基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法
【專利摘要】本發(fā)明涉及一種基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)與防御方法�。方法包括以下步驟:1)記錄進(jìn)入該路由器的每個(gè)數(shù)據(jù)包的流標(biāo)識(shí)與到達(dá)時(shí)刻;2)查找數(shù)據(jù)流特征庫�,判斷該數(shù)據(jù)包的流標(biāo)識(shí)是否已經(jīng)存在于數(shù)據(jù)流特征庫中,若沒有則將該數(shù)據(jù)流的特征信息先存入數(shù)據(jù)流特征庫����,然后直接跳到第5)步�����,否則繼續(xù)執(zhí)行以下步驟�;3)計(jì)算該數(shù)據(jù)流最新的前項(xiàng)��、后項(xiàng)比以及周期等��,存入數(shù)據(jù)流特征庫����;4)斷該數(shù)據(jù)流是否符合攻擊特征庫中的特征,如若符合�,計(jì)算出最新攻擊時(shí)長(zhǎng)、周期存入數(shù)據(jù)流特征庫并丟棄該包�����,否則繼續(xù)執(zhí)行以下步驟����;5)進(jìn)入路由器的隊(duì)列模塊�����,根據(jù)相應(yīng)的隊(duì)列丟棄規(guī)則排隊(duì)。本發(fā)明檢測(cè)效率高��、誤判率低���、實(shí)施方便���、易于擴(kuò)展。
【專利說明】基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域��,具體涉及一種基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)與防御方法����。
【背景技術(shù)】
[0002]拒絕服務(wù)攻擊(Denial of Service, DoS)作為最常見的互聯(lián)網(wǎng)攻擊手段,會(huì)嚴(yán)重浪費(fèi)網(wǎng)絡(luò)資源��。包括TCP SYN flood攻擊��、ICMP flood攻擊以及DNS flood攻擊在內(nèi)的多種DoS攻擊會(huì)對(duì)網(wǎng)絡(luò)用戶的正常使用造成影響��。傳統(tǒng)的泛洪式DoS攻擊�,以“sledge-hammer”方式向目的主機(jī)發(fā)送大量高速率的攻擊包,造成嚴(yán)重的網(wǎng)絡(luò)擁塞����,致使正常合法用戶的數(shù)據(jù)包無法到達(dá)目的主機(jī)����。針對(duì)這種大量數(shù)據(jù)包的特性�,Yau等(Yau, D.K.Y.,Lui, J.C.S., Liang,F.,Yeung, Y.Defending against distributed denial-of-serviceattacks with max-min fair server-centric router throttles.1EEE/ACM Trans.Netw.�����,13����,29-42)提出了相應(yīng)的防御方案,而 T.Y.Wong 等(Τ.Y.Wong, K.T.Law, JohnC.S.Lui, Μ.H.Wong, An efficient distributed algorithm to identify and tracebackddos traffic [J].The Computer Journal, 2006���,49 (4): 418-442.)提出了一種更為高效的辨識(shí)DoS攻擊與溯源的方法�����。
[0003]隨后����,DoS攻擊出現(xiàn)了許多變種����,較為常見與棘手的一種攻擊一低速率拒絕服務(wù)攻擊(Low-rate Denial of service, LDoS),利用TCP擁塞控制機(jī)制的設(shè)計(jì)漏洞,對(duì)目的主機(jī)進(jìn)行低速率周期性的發(fā)送惡意攻擊包����,使得網(wǎng)絡(luò)長(zhǎng)期處于極低吞吐量,甚至為零吞吐量的狀態(tài)�����,嚴(yán)重影響了網(wǎng)絡(luò)合法用戶的正常使用����。由于其發(fā)包速率低、數(shù)量少���,采用以往的檢測(cè)方案很難有效檢測(cè)出該攻擊���,于是LDoS攻擊成為較難解決的網(wǎng)絡(luò)安全問題之一。Aleksandar Kuzmanovic 和 Edward ff.Knightly (Low-rate TCP-targeted denialof service attacks: the shrew vs.the mice and elephants[C]//Proceedings ofthe2003conference on Applications, technologies, architectures, and protocols forcomputer communications.ACM, 2003:75-86.)給出了相應(yīng)的分析與研究�����,何炎祥(何炎祥����,et al.〃低速率拒絕服務(wù)攻擊研究綜述.〃計(jì)算機(jī)科學(xué)與探索2.1 (2008): 1-19.)也給出了綜述類的總結(jié)分析���,將LDoS攻擊根據(jù)具體的攻擊特征細(xì)化、分類����。Chia-Wei Chang等(Chang, Chia-ffei, et al.〃The taming of the shrew:mitigating low-rate TCP-targetedattack."Network and Service Management, IEEE Transactions on7.1(2010):1-13.)提出了一種SAP方案以發(fā)現(xiàn)潛在的攻擊者,Changwang Zhang等(Zhang, Changwang, etal."Flow level detection and filtering of low-rate DDoS."ComputerNetworks (2012).)也給出了一種基于CPR的度量標(biāo)準(zhǔn)����,用于對(duì)每個(gè)數(shù)據(jù)流進(jìn)行攻擊行為檢測(cè)。
【發(fā)明內(nèi)容】
[0004]本發(fā)明所要解決的技術(shù)問題是���,提供一種檢測(cè)效率高����、誤判率低��、實(shí)施方便�、易于擴(kuò)展的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法。
[0005]本發(fā)明的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法包括以下步驟:
[0006]I)數(shù)據(jù)流掃描模塊記錄進(jìn)入該路由器的每個(gè)數(shù)據(jù)包的流標(biāo)識(shí)與到達(dá)時(shí)刻����;
[0007]2)數(shù)據(jù)流特征庫檢測(cè)模塊查找數(shù)據(jù)流特征庫��,判斷該數(shù)據(jù)包的流標(biāo)識(shí)是否已經(jīng)存在于數(shù)據(jù)流特征庫中,若沒有則將該數(shù)據(jù)流的特征信息先存入數(shù)據(jù)流特征庫���,然后直接跳到第5)步����,否則繼續(xù)執(zhí)行以下步驟����;
[0008]3)數(shù)據(jù)分析處理模塊根據(jù)該數(shù)據(jù)包的到達(dá)時(shí)刻與數(shù)據(jù)流特征庫中的相應(yīng)數(shù)據(jù),計(jì)算該數(shù)據(jù)流最新的前項(xiàng)����、后項(xiàng)比以及周期等,將計(jì)算得的最新數(shù)據(jù)存入數(shù)據(jù)流特征庫�;
[0009]4)攻擊檢測(cè)模塊判斷該數(shù)據(jù)流是否符合攻擊特征庫中的特征,如若符合�����,計(jì)算出最新攻擊時(shí)長(zhǎng)����、周期存入數(shù)據(jù)流特征庫并丟棄該包�,否則繼續(xù)執(zhí)行以下步驟�����;[0010]5)進(jìn)入路由器的隊(duì)列模塊����,根據(jù)相應(yīng)的隊(duì)列丟棄規(guī)則排隊(duì)。
[0011]進(jìn)一步的����,所述數(shù)據(jù)流掃描模塊記錄的數(shù)據(jù)包流標(biāo)識(shí)是指唯一標(biāo)識(shí)某條數(shù)據(jù)流的特征值,一般是數(shù)據(jù)包IP報(bào)頭中的標(biāo)識(shí)字段�,也可以用其他字段的組合去標(biāo)識(shí)。
[0012]進(jìn)一步的�,所述的數(shù)據(jù)流掃描模塊記錄的數(shù)據(jù)包的到達(dá)時(shí)刻是指包到達(dá)路由器的時(shí)間點(diǎn),并非其進(jìn)入路由器隊(duì)列或被路由器轉(zhuǎn)發(fā)的時(shí)刻�����,數(shù)據(jù)包也可能在隊(duì)列中被丟棄����,因此這里記錄的是所有到達(dá)路由器的數(shù)據(jù)包,并非被路由器所轉(zhuǎn)發(fā)的數(shù)據(jù)包。
[0013]進(jìn)一步的����,于所述的數(shù)據(jù)流特征庫用于存取各個(gè)數(shù)據(jù)流的特征信息。
[0014]進(jìn)一步的����,所述的數(shù)據(jù)流特征信息包括:數(shù)據(jù)流的前項(xiàng)比����、后項(xiàng)比、周期��、突發(fā)性攻擊的持續(xù)時(shí)間�����。
[0015]進(jìn)一步的�����,所述的數(shù)據(jù)分析處理模塊�,其按照公式rai=Ai+1/ Ai與!Tei=Ai/ Δ i+1計(jì)算前項(xiàng)比與后項(xiàng)比;其中����,Ai+1=ti+「ti; rai為Ai為兩個(gè)相鄰包到達(dá)的時(shí)間間隔����,ti為該數(shù)據(jù)包到達(dá)路由器的時(shí)間���,rai為Λ i的前項(xiàng)比���,&為Ai的后項(xiàng)比。
[0016]進(jìn)一步的�����,數(shù)據(jù)分析處理模塊根據(jù)該數(shù)據(jù)包的流標(biāo)識(shí)查詢數(shù)據(jù)流特征庫�����,取出對(duì)應(yīng)的特征值信息�,根據(jù)該數(shù)據(jù)包的到達(dá)時(shí)刻tk+1,計(jì)算Ak+1=tk+1_tk ;
[0017]計(jì)算!Td5=Aw/ Ak,如果ι.Λ> δ�。,則將其前一個(gè)數(shù)據(jù)包到達(dá)時(shí)刻tk加入到C[m]集合中��,前一個(gè)數(shù)據(jù)包即為某次突發(fā)性攻擊的最后一個(gè)包�����,此時(shí),用C[m]與A[n]的最后一個(gè)元素相減即可得到該次突發(fā)性攻擊的持續(xù)時(shí)間���,存入數(shù)據(jù)流特征庫�����;
[0018]計(jì)算rak=Ak/ Ak+1��,如果rak> δ a,則將其前一個(gè)數(shù)據(jù)包到達(dá)時(shí)刻tk加入到A[n]集合中,前一個(gè)數(shù)據(jù)包即為該次突發(fā)性攻擊的第一個(gè)包�,此時(shí),A[n]集合中后兩個(gè)時(shí)刻差即為最近兩次攻擊的時(shí)間間隔��,即攻擊周期�����,存入數(shù)據(jù)流特征庫��;
[0019]某個(gè)包到達(dá)后所計(jì)算的前后項(xiàng)比能同時(shí)超過門限值����。
[0020]進(jìn)一步的,所述的攻擊特征庫用于存取人工設(shè)置的參數(shù)值,及后項(xiàng)比與前項(xiàng)比的門限值���。
[0021]進(jìn)一步的���,所述的攻擊檢測(cè)模塊利用計(jì)算所得的前項(xiàng)比、后項(xiàng)比與攻擊特征庫閾值比較�,規(guī)則為:
[0022]如果rek(k為自然數(shù))比δ。大�,則將Pk的相應(yīng)時(shí)刻tk存入潛在攻擊起始端集合C[m]中;
[0023]如果rak(k為自然數(shù))比33大��,將Pk相應(yīng)的tk存入潛在攻擊結(jié)束端集合A [η]中����;
[0024]獲得集合C[m]與A[n]后取出A[n]中第一個(gè)元素A[l],遍歷C[m]中元素,取得第一個(gè)大于A[l]的元素C[kJ,則時(shí)間段[A[l],C[kJ]即為該數(shù)據(jù)流的第一個(gè)攻擊周期�,攻擊持續(xù)時(shí)長(zhǎng)LfCDg-Atl];同理,C[m]中第一個(gè)大于A[2]的元素C[k2]與A[2]共同構(gòu)成數(shù)據(jù)流的第二個(gè)攻擊周期���,攻擊持續(xù)時(shí)*L2=C[k2]-A[2]�����,以此類推���;
[0025]攻擊間隔用八[2]-八[1]���,八[3]-八[2],直至八[11]-八[11-1]計(jì)算而得����。
[0026]進(jìn)一步的,所述的攻擊類型包括:基于超時(shí)重傳的LDoS同步攻擊�、基于超時(shí)重傳的LDoS異步攻擊。
[0027]本發(fā)明相比現(xiàn)有技術(shù)具有如下優(yōu)點(diǎn):
[0028]( I)處理簡(jiǎn)單快速�����,時(shí)間花銷低����。
[0029](2)可以根據(jù)實(shí)際情況調(diào)整門限值��,使誤判率降低�,達(dá)到最好的檢測(cè)效果。
[0030](3)邏輯模塊全部集成在路由器內(nèi)部���,無需硬件模塊�����,方便操作�。
[0031](4)對(duì)于不同類型的LDoS攻擊,只需更新攻擊特征庫即可�����,易于擴(kuò)展�����。
【專利附圖】
【附圖說明】
[0032]圖1為本發(fā)明方法的工作流程圖�����;
[0033]圖2為本發(fā)明方法所基于的系統(tǒng)模塊構(gòu)成圖����;
[0034]圖3為基于超時(shí)重傳的LDoS同步攻擊模型圖;
[0035]圖4為基于超時(shí)重傳的LDoS異步攻擊模型圖����;
【具體實(shí)施方式】
[0036]面結(jié)合附圖1與2和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述:
[0037]1、路由器接收來自網(wǎng)絡(luò)數(shù)據(jù)流的包����。凡是到達(dá)路由器的包都被記錄��。取出該包IP頭中的流標(biāo)識(shí)字段作為流標(biāo)識(shí)�,并記錄該包到達(dá)路由器的時(shí)刻����。
[0038]2、數(shù)據(jù)流特征庫檢測(cè)模塊查找數(shù)據(jù)流特征庫����,判斷該流標(biāo)識(shí)是否已經(jīng)存在于數(shù)據(jù)流特征庫中,若沒有則將該數(shù)據(jù)流的特征信息先存入數(shù)據(jù)流特征庫�,然后將包傳入隊(duì)列模塊,否則將數(shù)據(jù)包���、流標(biāo)識(shí)以及到達(dá)時(shí)刻傳入數(shù)據(jù)分析模塊�����;
[0039]3、數(shù)據(jù)分析處理模塊根據(jù)該數(shù)據(jù)包的到達(dá)時(shí)刻與數(shù)據(jù)流特征庫中的相應(yīng)數(shù)據(jù)���,計(jì)算該數(shù)據(jù)流最新的前項(xiàng)����、后項(xiàng)比以及周期等,將計(jì)算得的最新數(shù)據(jù)存入數(shù)據(jù)流特征庫����;
[0040]4、攻擊檢測(cè)模塊判斷前項(xiàng)比����、后項(xiàng)比是否超過相應(yīng)門限值,如若超過����,計(jì)算出最新攻擊時(shí)長(zhǎng)、周期存入數(shù)據(jù)流特征庫并丟棄該包��,否則將數(shù)據(jù)包傳入隊(duì)列模塊�;
[0041]5、路由器的隊(duì)列模塊��,根據(jù)相應(yīng)的隊(duì)列丟棄規(guī)則排隊(duì)��。
[0042]本發(fā)明的各個(gè)模塊具體功能與工作方式如下:
[0043]1����、數(shù)據(jù)流掃描模塊
[0044]記錄每個(gè)數(shù)據(jù)包的信息:數(shù)據(jù)流標(biāo)識(shí)與該數(shù)據(jù)包到達(dá)路由器的時(shí)刻����。將所記錄的數(shù)據(jù)包信息傳送給數(shù)據(jù)流特征庫檢測(cè)模塊��。
[0045]2��、數(shù)據(jù)流特征庫檢測(cè)模塊
[0046]判斷該數(shù)據(jù)包所在的數(shù)據(jù)流在有效時(shí)間內(nèi)是否到達(dá)過該路由器�,即判斷該數(shù)據(jù)包的流標(biāo)識(shí)是否已存入數(shù)據(jù)流特征庫。如果未在數(shù)據(jù)流特征庫中���,則先將其記錄在庫中����,再將該數(shù)據(jù)包直接傳入路由器的隊(duì)列模塊�����。如果在數(shù)據(jù)流特征庫中���,則進(jìn)入數(shù)據(jù)分析處理模塊�。
[0047]3���、數(shù)據(jù)流特征庫[0048]用于存儲(chǔ)進(jìn)入該路由器的數(shù)據(jù)流的特征信息�����,包括流標(biāo)識(shí)�、該數(shù)據(jù)流中各個(gè)數(shù)據(jù)包到達(dá)時(shí)刻����、數(shù)據(jù)流前項(xiàng)比、后項(xiàng)比以及攻擊持續(xù)時(shí)長(zhǎng)�����、周期等信息�。
[0049]4、數(shù)據(jù)分析處理模塊
[0050]數(shù)據(jù)分析處理模塊是本檢測(cè)模型的核心模塊��。從數(shù)據(jù)流特征庫中取出該數(shù)據(jù)流的特征信息�,根據(jù)最新數(shù)據(jù)包的到達(dá)時(shí)刻重新計(jì)算前項(xiàng)比、后項(xiàng)比以及數(shù)據(jù)流的周期���。將所得的新結(jié)果存入數(shù)據(jù)流特征庫�。
[0051]5��、攻擊檢測(cè)模塊
[0052]根據(jù)最新計(jì)算的結(jié)果,與攻擊特征庫中的閾值對(duì)比�。如果匹配,則認(rèn)為該數(shù)據(jù)流為攻擊數(shù)據(jù)流�,將該數(shù)據(jù)包丟棄。如果不匹配��,則認(rèn)為其為合法用戶的正常數(shù)據(jù)流�,將數(shù)據(jù)包轉(zhuǎn)入路由器的隊(duì)列模塊。
[0053]6���、攻擊特征庫
[0054]存儲(chǔ)可以人工設(shè)置相應(yīng)的參數(shù)值���,即用于匹配的攻擊流特征數(shù)據(jù)。
[0055]7���、定時(shí)清除模塊
[0056]可以人工設(shè)置��,用于定時(shí)清除數(shù)據(jù)流特征庫中已經(jīng)喪失時(shí)效性的數(shù)據(jù)流特征信息�����。避免數(shù)據(jù)流特征庫中的數(shù)據(jù)越來越龐大冗雜�。
[0057]數(shù)據(jù)分析處理模塊的處理算法如下:
[0058]定義Pi為第i個(gè)到達(dá)路由器的包�����,令\為該數(shù)據(jù)包到達(dá)路由器的時(shí)間。因此���,兩個(gè)相鄰包到達(dá)的時(shí)間間隔可以用Ai描述,如下公式所示:
[0059]Δ I=H1
[0060]定義rci為Ai的后項(xiàng)比��,rai為的Ai前項(xiàng)比:
[0061]rci= Δ y Δ i+1
[0062]rai=AiVAi
[0063]根據(jù)攻擊包周期發(fā)送的特征�����,當(dāng)突發(fā)性攻擊結(jié)束的時(shí)刻的將變大��。相應(yīng)地����,rai的峰值意味著某次突發(fā)性攻擊的開始。
[0064]設(shè)δ��。為L(zhǎng)i的門限值�����,δ ^為rai的門限值����。計(jì)算出Δ Δ 2���,Δ 3...Δ廣.以及rcl, rc2, rni…和ral, ra2, ra3*“rai...,與門限值進(jìn)行比較。比門限值大的則具有潛在的攻擊特征����。即如果rck(1?=1,2�����,3...)比δ����。大,則將Pk的相應(yīng)時(shí)刻tk存入潛在攻擊起始端集合C[m]中:
[0065]C[m]=tk m=l, 2�,3...[0066]m代表集合C中的第m個(gè)元素。理論上�,Pk代表該次突發(fā)性攻擊的最后一個(gè)攻擊包,tk代表該包到達(dá)的時(shí)刻����。
[0067]比較ral, ra2, ra3…rai…與δ a,如果rak (k=l, 2�����,3...)比δ a大,將Pk相應(yīng)的tk存入潛在攻擊結(jié)束端集合A [η]中:
[0068]A[n]=tk η=1, 2�����,3...[0069]η代表集合A中的第η個(gè)元素�。Pk可能是該次突發(fā)性攻擊的第一個(gè)包���。
[0070]獲得集合C[m]與A[η]后取出A[η]中第一個(gè)元素A[I]�����,遍歷C[m]中元素�,取得第一個(gè)大于A[l]的元素C[kJ�,則時(shí)間段[A[l],C[kJ]即為該數(shù)據(jù)流的第一個(gè)攻擊周期,攻擊持續(xù)時(shí)長(zhǎng)I^CtkJ-AEl]�����。同理�����,C[m]中第一個(gè)大于A[2]的元素C[k2]與A[2]共同構(gòu)成數(shù)據(jù)流的第二個(gè)攻擊 周期,攻擊持續(xù)時(shí)*L2=C[k2]-A[2]����,以此類推……[0071] 攻擊間 隔可以用A[2]-A[1],A[3]_A[2]�����,……計(jì)算而得��。
【權(quán)利要求】
1.一種基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法����,其特征是:該方法步驟為 .1)數(shù)據(jù)流掃描模塊記錄進(jìn)入該路由器的每個(gè)數(shù)據(jù)包的流標(biāo)識(shí)與到達(dá)時(shí)刻; .2)數(shù)據(jù)流特征庫檢測(cè)模塊查找數(shù)據(jù)流特征庫��,判斷該數(shù)據(jù)包的流標(biāo)識(shí)是否已經(jīng)存在于數(shù)據(jù)流特征庫中�����,若沒有則將該數(shù)據(jù)流的特征信息先存入數(shù)據(jù)流特征庫����,然后直接跳到第5)步,否則繼續(xù)執(zhí)行以下步驟����; .3)數(shù)據(jù)分析處理模塊根據(jù)該數(shù)據(jù)包的到達(dá)時(shí)刻與數(shù)據(jù)流特征庫中的相應(yīng)數(shù)據(jù)����,計(jì)算該數(shù)據(jù)流最新的前項(xiàng)����、后項(xiàng)比以及周期,將計(jì)算得的最新數(shù)據(jù)存入數(shù)據(jù)流特征庫��; .4)攻擊檢測(cè)模塊判斷該數(shù)據(jù)流是否符合攻擊特征庫中的特征���,如若符合,計(jì)算出最新攻擊時(shí)長(zhǎng)����、周期存入數(shù)據(jù)流特征庫并丟棄該包,否則繼續(xù)執(zhí)行以下步驟�����; .5)進(jìn)入路由器的隊(duì)列模塊��,根據(jù)相應(yīng)的隊(duì)列丟棄規(guī)則排隊(duì)�����。
2.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法,其特征是:所述的數(shù)據(jù)流掃描模塊記錄的數(shù)據(jù)包流標(biāo)識(shí)是指唯一標(biāo)識(shí)某條數(shù)據(jù)流的特征值�。
3.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法,其特征是:所述的數(shù)據(jù)流掃描模塊記錄的數(shù)據(jù)包的到達(dá)時(shí)刻是指包到達(dá)路由器的時(shí)間點(diǎn)����。
4.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法,其特征是:所述的數(shù)據(jù)流特征庫用于存取各個(gè)數(shù)據(jù)流的特征信息��。
5.根據(jù)權(quán)利要求4所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法����,其特征是:所述的數(shù)據(jù)流特征信息包括:數(shù)據(jù)流的前項(xiàng)比、后項(xiàng)比���、周期���、突發(fā)性攻擊的持續(xù)時(shí)間。
6.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法��,其特征是:所述的數(shù)據(jù)分析處理模塊����,其按照公式rai= Δ i+1/ Δ i與rc;i= Ai/Δ i+1計(jì)算前項(xiàng)比與后項(xiàng)比����;其中����,Λ?+1=\+「\,rai為Ai為兩個(gè)相鄰包到達(dá)的時(shí)間間隔��,\為該數(shù)據(jù)包到達(dá)路由器的時(shí)間���,rai為Ai的前項(xiàng)比�����,rci為Ai的后項(xiàng)比��。
7.根據(jù)權(quán)利要求6所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法,其特征是:所述數(shù)據(jù)分析處理模塊根據(jù)該數(shù)據(jù)包的流標(biāo)識(shí)查詢數(shù)據(jù)流特征庫�����,取出對(duì)應(yīng)的特征值信息�,根據(jù)該數(shù)據(jù)包的到達(dá)時(shí)刻tk+1,計(jì)算Ak+1=tk+1_tk ; 計(jì)算r�。,= Δ k+1/ Δ k����,如果rλ> δ����。,則將其前一個(gè)數(shù)據(jù)包到達(dá)時(shí)刻tk加入到C [m]集合中����,前一個(gè)數(shù)據(jù)包即為某次突發(fā)性攻擊的最后一個(gè)包,此時(shí)�,用C[m]與A[n]的最后一個(gè)元素相減即可得到該次突發(fā)性攻擊的持續(xù)時(shí)間,存入數(shù)據(jù)流特征庫����; 計(jì)算rak= Λ k/ Λ k+1,如果rak> δ a�����,則將其前一個(gè)數(shù)據(jù)包到達(dá)時(shí)刻tk加入到A [η]集合中�,前一個(gè)數(shù)據(jù)包即為該次突發(fā)性攻擊的第一個(gè)包,此時(shí)��,A[η]集合中后兩個(gè)時(shí)刻差即為最近兩次攻擊的時(shí)間間隔,即攻擊周期���,存入數(shù)據(jù)流特征庫����; 某個(gè)包到達(dá)后所計(jì)算的前后項(xiàng)比不能同時(shí)超過門限值��。
8.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法����,其特征是:所述的攻擊特征庫用于存取人工設(shè)置的參數(shù)值,及后項(xiàng)比與前項(xiàng)比的門限值����。
9.根據(jù)權(quán)利要求7或8所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法,其特征是:所述的攻擊檢測(cè)模塊利用計(jì)算所得的前項(xiàng)比�����、后項(xiàng)比與攻擊特征庫閾值比較��,規(guī)則為: 如果rλ(1?=1�,2����,3…)比δ�。大����,則將Pk的相應(yīng)時(shí)刻tk存入潛在攻擊起始端集合C [m]中;如果rak(k=l����,2,3…)比33大��,將Pk相應(yīng)的tk存入潛在攻擊結(jié)束端集合A[n]中��; 獲得集合C[m]與A[n]后取出A[n]中第一個(gè)元素A[l]�����,遍歷C[m]中元素�����,取得第一個(gè)大于A[l]的元素C[kJ�,則時(shí)間段[A[l],C[kJ]即為該數(shù)據(jù)流的第一個(gè)攻擊周期,攻擊持續(xù)時(shí)長(zhǎng)I^CtkJ-Atl]�。同理��,C[m]中第一個(gè)大于A[2]的元素C[k2]與A[2]共同構(gòu)成數(shù)據(jù)流的第二個(gè)攻擊周期�����,攻擊持續(xù)時(shí)*L2=C[k2]-A[2]����,以此類推�; 攻擊間隔用A[2]-A[l],A[3]-A[2],直至A[n]-A[n-1]計(jì)算而得��。
10.根據(jù)權(quán)利要求8所述的基于數(shù)據(jù)流周期監(jiān)測(cè)的LDoS攻擊檢測(cè)及防御方法����,其特征是:所述的攻擊類型包括基于超時(shí)重傳的LDoS同步攻擊、基于超時(shí)重傳的LDoS異步攻擊��。
【文檔編號(hào)】H04L29/06GK103546465SQ201310482763
【公開日】2014年1月29日 申請(qǐng)日期:2013年10月15日 優(yōu)先權(quán)日:2013年10月15日
【發(fā)明者】劉云, 丁錕, 沈波, 亓大鵬 申請(qǐng)人:北京交通大學(xué)長(zhǎng)三角研究院