基于互相關(guān)的LDDoS攻擊時間同步和流量匯聚方法
【專利摘要】本發(fā)明涉及一種基于互相關(guān)的LDDoS攻擊時間同步和流量匯聚方法���。本發(fā)明在于LDDoS(Low-rate?Distributed?Denial?of?Service)攻擊的流量聚合和時間同步,此LDDoS攻擊是由大量有組織的LDDoS攻擊集合而成���。信號互相關(guān)算法是為了保證每個分布式攻擊脈沖在受害者端聚合并準(zhǔn)確的同步以形成一個強大的脈沖����。模擬結(jié)果顯示用信號互相關(guān)算法去調(diào)整的攻擊脈沖的LDDoS攻擊效果顯著增強。
【專利說明】基于互相關(guān)的LDDoS攻擊時間同步和流量匯聚方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種低速率拒絕服務(wù) LDDoS(Low-rate Distributed Denial of Service)攻擊的方法���,它提高了 LDDoS攻擊的效果���。它屬于計算機網(wǎng)絡(luò)安全領(lǐng)域入侵檢測 (Intrusion Detection)【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002] 拒絕服務(wù)攻擊是一種使受攻擊的主機�����、服務(wù)器�、路由器等網(wǎng)絡(luò)設(shè)備無法正常提供 或接受服務(wù)的蠻力攻擊。攻擊者通過向受攻擊者發(fā)送大量毫無價值的數(shù)據(jù)包來占用大量網(wǎng) 絡(luò)資源(如網(wǎng)絡(luò)帶寬或CPU周期等)����,以此達到使受攻擊者主機系統(tǒng)無法正常運轉(zhuǎn)甚至癱瘓 的目的,對于主機性能指標(biāo)不高的受攻擊者來說����,DoS攻擊的效果會更好、更明顯�����。實施DoS 攻擊不需要十分復(fù)雜的技巧����,并且隨著軟件工藝的提高����,開發(fā)DoS攻擊工具越來越容易���,網(wǎng) 絡(luò)的普及也使普通人可以很容易的下載到現(xiàn)成易用的攻擊工具��。攻擊者甚至不需要了解復(fù) 雜的網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)漏洞�����,僅通過簡單的操作就可以實施一次DoS攻擊�。DoS攻擊可以作為 前奏配合完成其他形式的攻擊��,DoS攻擊者還可以通過偽造 IP地址隱藏自己的身份使對方 很難追蹤攻擊來源�����。
[0003] 隨著網(wǎng)絡(luò)性能不斷改進�����,帶寬的大幅提高使得單源DoS攻擊的效果大打折扣�����,于 是出現(xiàn)了分布式拒絕服務(wù)攻擊�����。DDoS攻擊就是通過大量分布在各處的主機共同實施DoS攻 擊�,是DoS攻擊的集群攻擊方式。DDoS攻擊相對于傳統(tǒng)的DoS攻擊實施起來更復(fù)雜����、攻擊源 更分散、攻擊流量更大��,因此更難檢測和防范���,攻擊所產(chǎn)生的危害也更大����。自從1999年首次 發(fā)現(xiàn)DDoS攻擊以來�����,截止至今DDoS攻擊每年都給全球經(jīng)濟造成上百億美元的損失,現(xiàn)在已 經(jīng)成為Internet面臨的最嚴(yán)峻的威脅之一�。2002年,作為互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)暮诵?-13 臺根域名服務(wù)器--遭受到DDoS攻擊�,致使其中9臺服務(wù)器徹底癱瘓,服務(wù)中斷長達1小 時���。2007年2月���,6臺根域名服務(wù)器再次受到DDoS攻擊,其中兩臺受到了很明顯的影響���,攻 擊時間長達8小時����。這些著名的案例表明相對于傳統(tǒng)的DoS攻擊�,DDoS攻擊是一種更加強 悍的攻擊手段。
[0004] LDDoS攻擊是DDoS攻擊的另外一種形式��。與DDoS攻擊相比它具有平均流量小��,隱 蔽性強的特點����,產(chǎn)生的破壞影響比較大,容易被黑色產(chǎn)業(yè)鏈利用���,作為盈利的手段���,給經(jīng)濟 造成巨大的損失。
[0005] 2001年,低速率拒絕服務(wù)攻擊首次由AstaNetworks公司在Abilene骨干網(wǎng)發(fā)現(xiàn)����。 通過6個月的流量分析,研究人員發(fā)現(xiàn)這種具有脈沖特征的新型DoS攻擊能夠長時間存在 并且不能被現(xiàn)有的檢測機制所發(fā)現(xiàn)����,因此具有極高的隱蔽性,這種攻擊不一定能使目標(biāo)系 統(tǒng)癱瘓��,但是可以大大降低系統(tǒng)的性能���。從此以后���,針對LDoS的攻擊、檢測防御成為網(wǎng)絡(luò) 安全研究領(lǐng)域的新課題���。2003年在計算機網(wǎng)絡(luò)方面的頂級會議SIGCCMM上�,Rice大學(xué)的 Aleksandar Kuzmanovic首次提出了針對TCP協(xié)議的LDoS攻擊并且給出了一個數(shù)學(xué)模型和 相關(guān)測試,為后面的研究奠定了基礎(chǔ)��。2004的ICNP(IEEE International Conference on Network Protocols)會議以及 2005 年的 INF0C0M會議上��,Guirguis 提出了 RoQ(Reduction of Quality)攻擊�����,利用TCP協(xié)議中擁塞控制以及路由器隊列管理機制中的漏洞降低路由 器的性能�。2005 年的 NDSS (Network and Distributed System Security Symposium)會議 上,Xiapu Luo又提出了 ro〇S(Pulsing DoS)攻擊�����,還有其他形式的LDoS攻擊但原理都是 類似的�����。LDDoS是LDoS的分布式攻擊形式���,如同DDoS與DoS的關(guān)系一樣����,LDDoS攻擊就是 LDoS的集群攻擊方式��。
[0006] 針對LDDoS的檢測和防御方法更多���,對于傳統(tǒng)DDoS攻擊的一般檢測方法主要有基 于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)這兩種���。但這兩種檢測方法都是基于 DDoS長時間、高強度的網(wǎng)絡(luò)流量異常統(tǒng)計特性����,而LDDoS并沒有這樣的特征,所以傳統(tǒng)的檢 測方式并不能檢測出LDDoS����。針對LDDoS,YU CHEN�,KAI HWANG等提出了基于數(shù)字信號處理 的檢測方法,主要思想是提取流量的頻域特性來進行分析���,開創(chuàng)了基于信號處理方法的檢 測�。之后Yu-KwongKwok等又提出了基于"隨機丟包模式"的算法等�����。
[0007] 目前國內(nèi)外的研究主要集中在檢測和防御上�����,而針對LDDoS流量同步和匯聚的研 究還較少,主要是Ying Zhang提出了利用ICMP時間戳報文對各攻擊流量進行時間同步的 方法�。LDDoS目前沒有在網(wǎng)絡(luò)中大規(guī)模爆發(fā),大多數(shù)對它的研究還停留在理論和仿真方面�, 沒有在實際網(wǎng)絡(luò)中進行測試,因此缺乏真實的實際數(shù)據(jù)����。盡管如此,作為一種新型的�����、更具 威脅��、更隱敝的DDoS攻擊方式��,LDDoS正受到越來越多學(xué)者的關(guān)注�,通過細致研究它的攻擊 行為,分析攻擊原理�����,有利于今后提出更有效的檢測和防御方法�。
【發(fā)明內(nèi)容】
[0008] 在LDDoS攻擊中�����,攻擊脈沖被分割成好多小振幅脈沖。這些小脈沖由不同攻擊者 發(fā)送并在目標(biāo)端完成聚合���。攻擊脈沖的形成主要是通過以下幾種分割大脈沖的方法�。
[0009] (1)脈沖幅度成倍減少�����,攻擊周期沒變?nèi)绺綀D1所示�。假設(shè)攻擊目標(biāo)的吞吐量是 C,攻擊者命名為1到n�,LDDoS攻擊周期為T,每個攻擊峰值為C/n��,每個攻擊脈沖可以在受 害者端疊加形成一個高速率攻擊脈沖��。
[0010] (2)脈沖峰值不變但是攻擊周期成倍增加����,如附圖2所示。N個攻擊者���,攻擊周期 為η攻擊峰值R��。每個攻擊脈沖可以在受害者端疊加�����,形成一個高速攻擊脈沖周期為T���。
[0011] 每個攻擊脈沖必須嚴(yán)格遵守時間序列才能形成理想的LDDoS攻擊���。然而每個攻擊 者都分布在不同的網(wǎng)絡(luò)中,攻擊者到目標(biāo)間的距離不確定���。所以要確保每個攻擊脈沖可以 在經(jīng)過不同網(wǎng)絡(luò)傳輸后匯聚形成一個強攻擊脈沖是一項非常困難的技術(shù)�����。如果�����,每個攻擊 脈沖都不能同步和匯聚��,LDDoS攻擊將會失去它們的攻擊特性��,攻擊效果會被嚴(yán)重削弱�����。
[0012] 附圖1和附圖2說明LDDoS攻擊的時間同步和流量匯聚����,在參與攻擊的每個脈沖 需要嚴(yán)格的時間關(guān)系���。每個脈沖都與其它密切相關(guān)�����。因此����,互相關(guān)函數(shù)被看作是實現(xiàn)時間 同步和流量匯聚的關(guān)鍵技術(shù)���。
[0013] 互相關(guān)是估計兩個序列相關(guān)程度的標(biāo)準(zhǔn)方法�?���?紤]兩個LDDoS攻擊序列x(i)�����, y(i)��,i = l��,2��,"·���,Ν-1。兩個延遲為d的LDDoS攻擊序列的互相關(guān)r定義為
[0014]
【權(quán)利要求】
1. 一種基于互相關(guān)的LDDoS(Low-rate Distributed Denial of Service)攻擊的時間 同步和流量匯聚的方法��,其特征在于:是通過以下步驟實現(xiàn)的: (1) 估計各處鏈路的RTT ; (2) 設(shè)計攻擊波形�; (3) 發(fā)送攻擊波形參數(shù)到各攻擊端,各攻擊端產(chǎn)生攻擊脈沖�; (4) 對各攻擊脈沖進行采樣,用互相關(guān)算法計算各攻擊脈沖之間的相對延時����; (5) 調(diào)整攻擊時間以達到時間同步; (6) 在檢測點采集數(shù)據(jù)�,判斷匯聚后的攻擊是否達到最佳。
2. 根據(jù)權(quán)利要求1所述的基于互相關(guān)的LDDoS攻擊的時間同步和流量匯聚方法,其特 征在于: 其中:步驟(1)要分別估算攻擊者到各攻擊端的RTT��,各攻擊端到各攻擊目標(biāo)的RTT����,和 經(jīng)過攻擊目標(biāo)處的TCP連接的RTT。 步驟(2)所設(shè)計的波形要求為周期方波脈沖�,攻擊周期為T,脈沖幅度為R����,脈沖長度為 L。其中脈沖幅度R要足夠大以保證攻擊流量能夠堵塞鏈路���,脈沖長度要足夠長以保證正常 流量大量丟失,而過大的攻擊脈沖長度同樣會使LDDoS成為DDoS�。 步驟(3)攻擊者首先將攻擊脈沖分割成較小的攻擊脈沖,然后由各攻擊端發(fā)送這種較 小的脈沖����,最后在攻擊目標(biāo)處重新匯聚成攻擊脈沖。 步驟(4)是在受害端的上一跳路由監(jiān)測流量����,每隔t秒的間隔對流量進行取樣,一個取 樣周期為T秒。每個抽樣數(shù)據(jù)就成為一個離散的序列xn(i)���。 以Xi⑴為基準(zhǔn)����,分別計算每個序列與Xi⑴的相關(guān)序列r (d)��,
(1) 再分別統(tǒng)計rn(d)取最大值所對應(yīng)的dn的值��。 步驟(5)根據(jù)步驟(4)計算出的< 的值��,分別調(diào)整各攻擊端發(fā)送攻擊脈沖的時間�����。 步驟(6)采樣匯聚后的流量��,判斷攻擊波形是否以達到最佳�,如不是重復(fù)步驟(4) (5) 直到達到最佳。
3. 根據(jù)2所述的基于互相關(guān)的LDDoS攻擊的時間同步和流量匯聚方法��,可以用以下兩 種分割方式產(chǎn)生攻擊脈沖: (1)脈沖幅度減倍���,攻擊周期不變 假設(shè)攻擊目標(biāo)處的吞吐能力為C��,使用η個攻擊端實施LDDoS攻擊��,設(shè)定的攻擊周期為 T�。各個攻擊端同步發(fā)送峰值為R = C/n、周期為T的攻擊脈沖到目標(biāo)處���,最終疊加形成峰值 為C�����、周期為T的攻擊脈沖�����, ⑵脈沖幅度不變�����,攻擊周期增倍 參數(shù)同上,各個攻擊端按照時間序列為〇��,T�����,2T,3T�����,…����,(n-l)T,依次發(fā)送峰值為R = C�����、周期為T*n的攻擊脈沖到目標(biāo)處�����,最終置加形成峰值為C��、周期為T的攻擊脈沖�����。流量完 好的匯聚之后�����,LDDoS就形成了類似于LDDoS的攻擊流量,因此攻擊原理與LDDoS -樣�����。
【文檔編號】H04L12/891GK104125194SQ201310143580
【公開日】2014年10月29日 申請日期:2013年4月24日 優(yōu)先權(quán)日:2013年4月24日
【發(fā)明者】吳志軍, 馬蘭, 岳猛 申請人:中國民航大學(xué)