CN103139166A - 基于小信号检测理论的LDoS攻击检测方法 - Google Patents
基于小信号检测理论的LDoS攻击检测方法 Download PDFInfo
- Publication number
- CN103139166A CN103139166A CN2011103892384A CN201110389238A CN103139166A CN 103139166 A CN103139166 A CN 103139166A CN 2011103892384 A CN2011103892384 A CN 2011103892384A CN 201110389238 A CN201110389238 A CN 201110389238A CN 103139166 A CN103139166 A CN 103139166A
- Authority
- CN
- China
- Prior art keywords
- ldos
- attack
- signal
- value
- small
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
低速率拒绝服务LDoS(Low-rate Denial of Service)攻击流量具有明显的周期性小信号特征。本发明采用小信号检测理论,提出一种基于小信号模型的LDoS攻击检测的方法。该方法通过构造特征值估算矩阵,对一定时间内到达的数据包个数进行统计,估算LDoS攻击周期,并将统计值与设定的判决特征值门限进行比较,用于指示正常流量和包含LDoS攻击的混合流量之间的区别,作为判断有无LDoS攻击的依据。如果判定存在LDoS攻击,通过特征值估算矩阵可较精确地计算出LDoS攻击周期值。使用本发明所提供的技术方案,能有效的检测出LDoS攻击。
Description
技术领域
本发明涉及一种计算机网络安全技术,尤其是针对低速率拒绝服务(LDoS)攻击的检测,可以高准确率的检测出攻击。
背景技术
自从分布式拒绝服务DoS(Denial ofService)攻击面世以来,它一直成为网络安全的最大威胁之一。传统泛洪(Flood)类型的DoS(FDoS)攻击特点是需要维持高速率攻击流,耗尽受害者端所有可用资源。低速率分布式拒绝服务LDoS(Low-rate DoS)攻击是一种新型的DDoS攻击形式。LDoS与FDoS原理则截然不同,LDoS利用网络协议或应用服务中常见的自适应机制中所存在的安全漏洞,通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包,从而降低被攻击端服务性能。这种间歇性攻击的特点,使得其攻击流的平均速率较低,而且完全融合在合法用户的数据流中,现有的检测方法对LDoS攻击很难进行检测和防范。
在合法TCP流和LDoS流是发往同一目的地的情况下,LDoS流表现出两个不同的重要行为:第一,LDoS流的最高速率将保持不变,而TCP流则呈线性增长;第二,LDoS流在相对固定的时间周期到达目的地,而TCP流则是连续到达。用现有的通信量分析方法,周期性脉冲很难在时间域被检测出来。这是因为平均共享的带宽并不是非常大。在分布式的情况下,成倍的傀儡机发起的攻击会更进一步降低单个通信量的速率,因此,就导致检测更加困难。分布式攻击发起者可以通过降低最高速率或者延长攻击周期来降低平均通信量。所以,用时间序列检测这类攻击是毫无效果的。目前的攻击检测手段基本是基于时间序列的,对LDoS攻击的检测是个盲点。
对于LDoS攻击的研究尚处于起步阶段,但相关研究工作主要出现在近年来一流国际会议上,说明其得到了充分的重视。2003年在计算机网络方面的顶级会议SIGCOMM上,Rice大学的Aleksandar首次提出了针对TCP协议的低速率拒绝服务攻击,主要针对TCP拥塞控制机制中的漏洞,文中提出了一种潜在的低速率拒绝服务攻击(Low-Rate Distributed Denial of Service,LDoS)攻击模型,通过准确计算,只需少量攻击数据就可导致受害者端拒绝服务或服务质量的下降。在2004的ICNP以及2005年的INFOCOM上,Guirguis提出了RoQ攻击,其实质也是针对TCP协议中拥塞控制以及路由器队列管理机制中的漏洞,使得特定的路由器的性能发生下降。2005年的NDSS会议上,Xiapu Luo又提出了pulsing攻击,原理与LDDoS攻击非常相似。网络中也已出现此种类型的攻击,因此,提出针对此类攻击的检测防范方法已经成为当今网络安全领域刻不容缓的问题。而针对此类攻击进行攻击建模及攻击特征分析,也非常重要,是今后防范研究工作的基础。
对于LDoS的检测,传统的检测方法不再适用。YU CHEN,KAl HWANG等提出了基于数字信号处理的检测方法,利用功率谱密度来进行分析。从此基于信号处理的方法成为研究的热点。之后,Kai Hwang和Yu-Kwong Kwok提出了的一种称为HAWK的方法来识别恶意的LDoS攻击流,可是HAWK只适用于源地址单一的攻击。前不久,LUO和CHANG发现当发起攻击后,流入的流量和流出的ACKS流量将会发生很大的变化,根据这种特性他们提出了一种基于小波分析的方法,第一部分,利用DWT(Discrete WaveletTransform)的方法来检测异常流量,第二部分,利用一种特殊的CUSUM方法来检测变化点。由于基于小波变化的检测结果非常依赖于参数的选择,因此很难选定一个最优的参数来保持一个高的检测率、很低的误报率和漏报率。
目前,无论是国际还是国内,如何有效地防御DoS攻击,保护目标(主机或者服务器)不被攻击已成为一个研究热点。由于LDoS不同于传统的Flood DoS攻击,它具有流量小,很难被现有的检测机制检测到等特点,因此对网络具有更大的威胁性和破坏性。但是,到目前为止,国内对这种攻击方式的研究还相对较少,资料也非常有限。同时目前检测方法都都有一定的不足。因此,非常有必要提取攻击特征,找到更有效的检测方法。
发明内容
网络中的流量数据是时间离散的序列信号,它既非高斯信号,也非静态信号。通过对网络流量按照协议分析表明:网络流量中80%以上的流量是TCP。并且网络流量中TCP流量具有明显的周期性。在DoS攻击的处理上,目前国际上流行采用信号处理的方法与网络流量数据处理技术相结合,即把经典的信号检测理论和滤波器理论应用到攻击流量的检测和过滤方法中。现在,越来越多的研究工作采用DSP的信号分析技术对网络流量数据进行研究,用于异常(Anomaly)流量的检测和防御,以提高网络的安全性。网络流量的周期性是一个重要的特征,可以用于对网络流量的监测和攻击检测(Detection)。例如:利用归一化累计功率谱密度NCPSD(Normalized Cumulative Power Spectrum Density)作为检测单个低速率拒绝服务 LDoS(Low-Rate DoS)攻击的判定依据;还有采用小波分析技术在频率分量中发现DoS攻击分量等。
通过对单条TCP流和单个LDoS攻击流的研究发现:LDoS攻击的平均流量较小,约占正常流量的10%-20%;而LDoS攻击的表现形式为周期性的脉冲序列。因此,相对TCP流量而言,可以将LDoS攻击定义为周期性的小信号,即小周期信号。进而可以采用小信号检测理论进行LDoS攻击检测方法的研究。本发明在分析LDoS攻击特点的基础上,采用小信号理论,提出了基于小信号模型的LDoS攻击检测的方法。
LDoS攻击为未知周期(对于检测者来说)的周期小信号;背景噪声为正常流量(正常流量也属于周期信号,但其周期与攻击信号的周期不同),且远强于攻击信号。LDoS攻击对于检测者来说有很多参数是未知的,其中周期就是一个重要的未知参数。因此,LDoS攻击又属于未知周期的小信号。其检测方法如下:
对周期为T的周期小信号,抽样间隔为Ts,假定T=nTs+ΔTs(0≤h<1)。构造一个m×n的矩阵M,每n个采样占据该矩阵一行,若采样点为sum个,则 对每列的m个值求平均,矩阵变为n维向量,求出其中最大值和最小值之差VJG。根据Δ的不同,搜索间隔可分为两类:Δ≠0时抽样间隔存在误差积累,到一定程度会使搜索间隔内出现n+1个,此时舍去第最后一个;Δ=0时不会出现这种情况。
假设信号Atk(t)的周期为T(未知量),其最大值、最小值分别为Atkmax和Atkmin。定义D为峰谷差值,则D=Atkmax-Atkmin。以T为迭加间隔进行漏值多点数字平均,所得峰谷差值 
其中 
为对M矩阵按列平均后,得到的向量的最大值和最小值。若以T为间隔同步叠加,则 
显然VJG=D。如果周期信号Atk(t)不存在,或叠加不同步,则VJG<<D。确定一门限thr,如果VJG≥thr,则将该值记录在一个数组P中。信号周期搜索过程结束后取P中各元素的均值作为周期预测值;如果矩阵P不存在,则说明无周期小信号。VJG称为判决特征值。
值得注意的是,将LDoS攻击流的包个数作为待检信号,较通常的掺噪信号有很大不同。由于包个数为非负整数,故在做检测时噪声的均值滤除更加困难。
以一段时长为搜索间隔(后面将会从实验结果中看到:搜索间隔越小检测效果越佳),来不断地试探攻击周期。选取采样时间间隔为10ms,采样点数为3000个,即每计算一次须30秒(经多次仿真知道,保证检测效果的最短时长为30秒)。而攻击到达时未必在算法的时间边缘,因此完成一次检测需30秒(最佳状况,攻击到达时正好检测开始)至60秒(最坏状况,攻击到达时上次检测一次检测刚刚结束)。即检测时长区间为[30,60)。将这3000个采样数据点排列为m×n的矩阵M,再构造出判决特征值VJG。反复实验,得到可靠的判决门限thr,即可有效地检测LDoS攻击。
附图说明
图1为LDoS攻击模型,(a)表示单源的LDoS攻击流,(b)表示两个半速率的LDoS攻击流。
图2为有LDoS攻击时,攻击流量的峰谷值特性图。
图3为本发明所应用的NS2仿真拓扑图。
具体实施方式
1、按照图3模拟的攻击场景,设定客户端、攻击端与路由器之间的链路带宽均为10Mb/s,单向延时为2ms;各路由器之间、路由器2与服务器之间链路带宽均为1Mb/s,单向延时为10ms。且路由器的发送 队列大小为100个数据包。LDoS攻击的3个参数:L=250ms、R=1Mb、T=1100ms和1075ms。
2、固定采样间隔为10ms、搜索间隔为10ms,在攻击周期T=1100ms和T=1175ms两种情况下,分别测试VJG的分布。对于T=1100ms的攻击,最大VJG值准确出现在预测周期为1100ms处;对于T=1175ms的攻击,最大VJG值出现在预测周期为1170ms和1180ms处。多次实验的结果均证明了上述结论。为了与实际情况相符,根据检测原理,选取均值1175ms作为预测攻击周期。
3、分三种情况测定VJG的分布:1)设定采样间隔为10ms,搜索间隔为20ms,攻击周期为1100ms;2)设定采样间隔为10ms,搜索间隔为20ms,攻击周期为1750ms;3)设定采样间隔为10ms,搜索间隔为50ms,攻击周期为1750ms。
4、设定采样间隔为7ms、搜索间隔为20ms、攻击周期为1175ms,测试特征值VJG的分布。
5、根据前4步的结果得出结论:当预测周期为搜索间隔的整数倍时,搜索间隔的大小对检测效果几乎没有影响。而当预测周期不为搜索间隔的整数倍时,效果较差,出现检测误差,甚至将无法实施检测。在预测周期为搜索间隔的整数倍的前提下,采样间隔的大小对检测效果几乎没有影响。
6、以攻击周期为1100ms、搜索间隔为10ms时,选取攻击判断门限值为60,进行100次独立重复实验。
7、统计分析100次实验数据,其检测性能稳定:正确检测概率(PD)为100%;虚警概率(PFN)为0;漏警概率(PFP)为0。
Claims (3)
1.在合法TCP流和LDDoS流是发往同一目的地的情况下,LDDoS流表现出两个不同的重要行为:第一,LDDoS流的最高速率将保持不变,而TCP流则呈线性增长;第二,LDDoS流在相对固定的时间周期到达目的地,而TCP流则是连续到达。通过对单条TCP流和单个LDoS攻击流的研究发现:LDoS攻击的平均流量较小,约占正常流量的10%-20%;而LDoS攻击的表现形式为周期性的脉冲序列。因此,相对TCP流量而言,可以将LDoS攻击定义为周期性的小信号,即小周期信号。进而可以采用小信号检测理论进行LDoS攻击检测方法的研究。根据LDoS攻击的特点,采用小信号理论,提出了基于小信号模型的LDoS攻击检测的方法。
2.根据权利要求1所述的基于小信号模型的LDoS攻击检测的方法,其特征在于所述检测方法包括以下步骤:
1)在受害端的上一跳路由监测流量,每隔t秒的间隔对流量进行取样,一个取样周期为T秒。
2)构造一个m×n的矩阵M,每n个采样占据该矩阵一行,若采样点为sum个,则
3)对每列的m个值求平均,矩阵变为n维向量,求出其中最大值和最小值之差VJG。
4)确定一个门限thr,如果VJG≥thr,则将该值记录在一个数组P中。
5)信号周期搜索过程结束后取P中各元素的均值作为周期预测值;如果矩阵P不存在,则说明无周期小信号(LDoS攻击)。
3.根据2所述的基于卡尔曼滤波的LDoS检测方法,其特征在于:
1)设定采样间隔10ms,搜索周期为30s。形成3000个点的矩阵。
2)确定VJG。攻击信号Atk(t)的周期为T(未知量),其最大值、最小值分别为Atkmax和Atkmin。定义D为峰谷差值,则D=Atkmax-Atkmin。以T为迭加间隔进行漏值多点数字平均,所得峰谷差值
其中
为对M矩阵按列平均后,得到的向量的最大值和最小值。若以T为间隔同步叠加,则 
显然VJG=D。如果周期信号Atk(t)不存在,或叠加不同步,则VJG<<D
3)以搜索周期为间隔将时间轴分成若干段,则每段相同序号的采样值经过平均后,得到的数值仍然具备峰谷差值特性。当没有LDoS攻击时,这种峰谷差值也存在,但其数值远小于存在LDoS攻击时的情况。设定攻击判断门限值为60,则可以有效的检测出LDoS攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103892384A CN103139166A (zh) | 2011-11-30 | 2011-11-30 | 基于小信号检测理论的LDoS攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103892384A CN103139166A (zh) | 2011-11-30 | 2011-11-30 | 基于小信号检测理论的LDoS攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103139166A true CN103139166A (zh) | 2013-06-05 |
Family
ID=48498476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103892384A Pending CN103139166A (zh) | 2011-11-30 | 2011-11-30 | 基于小信号检测理论的LDoS攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139166A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158823A (zh) * | 2014-09-01 | 2014-11-19 | 江南大学 | 一种面向LDoS与LDDoS的模拟方法 |
| CN106411829A (zh) * | 2015-12-14 | 2017-02-15 | 中国民航大学 | 基于小波能量谱和组合神经网络的LDoS攻击检测方法 |
| CN108551448A (zh) * | 2018-04-12 | 2018-09-18 | 盾盟(上海)信息技术有限公司 | 一种分布式拒绝服务攻击检测方法 |
| CN109040131A (zh) * | 2018-09-20 | 2018-12-18 | 天津大学 | 一种SDN环境下的LDoS攻击检测方法 |
| CN110012006A (zh) * | 2019-04-01 | 2019-07-12 | 中国民航大学 | 一种针对cubic的低速率拒绝服务攻击方法 |
| CN110233838A (zh) * | 2019-06-06 | 2019-09-13 | 东软集团股份有限公司 | 一种脉冲式攻击的防御方法、装置及设备 |
| CN112637202A (zh) * | 2020-12-22 | 2021-04-09 | 贵州大学 | 一种SDN环境下基于集成小波变换的LDoS攻击检测方法 |
| CN112788062A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
| CN112804250A (zh) * | 2021-01-29 | 2021-05-14 | 湖南大学 | 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案 |
| CN114070601A (zh) * | 2021-11-11 | 2022-02-18 | 湖南大学 | 一种基于EMDR-WE算法的LDoS攻击检测方法 |
| CN114826751A (zh) * | 2022-05-05 | 2022-07-29 | 深圳市永达电子信息股份有限公司 | 一种多目标信息融合的卡尔曼滤波网络防控方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020199109A1 (en) * | 2001-06-25 | 2002-12-26 | Boom Douglas D. | System, method and computer program for the detection and restriction of the network activity of denial of service attack software |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
-
2011
- 2011-11-30 CN CN2011103892384A patent/CN103139166A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020199109A1 (en) * | 2001-06-25 | 2002-12-26 | Boom Douglas D. | System, method and computer program for the detection and restriction of the network activity of denial of service attack software |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 吴志军等: "《基于小信号检测模型的LDoS攻击检测方法的研究》", 《电子学报》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158823B (zh) * | 2014-09-01 | 2017-05-10 | 江南大学 | 一种面向LDoS与LDDoS的模拟方法 |
| CN104158823A (zh) * | 2014-09-01 | 2014-11-19 | 江南大学 | 一种面向LDoS与LDDoS的模拟方法 |
| CN106411829A (zh) * | 2015-12-14 | 2017-02-15 | 中国民航大学 | 基于小波能量谱和组合神经网络的LDoS攻击检测方法 |
| CN108551448B (zh) * | 2018-04-12 | 2020-09-15 | 盾盟(上海)信息技术有限公司 | 一种分布式拒绝服务攻击检测方法 |
| CN108551448A (zh) * | 2018-04-12 | 2018-09-18 | 盾盟(上海)信息技术有限公司 | 一种分布式拒绝服务攻击检测方法 |
| CN109040131A (zh) * | 2018-09-20 | 2018-12-18 | 天津大学 | 一种SDN环境下的LDoS攻击检测方法 |
| CN110012006B (zh) * | 2019-04-01 | 2021-03-02 | 中国民航大学 | 一种针对cubic的低速率拒绝服务攻击方法 |
| CN110012006A (zh) * | 2019-04-01 | 2019-07-12 | 中国民航大学 | 一种针对cubic的低速率拒绝服务攻击方法 |
| CN110233838A (zh) * | 2019-06-06 | 2019-09-13 | 东软集团股份有限公司 | 一种脉冲式攻击的防御方法、装置及设备 |
| CN110233838B (zh) * | 2019-06-06 | 2021-12-17 | 东软集团股份有限公司 | 一种脉冲式攻击的防御方法、装置及设备 |
| CN112637202A (zh) * | 2020-12-22 | 2021-04-09 | 贵州大学 | 一种SDN环境下基于集成小波变换的LDoS攻击检测方法 |
| CN112788062A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
| CN112804250A (zh) * | 2021-01-29 | 2021-05-14 | 湖南大学 | 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案 |
| CN114070601A (zh) * | 2021-11-11 | 2022-02-18 | 湖南大学 | 一种基于EMDR-WE算法的LDoS攻击检测方法 |
| CN114826751A (zh) * | 2022-05-05 | 2022-07-29 | 深圳市永达电子信息股份有限公司 | 一种多目标信息融合的卡尔曼滤波网络防控方法 |
| CN114826751B (zh) * | 2022-05-05 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 一种多目标信息融合的卡尔曼滤波网络防控方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103139166A (zh) | 基于小信号检测理论的LDoS攻击检测方法 | |
| CN109302378B (zh) | 一种SDN网络DDoS攻击检测方法 | |
| Liu et al. | DDoS attack detection scheme based on entropy and PSO-BP neural network in SDN | |
| Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| CN101577642B (zh) | 一步预测卡尔曼滤波检测LDoS攻击的方法 | |
| CN101729389B (zh) | 基于流量预测和可信网络地址学习的流量控制装置和方法 | |
| CN104734916B (zh) | 一种基于tcp协议的高效多级异常流量检测方法 | |
| CN103546465B (zh) | 基于数据流周期监测的LDoS攻击检测及防御方法 | |
| CN103001972B (zh) | Ddos攻击的识别方法和识别装置及防火墙 | |
| CN105245503A (zh) | 隐马尔可夫模型检测LDoS攻击方法 | |
| CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
| CN105100017A (zh) | 基于信号互相关的LDoS攻击检测方法 | |
| Zhi-Jun et al. | MSABMS-based approach of detecting LDoS attack | |
| CN105187437A (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
| CN104009986A (zh) | 一种基于主机的网络攻击跳板检测方法及装置 | |
| Cheng et al. | A change-point DDoS attack detection method based on half interaction anomaly degree | |
| Wu et al. | Chaos-based detection of LDoS attacks | |
| CN109040131B (zh) | 一种SDN环境下的LDoS攻击检测方法 | |
| CN104125195A (zh) | 基于滤波器频域过滤LDDoS攻击流量的方法 | |
| CN104125193A (zh) | 基于混沌Dufing振子的LDDoS攻击检测方法 | |
| CN103269337A (zh) | 数据处理方法及装置 | |
| Zhicai et al. | A novel hidden Markov model for detecting complicate network attacks | |
| CN104125194A (zh) | 基于互相关的LDDoS攻击时间同步和流量汇聚方法 | |
| Mohan et al. | Survey of low rate denial of service (LDoS) attack on RED and its counter strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130605 |