒絕服務攻擊檢測

　　2.1 針對攻擊特征的信息熵計算

　　本文采用了一種基于等量數據包的統計方式來計算信息熵檢測值，其算法描述如下：

　　1) 不妨設N為當前檢測量，即，針對每N個DNS查詢數據包進行1次信息熵計算，這N個DNS查詢數據包被稱為一個檢測周期;

　　2) 考慮到DNS DDoS攻擊方式的特點，我們選取將DNS數據包中的源地址與其查詢域名的內容作為數據包的特征并加以提取;

　　3) 當采集的數據包數量累積達到N時，觸發1次信息熵計算，其計算方法為：逐一針對特定的特征類別，對當前積累的N個數據包中的特征取值進行歸類，并得到不同類別的特征取值出現的累積個數，然后計算出不同特征取值類別出現的概率。

　　4) 基于各個特征取值出現的概率，計算出針對該特征的信息熵值，并將該熵值保存下來作為后繼檢測的基本依據。

　　通過上述計算方式，不難發現，當分布式拒絕服務攻擊發生時，來自隨機源地址的DNS數量將急劇增長，而與其同時，其DNS請求解析的隨機域名數量也將不斷增長，因此在這種場合之下，針對源地址與請求解析域名這兩個特征的信息熵值也將出現顯著的增長，而這一趨勢則可以作為判斷當前是否存在DDoS攻擊的直覺判別依據。

　　2.2 基于擬合殘差的熵估計檢測

　　值得指出的是，盡管我們可以在利用2.1節算法的同時，設定一個固定判決閾值，當信息熵高于該閾值時表示檢測到攻擊，但這種方式存在著其固有的局限性：當其閾值設置得過大時，系統的檢測率將隨之變低，而當其閾值設置得過小時，則誤報率變高。

　　為解決這一問題，該文提出了一種基于統計擬合的方法來動態選取判決閾值。考慮連續統計M個檢測周期的場合，在每一周期中針對某一特定的特征我們均可獲得其所對應的信息熵h。為描述方便起見，以下我們暫時僅考慮單一特征的情況。

　　我們將M稱為統計窗口，并且可針對該窗口下某特定特征的所有熵值進行從小到大排序，根據排序的結果，將排列次序為i的信息熵定義為hi。

　　針對熵值集合，可對其進行線性擬合，擬合結果表述如下：

　　2.3 基于特征加權的熵估計檢測

　　在2.2中，我們僅考慮了單一特征統計的情況。事實上，在針對DNS64的實際DDoS攻擊場合下，其各攻擊特征的熵值變化趨勢并不是一致的，比如，如前文所述，針對其攻擊報文中源地址特征及請求域名的信息熵變化趨勢是遞增的，而針對其攻擊報文的DNS請求類型這一特征的信息熵統計趨勢卻是遞減的，這主要是因為攻擊方為了加大對DNS64服務器的負載壓力，反復向其發起同種類型的DNS Query報文的緣故。這一觀察表明，與熵值異常程度ai類似的，不同類型特征的熵值變化趨勢對于DDoS攻擊評判也存在著相應的影響。

　　為綜合考慮上述兩方面因素，不妨設DDoS攻擊特征集合為F={f1， f2， f3， …， fn}，其中n為特征總量。對于第i個特征，可用Ii來表示其熵值是否顯著增加，當其熵值顯著提升時，Ii取值為1，否則為0;同時用Di來表示該特征的熵值是否顯著降低，其取值含義與Ii類似。

　　我們同時定義權值ui表示當特征i的熵值顯著提升時對DDoS攻擊判決的影響權重，并且定義表示當特征i的熵值顯著提升時，其對DDoS攻擊判定的權重為vi。則有所有特征的熵值變化對DDoS攻擊的評價度量V為：

　　3 實驗與分析

　　為驗證上述算法的有效性，該文采用了模擬DDoS攻擊的方式，將該算法與采用固定閾值判定的檢測算法效果進行了對比。具體實驗環境為x86平臺下的debian-sid Linux，整個驗證實驗采用了多臺計算機(Intel Dual-Core 2.0Ghz，512M，攻擊主機3臺，DNS64服務器1臺，普通服務器1臺，終端機1臺)，所有主機均以100Mbps全雙工互連。模擬DDoS攻擊的軟件采用DDOSIM[8]。

　　4 結論與下一步工作

　　本文針對DNS64分布式拒絕服務攻擊的具體場景，提出了一種基于信息熵估計的異常流量檢測技術，該技術采用了統計閾值而非固定閾值的攻擊檢測方式，并結合DNS64協議特點，針對性地引入了多攻擊特征加權判別機制。實驗與分析結果表明，上述方法能夠針對漸增的DDoS攻擊行為給予及時響應，同時在保障DDoS攻擊檢測率的同時，有效地降低其檢測誤報率，從而達到DNS64攻擊識別與服務防護的目的。

　　下一步工作主要包括：將其分析思路應用在DNS64-NAT64協作場景之下，進一步分析NAT64、NAT-PT等關鍵v4/6并存過渡機制所面臨的DDoS風險;以更細粒度分析攻擊判決模型，探討其算法參數的自適應優化取值方法;嘗試采用統計學習方法改善信息熵攻擊判決效率，進一步提升系統在正常訪問流量下的容忍度。

　　參考文獻：

　　[1] 秦勇.一種基于異常檢測的DNS流量負載審計[J].微計算機應用，2004，25(2)：145-149.

　　[2] Y.Musashi，R.Matsuba， K.Sugitani.A Threat of AAAA Resource Record-based DNS Query Traffic. IPSJ Symposium Series，2006(12)：61-66.

　　[3] Pin Ren，Kristoff J，Gooch B.Visualizing DNS Traffic. Proceedings of the 3rd International Workshop on Visualization for Computer Security.Alexandria，Virginia， USA，2006：23-30.

　　[4] 丁森林，吳軍，毛偉.利用熵檢測DNS異常[J].計算機系統應用，2010，19 (12)：195-198.

　　[5] 張潔，秦拯.改進的基于熵的DDoS攻擊檢測方法[J].計算機應用，2010，30(7)：1778-1781.