A distributed filtering mechanism against DDoS attacks: ScoreForCore

Kalkan K, Alagöz F. A distributed filtering mechanism against DDoS attacks: ScoreForCore[J]. Computer Networks, 2016, 108: 199-209.

本文提出ScoreForCore基于主动和协作过滤的防御机制，特点为：在当前的攻击流中选择最合适的属性。本文由PackerScore[2]启发，由于[2]中的实时检测没有属性筛选，因此性能较差。

ScoreForCore

本文术语见表1

• 当前基于过滤的出防御方式有(individual,cooperative)X(reactive,proactive)，基中cooperative proactive为本文研究。

Design issues

本文在[2]的基础上改进，使用[2]的打分方法。本文使用当前攻击最具代表性的属性创建profile。需要考虑如下：

profiling

分别在正常阶段和攻击阶段生成nominal 和current profile，要利用的属性有：（IP，Port,protocol type,packet size,TL,TCP flag。

• nominal阶段本文采用路由随机选属性对来统计信息。因此每个路由存储每个属性的single profile和一个随机对属性：OwnPairs Nomial Profile(OPNP).攻击发生而本路由器没有最佳属性对时可从别的路由那获取。属性对profile示例如表2.

• 攻击阶段（阻塞发生时），对每个属性进行统计生成 single current profile(SingleCPs)

comparison

将nominal profile与current profile相比较，如T3,T4,对每个属性找属性值统计中差最大的，如表3中的TCP和表4中的83，会找到6个属性值及其最大差值，再在这六个中找最大的前两个当作suspicious pair。对于当前路由器随机属性对中没有suspicious pair时，可从别的路由中获取。

collaboration

当前router没有，则向邻居请求可疑对的OPNP，并作为自己的SPNP。如果三跳邻居都没有，而使用自己的OPNP作为SPNP。

score calculation

在前一步，每个router都有了SPCP和SPNP，对新包计算打分公式为：

$S_{p}=\frac{S \operatorname{corePC} P_{(A=a_{p}, B=b_{p}\right)} / T P C P}{\text {ScorePNP}{\left(A=a{p}, B=b_{p}, \ldots)} / T P N P}$

，TPCP为当前profile的总包数，TPNP为nomial profile的总包数

threshold calculation

阈值计算，作者的老套路，$CDF(Th)=\Phi$

selective discarding

计算打分与阈值比，大的就丢，小的就交付，整个过程可见图2.

（作者搞这么大个图显然就是在凑页数）

实验与评估

• 数据集：MAWI[17] 作者的老套路。
• 实验环境：C++编写，inter i5 3.3GHz,4G memory
• 拓扑：真实拓扑，如图3.有18个node，每个node平均有3个邻居

• 模型的攻击：还是老套路，见截图：

性能评估

• Metrics 结果见表5,6,7；表5中SFC的F值显然普遍高于PS，表6中SFC的TN值高于PS，表7中的SFC的准确率高于PS。

• 内存，通信代价，过滤效率的关系见表8 表中的APE为：attack prevention efficitncy,AY:accuracy

• 存储分析 理论主存储profile所要的最大的空间为300M，实际实验检测得只要几百K即可。