基于互相關(guān)的LDDoS攻擊時(shí)間同步和流量匯聚方法
【專利摘要】本發(fā)明涉及一種基于互相關(guān)的LDDoS攻擊時(shí)間同步和流量匯聚方法。本發(fā)明在于LDDoS(Low-rate?Distributed?Denial?of?Service)攻擊的流量聚合和時(shí)間同步�����,此LDDoS攻擊是由大量有組織的LDDoS攻擊集合而成��。信號(hào)互相關(guān)算法是為了保證每個(gè)分布式攻擊脈沖在受害者端聚合并準(zhǔn)確的同步以形成一個(gè)強(qiáng)大的脈沖���。模擬結(jié)果顯示用信號(hào)互相關(guān)算法去調(diào)整的攻擊脈沖的LDDoS攻擊效果顯著增強(qiáng)����。
【專利說明】基于互相關(guān)的LDDoS攻擊時(shí)間同步和流量匯聚方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種低速率拒絕服務(wù) LDDoS(Low-rate Distributed Denial of Service)攻擊的方法,它提高了 LDDoS攻擊的效果�。它屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域入侵檢測(cè) (Intrusion Detection)【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002] 拒絕服務(wù)攻擊是一種使受攻擊的主機(jī)���、服務(wù)器�����、路由器等網(wǎng)絡(luò)設(shè)備無法正常提供 或接受服務(wù)的蠻力攻擊。攻擊者通過向受攻擊者發(fā)送大量毫無價(jià)值的數(shù)據(jù)包來占用大量網(wǎng) 絡(luò)資源(如網(wǎng)絡(luò)帶寬或CPU周期等)����,以此達(dá)到使受攻擊者主機(jī)系統(tǒng)無法正常運(yùn)轉(zhuǎn)甚至癱瘓 的目的,對(duì)于主機(jī)性能指標(biāo)不高的受攻擊者來說��,DoS攻擊的效果會(huì)更好����、更明顯。實(shí)施DoS 攻擊不需要十分復(fù)雜的技巧�,并且隨著軟件工藝的提高,開發(fā)DoS攻擊工具越來越容易�����,網(wǎng) 絡(luò)的普及也使普通人可以很容易的下載到現(xiàn)成易用的攻擊工具。攻擊者甚至不需要了解復(fù) 雜的網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)漏洞�����,僅通過簡(jiǎn)單的操作就可以實(shí)施一次DoS攻擊�����。DoS攻擊可以作為 前奏配合完成其他形式的攻擊���,DoS攻擊者還可以通過偽造 IP地址隱藏自己的身份使對(duì)方 很難追蹤攻擊來源����。
[0003] 隨著網(wǎng)絡(luò)性能不斷改進(jìn)�,帶寬的大幅提高使得單源DoS攻擊的效果大打折扣,于 是出現(xiàn)了分布式拒絕服務(wù)攻擊��。DDoS攻擊就是通過大量分布在各處的主機(jī)共同實(shí)施DoS攻 擊�����,是DoS攻擊的集群攻擊方式��。DDoS攻擊相對(duì)于傳統(tǒng)的DoS攻擊實(shí)施起來更復(fù)雜�����、攻擊源 更分散、攻擊流量更大����,因此更難檢測(cè)和防范,攻擊所產(chǎn)生的危害也更大��。自從1999年首次 發(fā)現(xiàn)DDoS攻擊以來����,截止至今DDoS攻擊每年都給全球經(jīng)濟(jì)造成上百億美元的損失��,現(xiàn)在已 經(jīng)成為Internet面臨的最嚴(yán)峻的威脅之一�。2002年,作為互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)暮诵?-13 臺(tái)根域名服務(wù)器--遭受到DDoS攻擊�����,致使其中9臺(tái)服務(wù)器徹底癱瘓����,服務(wù)中斷長(zhǎng)達(dá)1小 時(shí)。2007年2月�,6臺(tái)根域名服務(wù)器再次受到DDoS攻擊��,其中兩臺(tái)受到了很明顯的影響����,攻 擊時(shí)間長(zhǎng)達(dá)8小時(shí)���。這些著名的案例表明相對(duì)于傳統(tǒng)的DoS攻擊�����,DDoS攻擊是一種更加強(qiáng) 悍的攻擊手段��。
[0004] LDDoS攻擊是DDoS攻擊的另外一種形式�。與DDoS攻擊相比它具有平均流量小���,隱 蔽性強(qiáng)的特點(diǎn)��,產(chǎn)生的破壞影響比較大�����,容易被黑色產(chǎn)業(yè)鏈利用�,作為盈利的手段�,給經(jīng)濟(jì) 造成巨大的損失�����。
[0005] 2001年,低速率拒絕服務(wù)攻擊首次由AstaNetworks公司在Abilene骨干網(wǎng)發(fā)現(xiàn)���。 通過6個(gè)月的流量分析,研究人員發(fā)現(xiàn)這種具有脈沖特征的新型DoS攻擊能夠長(zhǎng)時(shí)間存在 并且不能被現(xiàn)有的檢測(cè)機(jī)制所發(fā)現(xiàn)���,因此具有極高的隱蔽性���,這種攻擊不一定能使目標(biāo)系 統(tǒng)癱瘓,但是可以大大降低系統(tǒng)的性能�。從此以后,針對(duì)LDoS的攻擊�����、檢測(cè)防御成為網(wǎng)絡(luò) 安全研究領(lǐng)域的新課題��。2003年在計(jì)算機(jī)網(wǎng)絡(luò)方面的頂級(jí)會(huì)議SIGCCMM上���,Rice大學(xué)的 Aleksandar Kuzmanovic首次提出了針對(duì)TCP協(xié)議的LDoS攻擊并且給出了一個(gè)數(shù)學(xué)模型和 相關(guān)測(cè)試,為后面的研究奠定了基礎(chǔ)���。2004的ICNP(IEEE International Conference on Network Protocols)會(huì)議以及 2005 年的 INF0C0M會(huì)議上��,Guirguis 提出了 RoQ(Reduction of Quality)攻擊��,利用TCP協(xié)議中擁塞控制以及路由器隊(duì)列管理機(jī)制中的漏洞降低路由 器的性能�。2005 年的 NDSS (Network and Distributed System Security Symposium)會(huì)議 上,Xiapu Luo又提出了 ro〇S(Pulsing DoS)攻擊����,還有其他形式的LDoS攻擊但原理都是 類似的。LDDoS是LDoS的分布式攻擊形式����,如同DDoS與DoS的關(guān)系一樣,LDDoS攻擊就是 LDoS的集群攻擊方式��。
[0006] 針對(duì)LDDoS的檢測(cè)和防御方法更多����,對(duì)于傳統(tǒng)DDoS攻擊的一般檢測(cè)方法主要有基 于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)這兩種。但這兩種檢測(cè)方法都是基于 DDoS長(zhǎng)時(shí)間�、高強(qiáng)度的網(wǎng)絡(luò)流量異常統(tǒng)計(jì)特性,而LDDoS并沒有這樣的特征���,所以傳統(tǒng)的檢 測(cè)方式并不能檢測(cè)出LDDoS�。針對(duì)LDDoS,YU CHEN���,KAI HWANG等提出了基于數(shù)字信號(hào)處理 的檢測(cè)方法�����,主要思想是提取流量的頻域特性來進(jìn)行分析����,開創(chuàng)了基于信號(hào)處理方法的檢 測(cè)���。之后Yu-KwongKwok等又提出了基于"隨機(jī)丟包模式"的算法等��。
[0007] 目前國(guó)內(nèi)外的研究主要集中在檢測(cè)和防御上�����,而針對(duì)LDDoS流量同步和匯聚的研 究還較少,主要是Ying Zhang提出了利用ICMP時(shí)間戳報(bào)文對(duì)各攻擊流量進(jìn)行時(shí)間同步的 方法�。LDDoS目前沒有在網(wǎng)絡(luò)中大規(guī)模爆發(fā),大多數(shù)對(duì)它的研究還停留在理論和仿真方面�, 沒有在實(shí)際網(wǎng)絡(luò)中進(jìn)行測(cè)試,因此缺乏真實(shí)的實(shí)際數(shù)據(jù)���。盡管如此���,作為一種新型的��、更具 威脅�����、更隱敝的DDoS攻擊方式�,LDDoS正受到越來越多學(xué)者的關(guān)注�,通過細(xì)致研究它的攻擊 行為,分析攻擊原理�����,有利于今后提出更有效的檢測(cè)和防御方法�����。
【發(fā)明內(nèi)容】
[0008] 在LDDoS攻擊中����,攻擊脈沖被分割成好多小振幅脈沖。這些小脈沖由不同攻擊者 發(fā)送并在目標(biāo)端完成聚合。攻擊脈沖的形成主要是通過以下幾種分割大脈沖的方法�。
[0009] (1)脈沖幅度成倍減少,攻擊周期沒變?nèi)绺綀D1所示�����。假設(shè)攻擊目標(biāo)的吞吐量是 C��,攻擊者命名為1到n����,LDDoS攻擊周期為T,每個(gè)攻擊峰值為C/n����,每個(gè)攻擊脈沖可以在受 害者端疊加形成一個(gè)高速率攻擊脈沖。
[0010] (2)脈沖峰值不變但是攻擊周期成倍增加�,如附圖2所示。N個(gè)攻擊者��,攻擊周期 為η攻擊峰值R��。每個(gè)攻擊脈沖可以在受害者端疊加�����,形成一個(gè)高速攻擊脈沖周期為T�。
[0011] 每個(gè)攻擊脈沖必須嚴(yán)格遵守時(shí)間序列才能形成理想的LDDoS攻擊。然而每個(gè)攻擊 者都分布在不同的網(wǎng)絡(luò)中����,攻擊者到目標(biāo)間的距離不確定。所以要確保每個(gè)攻擊脈沖可以 在經(jīng)過不同網(wǎng)絡(luò)傳輸后匯聚形成一個(gè)強(qiáng)攻擊脈沖是一項(xiàng)非常困難的技術(shù)��。如果�,每個(gè)攻擊 脈沖都不能同步和匯聚,LDDoS攻擊將會(huì)失去它們的攻擊特性����,攻擊效果會(huì)被嚴(yán)重削弱。
[0012] 附圖1和附圖2說明LDDoS攻擊的時(shí)間同步和流量匯聚�,在參與攻擊的每個(gè)脈沖 需要嚴(yán)格的時(shí)間關(guān)系。每個(gè)脈沖都與其它密切相關(guān)����。因此,互相關(guān)函數(shù)被看作是實(shí)現(xiàn)時(shí)間 同步和流量匯聚的關(guān)鍵技術(shù)���。
[0013] 互相關(guān)是估計(jì)兩個(gè)序列相關(guān)程度的標(biāo)準(zhǔn)方法�?��?紤]兩個(gè)LDDoS攻擊序列x(i)��, y(i)�����,i = l��,2�,"·,Ν-1����。兩個(gè)延遲為d的LDDoS攻擊序列的互相關(guān)r定義為
[0014]
【權(quán)利要求】
1. 一種基于互相關(guān)的LDDoS(Low-rate Distributed Denial of Service)攻擊的時(shí)間 同步和流量匯聚的方法,其特征在于:是通過以下步驟實(shí)現(xiàn)的: (1) 估計(jì)各處鏈路的RTT ; (2) 設(shè)計(jì)攻擊波形��; (3) 發(fā)送攻擊波形參數(shù)到各攻擊端�����,各攻擊端產(chǎn)生攻擊脈沖�����; (4) 對(duì)各攻擊脈沖進(jìn)行采樣�����,用互相關(guān)算法計(jì)算各攻擊脈沖之間的相對(duì)延時(shí); (5) 調(diào)整攻擊時(shí)間以達(dá)到時(shí)間同步����; (6) 在檢測(cè)點(diǎn)采集數(shù)據(jù)��,判斷匯聚后的攻擊是否達(dá)到最佳��。
2. 根據(jù)權(quán)利要求1所述的基于互相關(guān)的LDDoS攻擊的時(shí)間同步和流量匯聚方法�,其特 征在于: 其中:步驟(1)要分別估算攻擊者到各攻擊端的RTT,各攻擊端到各攻擊目標(biāo)的RTT��,和 經(jīng)過攻擊目標(biāo)處的TCP連接的RTT�����。 步驟(2)所設(shè)計(jì)的波形要求為周期方波脈沖��,攻擊周期為T�����,脈沖幅度為R�,脈沖長(zhǎng)度為 L��。其中脈沖幅度R要足夠大以保證攻擊流量能夠堵塞鏈路�,脈沖長(zhǎng)度要足夠長(zhǎng)以保證正常 流量大量丟失�����,而過大的攻擊脈沖長(zhǎng)度同樣會(huì)使LDDoS成為DDoS�。 步驟(3)攻擊者首先將攻擊脈沖分割成較小的攻擊脈沖,然后由各攻擊端發(fā)送這種較 小的脈沖���,最后在攻擊目標(biāo)處重新匯聚成攻擊脈沖���。 步驟(4)是在受害端的上一跳路由監(jiān)測(cè)流量,每隔t秒的間隔對(duì)流量進(jìn)行取樣���,一個(gè)取 樣周期為T秒����。每個(gè)抽樣數(shù)據(jù)就成為一個(gè)離散的序列xn(i)��。 以Xi⑴為基準(zhǔn)��,分別計(jì)算每個(gè)序列與Xi⑴的相關(guān)序列r (d)��,
(1) 再分別統(tǒng)計(jì)rn(d)取最大值所對(duì)應(yīng)的dn的值。 步驟(5)根據(jù)步驟(4)計(jì)算出的< 的值���,分別調(diào)整各攻擊端發(fā)送攻擊脈沖的時(shí)間�。 步驟(6)采樣匯聚后的流量����,判斷攻擊波形是否以達(dá)到最佳�����,如不是重復(fù)步驟(4) (5) 直到達(dá)到最佳���。
3. 根據(jù)2所述的基于互相關(guān)的LDDoS攻擊的時(shí)間同步和流量匯聚方法����,可以用以下兩 種分割方式產(chǎn)生攻擊脈沖: (1)脈沖幅度減倍��,攻擊周期不變 假設(shè)攻擊目標(biāo)處的吞吐能力為C��,使用η個(gè)攻擊端實(shí)施LDDoS攻擊��,設(shè)定的攻擊周期為 T��。各個(gè)攻擊端同步發(fā)送峰值為R = C/n、周期為T的攻擊脈沖到目標(biāo)處�����,最終疊加形成峰值 為C����、周期為T的攻擊脈沖, ⑵脈沖幅度不變�,攻擊周期增倍 參數(shù)同上,各個(gè)攻擊端按照時(shí)間序列為〇�,T,2T����,3T,…�,(n-l)T,依次發(fā)送峰值為R = C���、周期為T*n的攻擊脈沖到目標(biāo)處�����,最終置加形成峰值為C���、周期為T的攻擊脈沖�����。流量完 好的匯聚之后�����,LDDoS就形成了類似于LDDoS的攻擊流量����,因此攻擊原理與LDDoS -樣��。
【文檔編號(hào)】H04L12/891GK104125194SQ201310143580
【公開日】2014年10月29日 申請(qǐng)日期:2013年4月24日 優(yōu)先權(quán)日:2013年4月24日
【發(fā)明者】吳志軍, 馬蘭, 岳猛 申請(qǐng)人:中國(guó)民航大學(xué)