CN103546465A - 基于数据流周期监测的LDoS攻击检测及防御方法 - Google Patents

Abstract

本发明涉及一种基于数据流周期监测的LDoS攻击检测与防御方法。方法包括以下步骤：1）记录进入该路由器的每个数据包的流标识与到达时刻；2）查找数据流特征库，判断该数据包的流标识是否已经存在于数据流特征库中，若没有则将该数据流的特征信息先存入数据流特征库，然后直接跳到第5）步，否则继续执行以下步骤；3）计算该数据流最新的前项、后项比以及周期等，存入数据流特征库；4）断该数据流是否符合攻击特征库中的特征，如若符合，计算出最新攻击时长、周期存入数据流特征库并丢弃该包，否则继续执行以下步骤；5）进入路由器的队列模块，根据相应的队列丢弃规则排队。本发明检测效率高、误判率低、实施方便、易于扩展。

Description

基于数据流周期监测的LDoS攻击检测及防御方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于数据流周期监测的LDoS攻击检测与防御方法。

背景技术

拒绝服务攻击（Denial of Service,DoS）作为最常见的互联网攻击手段，会严重浪费网络资源。包括TCP SYN flood攻击、ICMP flood攻击以及DNS flood攻击在内的多种DoS攻击会对网络用户的正常使用造成影响。传统的泛洪式DoS攻击，以“sledge-hammer”方式向目的主机发送大量高速率的攻击包，造成严重的网络拥塞，致使正常合法用户的数据包无法到达目的主机。针对这种大量数据包的特性，Yau等（Yau,D.K.Y.,Lui,J.C.S.,Liang,F.,Yeung,Y.Defending againstdistributed denial-of-service attacks with max-min fair server-centricrouter throttles.IEEE/ACM Trans.Netw.,13,29-42）提出了相应的防御方案，而T.Y.Wong等（T.Y.Wong,K.T.Law,John C.S.Lui,M.H.Wong,An efficientdistributed algorithm to identify and traceback ddos traffic[J].TheComputer Journal,2006,49(4):418-442.）提出了一种更为高效的辨识DoS攻击与溯源的方法。

随后，DoS攻击出现了许多变种，较为常见与棘手的一种攻击——低速率拒绝服务攻击（Low-rate Denial of service,LDoS），利用TCP拥塞控制机制的设计漏洞，对目的主机进行低速率周期性的发送恶意攻击包，使得网络长期处于极低吞吐量，甚至为零吞吐量的状态，严重影响了网络合法用户的正常使用。由于其发包速率低、数量少，采用以往的检测方案很难有效检测出该攻击，于是LDoS攻击成为较难解决的网络安全问题之一。Aleksandar Kuzmanovic和Edward W.Knightly（Low-rate TCP-targeted denial of service attacks:the shrew vs.the miceand elephants[C]//Proceedings of the2003conference on Applications,technologies,architectures,and protocols for computer communications.ACM,2003:75-86.）给出了相应的分析与研究，何炎祥（何炎祥,et al."低速率拒绝服务攻击研究综述."计算机科学与探索2.1(2008):1-19.）也给出了综述类的总结分析，将LDoS攻击根据具体的攻击特征细化、分类。Chia-Wei Chang等（Chang,Chia-Wei,et al."The taming of the shrew:mitigating low-rate TCP-targetedattack."Network and Service Management,IEEE Transactions on7.1(2010):1-13.）提出了一种SAP方案以发现潜在的攻击者，Changwang Zhang等（Zhang,Changwang,et al."Flow level detection and filtering of low-rateDDoS."Computer Networks(2012).）也给出了一种基于CPR的度量标准，用于对每个数据流进行攻击行为检测。

发明内容

本发明所要解决的技术问题是，提供一种检测效率高、误判率低、实施方便、易于扩展的基于数据流周期监测的LDoS攻击检测及防御方法。

本发明的基于数据流周期监测的LDoS攻击检测及防御方法包括以下步骤：

1）数据流扫描模块记录进入该路由器的每个数据包的流标识与到达时刻；

2）数据流特征库检测模块查找数据流特征库，判断该数据包的流标识是否已经存在于数据流特征库中，若没有则将该数据流的特征信息先存入数据流特征库，然后直接跳到第5）步，否则继续执行以下步骤；

3）数据分析处理模块根据该数据包的到达时刻与数据流特征库中的相应数据，计算该数据流最新的前项、后项比以及周期等，将计算得的最新数据存入数据流特征库；

4）攻击检测模块判断该数据流是否符合攻击特征库中的特征，如若符合，计算出最新攻击时长、周期存入数据流特征库并丢弃该包，否则继续执行以下步骤；

5）进入路由器的队列模块，根据相应的队列丢弃规则排队。

进一步的，所述数据流扫描模块记录的数据包流标识是指唯一标识某条数据流的特征值，一般是数据包IP报头中的标识字段，也可以用其他字段的组合去标识。

进一步的，所述的数据流扫描模块记录的数据包的到达时刻是指包到达路由器的时间点，并非其进入路由器队列或被路由器转发的时刻，数据包也可能在队列中被丢弃，因此这里记录的是所有到达路由器的数据包，并非被路由器所转发的数据包。

进一步的，于所述的数据流特征库用于存取各个数据流的特征信息。

进一步的，所述的数据流特征信息包括：数据流的前项比、后项比、周期、突发性攻击的持续时间。

进一步的，所述的数据分析处理模块，其按照公式r_ai=Δ_i+1/Δ_i与r_ci=Δ_i/Δ_i+1计算前项比与后项比；其中，Δ_i+1=t_i+1-t_i，r_ai为Δ_i为两个相邻包到达的时间间隔，t_i为该数据包到达路由器的时间，r_ai为Δ_i的前项比，r_ci为Δ_i的后项比。

进一步的，数据分析处理模块根据该数据包的流标识查询数据流特征库，取出对应的特征值信息，根据该数据包的到达时刻t_k+1，计算Δ_k+1=t_k+1-t_k；

计算r_ck=Δ_k+1/Δ_k，如果r_ck>δ_c，则将其前一个数据包到达时刻t_k加入到C[m]集合中，前一个数据包即为某次突发性攻击的最后一个包，此时，用C[m]与A[n]的最后一个元素相减即可得到该次突发性攻击的持续时间，存入数据流特征库；

计算r_ak=Δ_k/Δ_k+1，如果r_ak>δ_a，则将其前一个数据包到达时刻t_k加入到A[n]集合中，前一个数据包即为该次突发性攻击的第一个包，此时，A[n]集合中后两个时刻差即为最近两次攻击的时间间隔，即攻击周期，存入数据流特征库；

某个包到达后所计算的前后项比能同时超过门限值。

进一步的，所述的攻击特征库用于存取人工设置的参数值，及后项比与前项比的门限值。

进一步的，所述的攻击检测模块利用计算所得的前项比、后项比与攻击特征库阈值比较，规则为：

如果r_ck(k为自然数)比δ_c大，则将P_k的相应时刻t_k存入潜在攻击起始端集合C[m]中；

如果r_ak(k为自然数)比δ_a大，将P_k相应的t_k存入潜在攻击结束端集合A[n]中；

获得集合C[m]与A[n]后取出A[n]中第一个元素A[1]，遍历C[m]中元素，取得第一个大于A[1]的元素C[k₁]，则时间段[A[1],C[k₁]]即为该数据流的第一个攻击周期，攻击持续时长L₁=C[k₁]-A[1]；同理，C[m]中第一个大于A[2]的元素C[k₂]与A[2]共同构成数据流的第二个攻击周期，攻击持续时长L₂=C[k₂]-A[2]，以此类推；

攻击间隔用A[2]-A[1]，A[3]-A[2]，直至A[n]-A[n-1]计算而得。

进一步的，所述的攻击类型包括：基于超时重传的LDoS同步攻击、基于超时重传的LDoS异步攻击。

本发明相比现有技术具有如下优点：

（1）处理简单快速，时间花销低。

（2）可以根据实际情况调整门限值，使误判率降低，达到最好的检测效果。

（3）逻辑模块全部集成在路由器内部，无需硬件模块，方便操作。

（4）对于不同类型的LDoS攻击，只需更新攻击特征库即可，易于扩展。

附图说明

图1为本发明方法的工作流程图；

图2为本发明方法所基于的系统模块构成图；

图3为基于超时重传的LDoS同步攻击模型图；

图4为基于超时重传的LDoS异步攻击模型图；

具体实施方式

面结合附图1与2和具体实施方式对本发明作进一步详细描述：

1、路由器接收来自网络数据流的包。凡是到达路由器的包都被记录。取出该包IP头中的流标识字段作为流标识，并记录该包到达路由器的时刻。

2、数据流特征库检测模块查找数据流特征库，判断该流标识是否已经存在于数据流特征库中，若没有则将该数据流的特征信息先存入数据流特征库，然后将包传入队列模块，否则将数据包、流标识以及到达时刻传入数据分析模块；

3、数据分析处理模块根据该数据包的到达时刻与数据流特征库中的相应数据，计算该数据流最新的前项、后项比以及周期等，将计算得的最新数据存入数据流特征库；

4、攻击检测模块判断前项比、后项比是否超过相应门限值，如若超过，计算出最新攻击时长、周期存入数据流特征库并丢弃该包，否则将数据包传入队列模块；

5、路由器的队列模块，根据相应的队列丢弃规则排队。

本发明的各个模块具体功能与工作方式如下：

1、数据流扫描模块

记录每个数据包的信息：数据流标识与该数据包到达路由器的时刻。将所记录的数据包信息传送给数据流特征库检测模块。

2、数据流特征库检测模块

判断该数据包所在的数据流在有效时间内是否到达过该路由器，即判断该数据包的流标识是否已存入数据流特征库。如果未在数据流特征库中，则先将其记录在库中，再将该数据包直接传入路由器的队列模块。如果在数据流特征库中，则进入数据分析处理模块。

3、数据流特征库

用于存储进入该路由器的数据流的特征信息，包括流标识、该数据流中各个数据包到达时刻、数据流前项比、后项比以及攻击持续时长、周期等信息。

4、数据分析处理模块

数据分析处理模块是本检测模型的核心模块。从数据流特征库中取出该数据流的特征信息，根据最新数据包的到达时刻重新计算前项比、后项比以及数据流的周期。将所得的新结果存入数据流特征库。

5、攻击检测模块

根据最新计算的结果，与攻击特征库中的阈值对比。如果匹配，则认为该数据流为攻击数据流，将该数据包丢弃。如果不匹配，则认为其为合法用户的正常数据流，将数据包转入路由器的队列模块。

6、攻击特征库

存储可以人工设置相应的参数值，即用于匹配的攻击流特征数据。

7、定时清除模块

可以人工设置，用于定时清除数据流特征库中已经丧失时效性的数据流特征信息。避免数据流特征库中的数据越来越庞大冗杂。

数据分析处理模块的处理算法如下：

定义P_i为第i个到达路由器的包，令t_i为该数据包到达路由器的时间。因此，两个相邻包到达的时间间隔可以用Δ_i描述，如下公式所示：

Δ_i=t_i-t_i-1

定义r_ci为Δ_i的后项比，r_ai为的Δ_i前项比：

r_ci=Δ_i/Δ_i+1

r_ai=Δ_i+1/Δ_i

根据攻击包周期发送的特征，当突发性攻击结束的时刻的r_ci将变大。相应地，r_ai的峰值意味着某次突发性攻击的开始。

设δ_c为r_ci的门限值，δ_a为r_ai的门限值。计算出Δ₁,Δ₂,Δ₃…Δ_i…以及r_c1,r_c2,r_c3…r_ci…和r_a1,r_a2,r_a3…r_ai…，与门限值进行比较。比门限值大的则具有潜在的攻击特征。即如果r_ck(k=1,2,3…)比δ_c大，则将P_k的相应时刻t_k存入潜在攻击起始端集合C[m]中：

C[m]=t_k m=1,2,3…

m代表集合C中的第m个元素。理论上，P_k代表该次突发性攻击的最后一个攻击包，t_k代表该包到达的时刻。

比较r_a1,r_a2,r_a3…r_ai…与δ_a，如果r_ak(k=1,2,3…)比δ_a大，将P_k相应的t_k存入潜在攻击结束端集合A[n]中：

A[n]=t_k n=1,2,3…

n代表集合A中的第n个元素。P_k可能是该次突发性攻击的第一个包。

获得集合C[m]与A[n]后取出A[n]中第一个元素A[1]，遍历C[m]中元素，取得第一个大于A[1]的元素C[k₁]，则时间段[A[1],C[k₁]]即为该数据流的第一个攻击周期，攻击持续时长L₁=C[k₁]-A[1]。同理，C[m]中第一个大于A[2]的元素C[k₂]与A[2]共同构成数据流的第二个攻击周期，攻击持续时长L₂=C[k₂]-A[2]，以此类推……

攻击间隔可以用A[2]-A[1]，A[3]-A[2]，……计算而得。

Claims (10)

1.一种基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：该方法步骤为

1）数据流扫描模块记录进入该路由器的每个数据包的流标识与到达时刻；

2）数据流特征库检测模块查找数据流特征库，判断该数据包的流标识是否已经存在于数据流特征库中，若没有则将该数据流的特征信息先存入数据流特征库，然后直接跳到第5）步，否则继续执行以下步骤；

3）数据分析处理模块根据该数据包的到达时刻与数据流特征库中的相应数据，计算该数据流最新的前项、后项比以及周期，将计算得的最新数据存入数据流特征库；

4）攻击检测模块判断该数据流是否符合攻击特征库中的特征，如若符合，计算出最新攻击时长、周期存入数据流特征库并丢弃该包，否则继续执行以下步骤；

5）进入路由器的队列模块，根据相应的队列丢弃规则排队。

2.根据权利要求1所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的数据流扫描模块记录的数据包流标识是指唯一标识某条数据流的特征值。

3.根据权利要求1所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的数据流扫描模块记录的数据包的到达时刻是指包到达路由器的时间点。

4.根据权利要求1所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的数据流特征库用于存取各个数据流的特征信息。

5.根据权利要求4所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的数据流特征信息包括：数据流的前项比、后项比、周期、突发性攻击的持续时间。

6.根据权利要求1所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的数据分析处理模块，其按照公式r_ai=Δ_i+1/Δ_i与r_ci=Δ_i/Δ_i+1计算前项比与后项比；其中，Δ_i+1=t_i+1-t_i，r_ai为Δ_i为两个相邻包到达的时间间隔，t_i为该数据包到达路由器的时间，r_ai为Δ_i的前项比，r_ci为Δ_i的后项比。

7.根据权利要求6所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述数据分析处理模块根据该数据包的流标识查询数据流特征库，取出对应的特征值信息，根据该数据包的到达时刻t_k+1，计算Δ_k+1=t_k+1-t_k；

计算r_ck=Δ_k+1/Δ_k，如果r_ck>δ_c，则将其前一个数据包到达时刻t_k加入到C[m]集合中，前一个数据包即为某次突发性攻击的最后一个包，此时，用C[m]与A[n]的最后一个元素相减即可得到该次突发性攻击的持续时间，存入数据流特征库；

计算r_ak=Δ_k/Δ_k+1，如果r_ak>δ_a，则将其前一个数据包到达时刻t_k加入到A[n]集合中，前一个数据包即为该次突发性攻击的第一个包，此时，A[n]集合中后两个时刻差即为最近两次攻击的时间间隔，即攻击周期，存入数据流特征库；

某个包到达后所计算的前后项比不能同时超过门限值。

8.根据权利要求1所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的攻击特征库用于存取人工设置的参数值，及后项比与前项比的门限值。

9.根据权利要求7或8所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的攻击检测模块利用计算所得的前项比、后项比与攻击特征库阈值比较，规则为：

如果r_ck(k=1,2,3…)比δ_c大，则将P_k的相应时刻t_k存入潜在攻击起始端集合C[m]中；

如果r_ak(k=1,2,3…)比δ_a大，将P_k相应的t_k存入潜在攻击结束端集合A[n]中；

获得集合C[m]与A[n]后取出A[n]中第一个元素A[1]，遍历C[m]中元素，取得第一个大于A[1]的元素C[k₁]，则时间段[A[1],C[k₁]]即为该数据流的第一个攻击周期，攻击持续时长L₁=C[k₁]-A[1]。同理，C[m]中第一个大于A[2]的元素C[k₂]与A[2]共同构成数据流的第二个攻击周期，攻击持续时长L₂=C[k₂]-A[2]，以此类推；

攻击间隔用A[2]-A[1]，A[3]-A[2]，直至A[n]-A[n-1]计算而得。

10.根据权利要求8所述的基于数据流周期监测的LDoS攻击检测及防御方法，其特征是：所述的攻击类型包括基于超时重传的LDoS同步攻击、基于超时重传的LDoS异步攻击。

Images