專利名稱:基于小信號(hào)檢測(cè)理論的LDoS攻擊檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)��,尤其是針對(duì)低速率拒絕服務(wù)(LDoS)攻擊的檢測(cè)�����,可以高準(zhǔn)確率的檢測(cè)出攻擊��。
背景技術(shù):
自從分布式拒絕服務(wù)DoS(Denial ofService)攻擊面世以來(lái)����,它一直成為網(wǎng)絡(luò)安全的最大威脅之一。傳統(tǒng)泛洪(Flood)類型的DoS (FDoS)攻擊特點(diǎn)是需要維持高速率攻擊流��,耗盡受害者端所有可用資源���。低速率分布式拒絕服務(wù)LD0S(L0W-rate DoS)攻擊是一種新型的DDoS攻擊形式��。LDoS與FDoS原理則截然不同�,LDoS利用網(wǎng)絡(luò)協(xié)議或應(yīng)用服務(wù)中常見(jiàn)的自適應(yīng)機(jī)制中所存在的安全漏洞�,通過(guò)周期性地在一個(gè)特定的短暫時(shí)間間隔內(nèi)突發(fā)性地發(fā)送大量攻擊數(shù)據(jù)包,從而降低被攻擊端服務(wù)性能�����。這種間歇性攻擊的特點(diǎn),使得其攻擊流的平均速率較低�,而且完全融合在合法用戶的數(shù)據(jù)流中,現(xiàn)有的檢測(cè)方法對(duì)LDoS攻擊很難進(jìn)行檢測(cè)和防范����。
在合法TCP流和LDoS流是發(fā)往同一目的地的情況下,LDoS流表現(xiàn)出兩個(gè)不同的重要行為:第一�����,LDoS流的最高速率將保持不變�����,而TCP流則呈線性增長(zhǎng)��;第二��,LDoS流在相對(duì)固定的時(shí)間周期到達(dá)目的地��,而TCP流則是連續(xù)到達(dá)�����。用現(xiàn)有的通信量分析方法�,周期性脈沖很難在時(shí)間域被檢測(cè)出來(lái)����。這是因?yàn)槠骄蚕淼膸挷⒉皇欠浅4?。在分布式的情況下���,成倍的傀儡機(jī)發(fā)起的攻擊會(huì)更進(jìn)一步降低單個(gè)通信量的速率�,因此���,就導(dǎo)致檢測(cè)更加困難����。分布式攻擊發(fā)起者可以通過(guò)降低最高速率或者延長(zhǎng)攻擊周期來(lái)降低平均通信量���。所以�����,用時(shí)間序列檢測(cè)這類攻擊是毫無(wú)效果的����。目前的攻擊檢測(cè)手段基本是基于時(shí)間序列的�,對(duì)LDoS攻擊的檢測(cè)是個(gè)盲點(diǎn)���。
對(duì)于LDoS攻擊的研究尚處于起步階段,但相關(guān)研究工作主要出現(xiàn)在近年來(lái)一流國(guó)際會(huì)議上�����,說(shuō)明其得到了充分的重視���。2003年在計(jì)算機(jī)網(wǎng)絡(luò)方面的頂級(jí)會(huì)議SIGC0MM上�,Rice大學(xué)的Aleksandar首次提出了針對(duì)TCP協(xié)議的低速率拒絕服務(wù)攻擊��,主要針對(duì)TCP擁塞控制機(jī)制中的漏洞�����,文中提出了一種潛在的低速率拒絕服務(wù)攻擊(Low-RateDistributed Denial of Service,LDoS)攻擊模型,通過(guò)準(zhǔn)確計(jì)算,只需少量攻擊數(shù)據(jù)就可導(dǎo)致受害者端拒絕服務(wù)或服務(wù)質(zhì)量的下降����。在2004的ICNP以及2005年的INF0C0M上,Guirguis提出了 RoQ攻擊���,其實(shí)質(zhì)也是針對(duì)TCP協(xié)議中擁塞控制以及路由器隊(duì)列管理機(jī)制中的漏洞��,使得特定的路由器的性能發(fā)生下降����。2005年的NDSS會(huì)議上,Xiapu Luo又提出了 pulsing攻擊���,原理與LDDoS攻擊非常相似。網(wǎng)絡(luò)中也已出現(xiàn)此種類型的攻擊����,因此,提出針對(duì)此類攻擊的檢測(cè)防范方法已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域刻不容緩的問(wèn)題���。而針對(duì)此類攻擊進(jìn)行攻擊建模及攻擊特征分析����,也非常重要���,是今后防范研究工作的基礎(chǔ)��。
對(duì)于LDoS的檢測(cè)�,傳統(tǒng)的檢測(cè)方法不再適用�。YU CHEN, KAl HWANG等提出了基于數(shù)字信號(hào)處理的檢測(cè)方法,利用功率譜密度來(lái)進(jìn)行分析�。從此基于信號(hào)處理的方法成為研究的熱點(diǎn)�����。之后����,Kai Hwang和Yu-Kwong Kwok提出了的一種稱為HAWK的方法來(lái)識(shí)別惡意的LDoS攻擊流�,可是HAWK只適用于源地址單一的攻擊。前不久���,LUO和CHANG發(fā)現(xiàn)當(dāng)發(fā)起攻擊后�����,流入的流量和流出的ACKS流量將會(huì)發(fā)生很大的變化��,根據(jù)這種特性他們提出了一種基于小波分析的方法�����,第一部分�,利用DWT(Discrete WaveletTransform)的方法來(lái)檢測(cè)異常流量��,第二部分,利用一種特殊的CUSUM方法來(lái)檢測(cè)變化點(diǎn)����。由于基于小波變化的檢測(cè)結(jié)果非常依賴于參數(shù)的選擇,因此很難選定一個(gè)最優(yōu)的參數(shù)來(lái)保持一個(gè)高的檢測(cè)率�、很低的誤報(bào)率和漏報(bào)率。
目前����,無(wú)論是國(guó)際還是國(guó)內(nèi),如何有效地防御DoS攻擊��,保護(hù)目標(biāo)(主機(jī)或者服務(wù)器)不被攻擊已成為一個(gè)研究熱點(diǎn)���。由于LDoS不同于傳統(tǒng)的Flood DoS攻擊,它具有流量小,很難被現(xiàn)有的檢測(cè)機(jī)制檢測(cè)到等特點(diǎn)�����,因此對(duì)網(wǎng)絡(luò)具有更大的威脅性和破壞性��。但是����,到目前為止,國(guó)內(nèi)對(duì)這種攻擊方式的研究還相對(duì)較少,資料也非常有限����。同時(shí)目前檢測(cè)方法都都有一定的不足。因此�����,非常有必要提取攻擊特征���,找到更有效的檢測(cè)方法���。發(fā)明內(nèi)容
網(wǎng)絡(luò)中的流量數(shù)據(jù)是時(shí)間離散的序列信號(hào),它既非高斯信號(hào)�����,也非靜態(tài)信號(hào)��。通過(guò)對(duì)網(wǎng)絡(luò)流量按照協(xié)議分析表明:網(wǎng)絡(luò)流量中80%以上的流量是TCP�����。并且網(wǎng)絡(luò)流量中TCP流量具有明顯的周期性�����。在DoS攻擊的處理上,目前國(guó)際上流行采用信號(hào)處理的方法與網(wǎng)絡(luò)流量數(shù)據(jù)處理技術(shù)相結(jié)合���,即把經(jīng)典的信號(hào)檢測(cè)理論和濾波器理論應(yīng)用到攻擊流量的檢測(cè)和過(guò)濾方法中?�,F(xiàn)在�,越來(lái)越多的研究工作采用DSP的信號(hào)分析技術(shù)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行研究����,用于異常(Anomaly)流量的檢測(cè)和防御,以提高網(wǎng)絡(luò)的安全性���。網(wǎng)絡(luò)流量的周期性是一個(gè)重要的特征���,可以用于對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和攻擊檢測(cè)(Detection)���。例如:利用歸一化累計(jì)功率譜密度NCPSD(Normalized Cumulative Power Spectrum Density)作為檢測(cè)單個(gè)低速率拒絕服務(wù)LDoS (Low-Rate DoS)攻擊的判定依據(jù)��;還有采用小波分析技術(shù)在頻率分量中發(fā)現(xiàn)DoS攻擊分量等���。
通過(guò)對(duì)單條TCP流和單個(gè)LDoS攻擊流的研究發(fā)現(xiàn)=LDoS攻擊的平均流量較小,約占正常流量的10% -20% ;而LDoS攻擊的表現(xiàn)形式為周期性的脈沖序列。因此����,相對(duì)TCP流量而言,可以將LDoS攻擊定義為周期性的小信號(hào)��,S卩小周期信號(hào)���。進(jìn)而可以采用小信號(hào)檢測(cè)理論進(jìn)行LDoS攻擊檢測(cè)方法的研究���。本發(fā)明在分析LDoS攻擊特點(diǎn)的基礎(chǔ)上,采用小信號(hào)理論��,提出了基于小信號(hào)模型的LDoS攻擊檢測(cè)的方法��。
LDoS攻擊為未知周期(對(duì)于檢測(cè)者來(lái)說(shuō))的周期小信號(hào)�;背景噪聲為正常流量(正常流量也屬于周期信號(hào),但其周期與攻擊信號(hào)的周期不同)���,且遠(yuǎn)強(qiáng)于攻擊信號(hào)��。LDoS攻擊對(duì)于檢測(cè)者來(lái)說(shuō)有很多參數(shù)是未知的��,其中周期就是一個(gè)重要的未知參數(shù)����。因此,LDoS攻擊又屬于未知周期的小信號(hào)�����。其檢測(cè)方法如下:
對(duì)周期為T(mén)的周期小信號(hào)�����,抽樣間隔為T(mén)s��,假定T = nTs+ATs(0彡h < I)����。構(gòu)造一個(gè)mXn的矩陣M,每η個(gè)采樣占據(jù)該矩陣一行,若采樣點(diǎn)為sum個(gè),則對(duì) O每列的m個(gè)值求平均,矩陣變?yōu)棣?維向量�,求出其中最大值和最小值之差Vie。根據(jù)Λ的不同����,搜索間隔可分為兩類:Λ古O時(shí)抽樣間隔存在誤差積累�����,到一定程度會(huì)使搜索間隔內(nèi)出現(xiàn)η+1個(gè),此時(shí)舍去第最后一個(gè)�;△ = O時(shí)不會(huì)出現(xiàn)這種情況。
假設(shè)信號(hào)Atk(t)的周期為T(mén)(未知量)�,其最大值、最小值分別為Atkmax和Atkmin�。定義D為峰谷差值,則D = Atkfflax-Atkfflin0以T為迭加間隔進(jìn)行漏值多點(diǎn)數(shù)字平均�����,所得峰谷差值Vjg = Jtkma, - Atkmm��,其中imax�、H_為對(duì)M矩陣按列平均后,得到的向量的最大值和最小值�����。若以T為間隔同步疊加�,則Mmsi 二艦産、=^n��,顯然Vie = D�����。如果周期信號(hào)Atk(t)不存在,或疊加不同步��,則Vje <<D�����。確定一門(mén)限thr���,如果Vje彡thr�����,則將該值記錄在一個(gè)數(shù)組P中���。信號(hào)周期搜索過(guò)程結(jié)束后取P中各元素的均值作為周期預(yù)測(cè)值;如果矩陣P不存在��,則說(shuō)明無(wú)周期小信號(hào)�����。Vje稱為判決特征值�。
值得注意的是,將LDoS攻擊流的包個(gè)數(shù)作為待檢信號(hào)�����,較通常的摻噪信號(hào)有很大不同�。由于包個(gè)數(shù)為非負(fù)整數(shù),故在做檢測(cè)時(shí)噪聲的均值濾除更加困難�。
以一段時(shí)長(zhǎng)為搜索間隔(后面將會(huì)從實(shí)驗(yàn)結(jié)果中看到:搜索間隔越小檢測(cè)效果越佳),來(lái)不斷地試探攻擊周期���。選取采樣時(shí)間間隔為10ms��,采樣點(diǎn)數(shù)為3000個(gè)�����,即每計(jì)算一次須30秒(經(jīng)多次仿真知道���,保證檢測(cè)效果的最短時(shí)長(zhǎng)為30秒)。而攻擊到達(dá)時(shí)未必在算法的時(shí)間邊緣�,因此完成一次檢測(cè)需30秒(最佳狀況,攻擊到達(dá)時(shí)正好檢測(cè)開(kāi)始)至60秒(最壞狀況���,攻擊到達(dá)時(shí)上次檢測(cè)一次檢測(cè)剛剛結(jié)束)�����。即檢測(cè)時(shí)長(zhǎng)區(qū)間為[30�,60)。將這3000個(gè)采樣數(shù)據(jù)點(diǎn)排列為mXn的矩陣M�����,再構(gòu)造出判決特征值Vie��。反復(fù)實(shí)驗(yàn)���,得到可靠的判決門(mén)限thr����,即可有效地檢測(cè)LDoS攻擊�。
圖1為L(zhǎng)DoS攻擊模型,(a)表示單源的LDoS攻擊流��,(b)表示兩個(gè)半速率的LDoS攻擊流���。
圖2為有LDoS攻擊時(shí)���,攻擊流量的峰谷值特性圖。
圖3為本發(fā)明所應(yīng)用的NS2仿真拓?fù)鋱D。
具體實(shí)施方式
1���、按照?qǐng)D3模擬 的攻擊場(chǎng)景�����,設(shè)定客戶端、攻擊端與路由器之間的鏈路帶寬均為lOMb/s�,單向延時(shí)為2ms ;各路由器之間、路由器2與服務(wù)器之間鏈路帶寬均為IMb/s����,單向延時(shí)為10ms。且路由器的發(fā)送隊(duì)列大小為100個(gè)數(shù)據(jù)包���。LDoS攻擊的3個(gè)參數(shù):L =250ms��、R= 1Mb��、T = IlOOms 和 1075ms���。
2、固定采樣間隔為10ms���、搜索間隔為10ms�����,在攻擊周期T = IlOOms和T = 1175ms兩種情況下���,分別測(cè)試Vie的分布��。對(duì)于T = IlOOms的攻擊���,最大Vie值準(zhǔn)確出現(xiàn)在預(yù)測(cè)周期為IlOOms處;對(duì)于T = 1175ms的攻擊����,最大Vig值出現(xiàn)在預(yù)測(cè)周期為1170ms和1180ms處。多次實(shí)驗(yàn)的結(jié)果均證明了上述結(jié)論���。為了與實(shí)際情況相符���,根據(jù)檢測(cè)原理,選取均值1175ms作為預(yù)測(cè)攻擊周期���。
3�����、分三種情況測(cè)定Vje的分布:1)設(shè)定采樣間隔為IOms,搜索間隔為20ms,攻擊周期為IlOOms ����;2)設(shè)定采樣間隔為IOms,搜索間隔為20ms,攻擊周期為1750ms ;3)設(shè)定采樣間隔為IOms,搜索間隔為50ms,攻擊周期為1750ms�����。
4���、設(shè)定采樣間隔為7ms、搜索間隔為20ms����、攻擊周期為1175ms,測(cè)試特征值Vje的分布�����。
5��、根據(jù)前4步的結(jié)果得出結(jié)論:當(dāng)預(yù)測(cè)周期為搜索間隔的整數(shù)倍時(shí)���,搜索間隔的大小對(duì)檢測(cè)效果幾乎沒(méi)有影響���。而當(dāng)預(yù)測(cè)周期不為搜索間隔的整數(shù)倍時(shí)����,效果較差��,出現(xiàn)檢測(cè)誤差�,甚至將無(wú)法實(shí)施檢測(cè)。在預(yù)測(cè)周期為搜索間隔的整數(shù)倍的前提下��,采樣間隔的大小對(duì)檢測(cè)效果幾乎沒(méi)有影響��。
6��、以攻擊周期為1100ms�����、搜索間隔為IOms時(shí)�,選取攻擊判斷門(mén)限值為60,進(jìn)行100次獨(dú)立重復(fù)實(shí)驗(yàn)�。
7、統(tǒng)計(jì)分析100次實(shí)驗(yàn)數(shù)據(jù)�,其檢測(cè)性能穩(wěn)定:正確檢測(cè)概率(Pd)為100% ;虛警概率(Pfn)為O ;漏警概率(Pfp)為O�����。
權(quán)利要求
1.在合法TCP流和LDDoS流是發(fā)往同一目的地的情況下���,LDDoS流表現(xiàn)出兩個(gè)不同的重要行為:第一,LDDoS流的最高速率將保持不變��,而TCP流則呈線性增長(zhǎng)���;第二��,LDDoS流在相對(duì)固定的時(shí)間周期到達(dá)目的地���,而TCP流則是連續(xù)到達(dá)����。通過(guò)對(duì)單條TCP流和單個(gè)LDoS攻擊流的研究發(fā)現(xiàn)=LDoS攻擊的平均流量較小,約占正常流量的10% -20%;而LDoS攻擊的表現(xiàn)形式為周期性的脈沖序列�����。因此���,相對(duì)TCP流量而言����,可以將LDoS攻擊定義為周期性的小信號(hào),即小周期信號(hào)�����。進(jìn)而可以采用小信號(hào)檢測(cè)理論進(jìn)行LDoS攻擊檢測(cè)方法的研究��。根據(jù)LDoS攻擊的特點(diǎn)��,采用小信號(hào)理論�,提出了基于小信號(hào)模型的LDoS攻擊檢測(cè)的方法。
2.根據(jù)權(quán)利要求1所述的基于小信號(hào)模型的LDoS攻擊檢測(cè)的方法��,其特征在于所述檢測(cè)方法包括以下步驟: 1)在受害端的上一跳路由監(jiān)測(cè)流量�,每隔t秒的間隔對(duì)流量進(jìn)行取樣,一個(gè)取樣周期為T(mén)秒����。
2)構(gòu)造一個(gè)mXn的矩陣M,每η個(gè)采樣占據(jù)該矩陣一行�,若采樣點(diǎn)為sum個(gè),則m-Ysum!ηλ��。
3)對(duì)每列的m個(gè)值求平均,矩陣變?yōu)棣蔷S向量�,求出其中最大值和最小值之差Vie。
4)確定一個(gè)門(mén)限thr,如果Vje彡thr,則將該值記錄在一個(gè)數(shù)組P中�。
5)信號(hào)周期搜索過(guò)程結(jié)束后取P中各元素的均值作為周期預(yù)測(cè)值;如果矩陣P不存在�����,則說(shuō)明無(wú)周期小信號(hào)(LDoS攻擊)����。
3.根據(jù)2所述的基于卡爾曼濾波的LDoS檢測(cè)方法,其特征在于: 1)設(shè)定采樣間隔10ms��,搜索周期為30s��。形成3000個(gè)點(diǎn)的矩陣��。
2)確定Vp攻擊信號(hào)Atk(t)的周期為T(mén) (未知量)����,其最大值�、最小值分別為Atkmax和Atkmin0定義D為峰谷差值,則D = Atkmax-Atkmin����。以T為迭加間隔進(jìn)行漏值多點(diǎn)數(shù)字平均����,所得峰谷差值F7e = Atkmax -Atkmm�����,其中為對(duì)M矩陣按列平均后���,得到的向量的最大值和最小值�。若以T為間隔同步疊加���,則=Alk ,Wkmn =Aikmm ,顯 IIuXI IllI I然Vm = D�。如果周期信號(hào)Atk(t)不存在����,或疊加不同步,則Vm << D 3)以搜索周期為間隔將時(shí)間軸分成若干段����,則每段相同序號(hào)的采樣值經(jīng)過(guò)平均后,得到的數(shù)值仍然具備峰谷差值 特性�。當(dāng)沒(méi)有LDoS攻擊時(shí)��,這種峰谷差值也存在�,但其數(shù)值遠(yuǎn)小于存在LDoS攻擊時(shí)的情況��。設(shè)定攻擊判斷門(mén)限值為60���,則可以有效的檢測(cè)出LDoS攻擊�����。
全文摘要
低速率拒絕服務(wù)LDoS(Low-rate Denial of Service)攻擊流量具有明顯的周期性小信號(hào)特征����。本發(fā)明采用小信號(hào)檢測(cè)理論��,提出一種基于小信號(hào)模型的LDoS攻擊檢測(cè)的方法��。該方法通過(guò)構(gòu)造特征值估算矩陣����,對(duì)一定時(shí)間內(nèi)到達(dá)的數(shù)據(jù)包個(gè)數(shù)進(jìn)行統(tǒng)計(jì)��,估算LDoS攻擊周期��,并將統(tǒng)計(jì)值與設(shè)定的判決特征值門(mén)限進(jìn)行比較,用于指示正常流量和包含LDoS攻擊的混合流量之間的區(qū)別�����,作為判斷有無(wú)LDoS攻擊的依據(jù)���。如果判定存在LDoS攻擊���,通過(guò)特征值估算矩陣可較精確地計(jì)算出LDoS攻擊周期值。使用本發(fā)明所提供的技術(shù)方案���,能有效的檢測(cè)出LDoS攻擊���。
文檔編號(hào)H04L29/06GK103139166SQ201110389238
公開(kāi)日2013年6月5日 申請(qǐng)日期2011年11月30日 優(yōu)先權(quán)日2011年11月30日
發(fā)明者吳志軍 申請(qǐng)人:中國(guó)民航大學(xué)