基于信號互相關(guān)的LDoS攻擊檢測方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種計算機網(wǎng)絡安全技術(shù)���,尤其是針對低速率拒絕服務(LDoS)攻擊 的檢測��,可以高準確率的檢測出攻擊��。
【背景技術(shù)】
[0002] 進入2013年以來���,網(wǎng)絡安全的國際形勢風起云涌��,包括中國在內(nèi)的多國政府和 重要企業(yè)的網(wǎng)站均受到境外網(wǎng)絡犯罪組織的攻擊�����,國家互聯(lián)網(wǎng)應急中心在2013年5月6 日-13日一周內(nèi)處理的網(wǎng)絡安全事件就多達309起�����,其中有跨境網(wǎng)絡安全事件190起���。攻 擊者采用的攻擊手段中最常見,也是最有效的就是拒絕服務DoS (Denial of Service)攻擊����。 根據(jù)流量大小,DoS攻擊分為高速率洪水(Flood)攻擊和低速率地鼠(Shrew)攻擊��。也有 學者根據(jù)單位時間內(nèi)平均發(fā)包量的多少來區(qū)分低速率和高速率�����,比如澳大利亞迪肯大學的 Yang Xiang將1000packet/s定位為區(qū)分高速率和低速率的標準。"地鼠"類型的低速率DoS 攻擊���,又稱為LDoS (Low-rate Denial of Service)��,它的流量僅占正常流量的10-20 %�����。由 于該攻擊在時域(TimeDomain)上平均速率很低�����,流量占用的帶寬小���,很難被現(xiàn)有檢測手段 發(fā)現(xiàn)。所以��,它被形象地將其稱為"地鼠"分布式拒絕服務(ShrewDDoS)攻擊�;LDoS攻擊的 信號形式為周期性的脈沖����,又被稱為"脈沖調(diào)制"(Pulsing)攻擊;LDoS攻擊的最終表現(xiàn)形 式是降低被攻擊目標的服務質(zhì)量�,所以又被稱為"降質(zhì)"RoQ(Reduction of Quality)攻擊。 LDoS攻擊具有出色的躲避檢測能力,是網(wǎng)絡犯罪者最鐘愛的攻擊方式�����,也是網(wǎng)絡安全的主 要威脅之一�。
[0003] 一個LDoS攻擊可以用一個三元參數(shù)組(T���,L�,R)來描述����。其中:T為攻擊周期,它 是兩次連續(xù)的攻擊脈沖之間的時間間隔��,是通過來自可信賴源端估計的TCP RTO計時器執(zhí) 行情況來計算的��;L為脈沖寬度����,它描述了攻擊者持續(xù)發(fā)包的時間段;R為脈沖幅度��,它顯示 了攻擊流的最高速率���。
[0004] 為了獲得更高的吞吐量����,TCP協(xié)議使用帶固定增量的預定義的RTO值��。在單一 的TCP流中��,如果攻擊流量在往返時間RTT(Round-trip Time)時刻內(nèi)足夠?qū)е聰?shù)據(jù)包 (Packet)丟失時�����,這個TCP流將進入超時狀態(tài)����,并且嘗試在RTO時間后再發(fā)送一個新的數(shù)據(jù) 包。如果LDoS攻擊的周期大致等于這個TCP流的RTO時���,這個TCP流將持續(xù)丟失數(shù)據(jù)包而 不能夠退出超時狀態(tài)��,以至于其吞吐量大幅度下降 [3]���。
[0005] -個成功的LDDoS攻擊在保證不被檢測的情況下必須具有:a.以最小RTO時間或 者其整數(shù)倍為脈沖間隔為周期;b.足夠大的R誘使合法的TCP流丟包��;c.足夠長的L引起 重傳。LDDoS攻擊可以估計RTO時間來調(diào)整其攻擊周期����,周期性地發(fā)送攻擊脈沖當脈沖達到 最高速率R時,使得合法的TCP流試圖發(fā)送數(shù)據(jù)包到目的主機的網(wǎng)絡鏈路被嚴重的阻塞���,導 致合法的TCP流量被迫啟動擁塞控制。極大的降低它們的發(fā)包速率�,影響正常的服務請求 的響應時間,從而達到LDDoS的攻擊的目的���。如果R和L超過一定的值就存在被檢測機制 發(fā)現(xiàn)的可能���。因此攻擊采用分布式的方式,來自不同信道的小攻擊脈沖在特定位置匯聚成 一個大的攻擊脈沖�。這就需要精確的時間控制,這些小脈沖必然在周期T和脈沖長度L上 具有某種必然關(guān)系�。也就是說這些小脈沖相互之間有很高的相關(guān)性。針對這一特點����,本文 提出了基于信號互相關(guān)的檢測算法。預先構(gòu)造攻擊模型����,計算攻擊模型與采集的網(wǎng)絡流量 間的相關(guān)性�����,從相關(guān)序列中提取攻擊的各種特征以達到檢測的目的�����。
[0006] 自從2001年LDDoS被發(fā)現(xiàn)以來�����,引起了世界上很多研究者的關(guān)注����。國內(nèi)外學者針 對LDoS攻擊的研究取得很多成果但也存在一定問題�。
[0007] 在國際上,KUZMAN0VIC和KNIGHT最早對LDDoS的產(chǎn)生原理進行了比較詳細的分 析�����,并對LDDoS的周期脈沖特性進行了深入的研究�����,挖掘了 LDDoS攻擊產(chǎn)生溢出的方法,提 出了基于網(wǎng)絡的防御思想[3] ;CHENG首先提出了在頻率域(FrequencyDomain)利用累計 的歸一化功率普密度 NCPSD (Normalized Cumulative Power Spectrum Density)檢測 LDDoS 攻擊的方法[7] ;BARF0RD.P.和KLINE. J.等提出了采用信號處理的方法檢測網(wǎng)絡中異常 流量的方法[8] ;Gabriel Macidi-Ferndindez和Y. Zhang等比較完善的研究了在頻率域檢測 LDDoS攻擊的方法����,并在NS-2環(huán)境下做了仿真試驗[9] ;Xiapu Luo和Rocky K. C. Chang對 LDDoS攻擊的性能方面進行了仿真和試驗,并采用小波(Wavelet)技術(shù)在頻域中檢測LDDoS 攻擊���;Aleksandar Kuzmanovic 和 Edward W. Knightly 對面向 TCP 的 LDDoS 攻擊行和防范策 略進行了研究���。目前�����,國際上針對LDDoS的研究大都集中在其檢測和防御上�。
[0008] 在國內(nèi),北京郵電大學信息安全中心的楊義先教授領(lǐng)導的研究團隊研究了一種檢 測低速率拒絕服務攻擊的方法及裝置����,鈕心昕教授領(lǐng)導的研究小組研究了低速率拒絕服務 攻擊的三級檢測算法;武漢大學計算機學院的何炎祥教授帶領(lǐng)的研究小組開展LDDoS攻擊 模型等相關(guān)的研究��,并提出了一種基于小波特征提取的低速率DoS檢測方法��;中國科技大 學的研究小組研究了 LDDoS針對快速TCP攻擊的性能�;國防科技大學計算機學院的張長旺 等研究了基于擁塞參與度的分布式低速率DoS攻擊檢測過濾方法�����;浙江大學的魏蔚等研究 了低速率TCP拒絕服務攻擊的檢測響應機制�;上海交通大學研究了基于快速重傳/恢復的 低速拒絕服務攻擊機制�;本課題組成員在分析LDDoS攻擊的原理和產(chǎn)生機制的基礎上,針 對其攻擊的性能進行了研究�,并在采用信號處理技術(shù),基于功率譜密度PSD的檢測和頻域 過濾LDDoS攻擊方面取得了一些進展����。
[0009] DDoS攻擊之所以相對容易發(fā)生,因為目前Internet缺乏有效的認證機制���,其開放 結(jié)構(gòu)使得任意數(shù)據(jù)包都可以到達目的地����;加上網(wǎng)絡上已有現(xiàn)成的DDoS工具可被利用����,為發(fā) 起DDoS攻擊創(chuàng)造了便利。精心構(gòu)造的攻擊甚至能夠達到24Gbps的攻擊流量����,足以充斥任 一服務器的接入帶寬��。因此�����,DDoS攻擊的解決方案一直是網(wǎng)絡安全研究領(lǐng)域的難點問題���。
[0010] 在合法TCP流和LDDoS流是發(fā)往同一目的地的情況下,LDDoS流表現(xiàn)出兩個不同 的重要行為:
[0011] 第一���,LDDoS流的最高速率將保持不變�����,而TCP流則呈線性增長;
[0012] 第二�����,LDDoS流在相對固定的時間周期到達目的地��,而TCP流則是連續(xù)到達�。
[0013] (1)研究水平存在的問題
[0014] 用現(xiàn)有的通信量分析方法,周期性脈沖很難在時間域被檢測出來����。這是因為平均 共享的帶寬并不是非常大���。在分布式的情況下,成倍的傀儡機發(fā)起的攻擊會更進一步降低 單個通信量的速率��,因此��,就導致檢測更加困難�����。分布式攻擊發(fā)起者可以通過降低最高速率 或者延長攻擊周期來降低平均通信量�。所以,用時間序列檢測這類攻擊是毫無效果的����。目 前,現(xiàn)有的攻擊檢測手段基本是基于時間序列的�,對LDDoS攻擊的檢測是個盲點。
[0015] LDDoS攻擊目前之所以沒有在國內(nèi)全面報道或者形成轟動效應的主要原因為:
[0016] 第一���,目前入侵檢測手段采用的方法時序機制�����,即在設定的檢測時間內(nèi)對攻擊的 包個數(shù)進行統(tǒng)計���,根據(jù)統(tǒng)計流量的大小來判定是否存在攻擊��。由于LDDoS攻擊脈沖的持續(xù) 時間很短���,遠小于現(xiàn)有檢測方法設定的平均檢測時間,而且LDDoS攻擊的平均流量很小�����,只 有正常流量的10 % -20 %����。因此,當現(xiàn)有檢測手段對于LDDoS攻擊無能為力�����;
[0017] 第二��,LDDoS攻擊需要的專業(yè)知識較高����。一般的黑客即便掌握的LDDoS攻擊的產(chǎn) 生技術(shù),但由于攻擊時間同步和流量匯聚等關(guān)鍵技術(shù)不能很好的解決�����,所以���,發(fā)起LDDoS攻 擊的概率很?����?�;
[0018] 第三���,當前,大多網(wǎng)絡攻擊是以金錢為利益驅(qū)使��。高技術(shù)��、大危害度的攻擊都掌握 在少數(shù)技術(shù)高明的黑客手中����。在有利可圖的情況下,出租攻擊網(wǎng)絡給出錢人,去破壞或者報 復選定的目標����。
[0019] ⑵發(fā)展趨勢
[0020] 在分布式拒絕服務DDoS攻擊的處理上,目前國際上流行采用信號處理的方法與 網(wǎng)絡流量數(shù)據(jù)處理技術(shù)相結(jié)合��,把經(jīng)典的信號檢測理論和濾波器理論應用到攻擊流量的檢 測和過濾方法中��。例如:次用歸一化累計功率譜密度NCPSD作為檢測LDDoS攻擊的判定依 據(jù)����;還有采用小波分析技術(shù)在頻率分量中發(fā)現(xiàn)攻擊分量等。本項目將網(wǎng)絡技術(shù)與信息處理 理論相結(jié)合���,采用在頻域(