CN104125194A - 基于互相关的LDDoS攻击时间同步和流量汇聚方法 - Google Patents

基于互相关的LDDoS攻击时间同步和流量汇聚方法 Download PDF

Info

Publication number
CN104125194A
CN104125194A CN201310143580.5A CN201310143580A CN104125194A CN 104125194 A CN104125194 A CN 104125194A CN 201310143580 A CN201310143580 A CN 201310143580A CN 104125194 A CN104125194 A CN 104125194A
Authority
CN
China
Prior art keywords
attack
pulse
lddos
attacks
cycle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310143580.5A
Other languages
English (en)
Inventor
吴志军
马兰
岳猛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Civil Aviation University of China
Original Assignee
Civil Aviation University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Civil Aviation University of China filed Critical Civil Aviation University of China
Priority to CN201310143580.5A priority Critical patent/CN104125194A/zh
Publication of CN104125194A publication Critical patent/CN104125194A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于互相关的LDDoS攻击时间同步和流量汇聚方法。本发明在于LDDoS(Low-rate Distributed Denial of Service)攻击的流量聚合和时间同步,此LDDoS攻击是由大量有组织的LDDoS攻击集合而成。信号互相关算法是为了保证每个分布式攻击脉冲在受害者端聚合并准确的同步以形成一个强大的脉冲。模拟结果显示用信号互相关算法去调整的攻击脉冲的LDDoS攻击效果显著增强。

Description

基于互相关的LDDoS攻击时间同步和流量汇聚方法
技术领域
本发明涉及一种低速率拒绝服务LDDoS(Low-rate Distributed Denial of Service)攻击的方法,它提高了LDDoS攻击的效果。它属于计算机网络安全领域入侵检测(Intrusion Detection)技术领域。
背景技术
拒绝服务攻击是一种使受攻击的主机、服务器、路由器等网络设备无法正常提供或接受服务的蛮力攻击。攻击者通过向受攻击者发送大量毫无价值的数据包来占用大量网络资源(如网络带宽或CPU周期等),以此达到使受攻击者主机系统无法正常运转甚至瘫痪的目的,对于主机性能指标不高的受攻击者来说,DoS攻击的效果会更好、更明显。实施DoS攻击不需要十分复杂的技巧,并且随着软件工艺的提高,开发DoS攻击工具越来越容易,网络的普及也使普通人可以很容易的下载到现成易用的攻击工具。攻击者甚至不需要了解复杂的网络结构和系统漏洞,仅通过简单的操作就可以实施一次DoS攻击。DoS攻击可以作为前奏配合完成其他形式的攻击,DoS攻击者还可以通过伪造IP地址隐藏自己的身份使对方很难追踪攻击来源。
随着网络性能不断改进,带宽的大幅提高使得单源DoS攻击的效果大打折扣,于是出现了分布式拒绝服务攻击。DDoS攻击就是通过大量分布在各处的主机共同实施DoS攻击,是DoS攻击的集群攻击方式。DDoS攻击相对于传统的DoS攻击实施起来更复杂、攻击源更分散、攻击流量更大,因此更难检测和防范,攻击所产生的危害也更大。自从1999年首次发现DDoS攻击以来,截止至今DDoS攻击每年都给全球经济造成上百亿美元的损失,现在已经成为Internet面临的最严峻的威胁之一。2002年,作为互联网数据传输的核心——13台根域名服务器——遭受到DDoS攻击,致使其中9台服务器彻底瘫痪,服务中断长达1小时。2007年2月,6台根域名服务器再次受到DDoS攻击,其中两台受到了很明显的影响,攻击时间长达8小时。这些著名的案例表明相对于传统的DoS攻击,DDoS攻击是一种更加强悍的攻击手段。
LDDoS攻击是DDoS攻击的另外一种形式。与DDoS攻击相比它具有平均流量小,隐蔽性强的特点,产生的破坏影响比较大,容易被黑色产业链利用,作为盈利的手段,给经济造成巨大的损失。
2001年,低速率拒绝服务攻击首次由AstaNetworks公司在Abilene骨干网发现。通过6个月的流量分析,研究人员发现这种具有脉冲特征的新型DoS攻击能够长时间存在并且不能被现有的检测机制所发现,因此具有极高的隐蔽性,这种攻击不一定能使目标系统瘫痪,但是可以大大降低系统的性能。从此以后,针对LDoS的攻击、检测防御成为网络安全研究领域的新课题。2003年在计算机网络方面的顶级会议SIGCOMM上,Rice大学的Aleksandar Kuzmanovic首次提出了针对TCP协议的LDoS攻击并且给出了一个数学模型和相关测试,为后面的研究奠定了基础。2004的ICNP(IEEE International Conference on NetworkProtocols)会议以及2005年的INFOCOM会议上,Guirguis提出了RoQ(Reduction of Quality)攻击,利用TCP协议中拥塞控制以及路由器队列管理机制中的漏洞降低路由器的性能。2005年的NDSS(Networkand Distributed System Security Symposium)会议上,Xiapu Luo又提出了PDoS(Pulsing DoS)攻击,还有其他形式的LDoS攻击但原理都是类似的。LDDoS是LDoS的分布式攻击形式,如同DDoS与DoS的关系一样,LDDoS攻击就是LDoS的集群攻击方式。
针对LDDoS的检测和防御方法更多,对于传统DDoS攻击的一般检测方法主要有基于网络的入侵检测系统和基于主机的入侵检测系统这两种。但这两种检测方法都是基于DDoS长时间、高强度的网络流量异常统计特性,而LDDoS并没有这样的特征,所以传统的检测方式并不能检测出LDDoS。针对LDDoS,YU CHEN,KAI HWANG等提出了基于数字信号处理的检测方法,主要思想是提取流量的频域特性来进行分析,开创了基于信号处理方法的检测。之后Yu-KwongKwok等又提出了基于“随机丢包模式”的算法等。
目前国内外的研究主要集中在检测和防御上,而针对LDDoS流量同步和汇聚的研究还较少,主要是Ying Zhang提出了利用ICMP时间戳报文对各攻击流量进行时间同步的方法。LDDoS目前没有在网络中大规模爆发,大多数对它的研究还停留在理论和仿真方面,没有在实际网络中进行测试,因此缺乏真实的实际数据。尽管如此,作为一种新型的、更具威胁、更隐敝的DDoS攻击方式,LDDoS正受到越来越多学者的关注,通过细致研究它的攻击行为,分析攻击原理,有利于今后提出更有效的检测和防御方法。
发明内容
在LDDoS攻击中,攻击脉冲被分割成好多小振幅脉冲。这些小脉冲由不同攻击者发送并在目标端完成聚合。攻击脉冲的形成主要是通过以下几种分割大脉冲的方法。
(1)脉冲幅度成倍减少,攻击周期没变如附图1所示。假设攻击目标的吞吐量是C,攻击者命名为1到n,LDDoS攻击周期为T,每个攻击峰值为C/n,每个攻击脉冲可以在受害者端叠加形成一个高速率攻击脉冲。
(2)脉冲峰值不变但是攻击周期成倍增加,如附图2所示。N个攻击者,攻击周期为n攻击峰值R。每个攻击脉冲可以在受害者端叠加,形成一个高速攻击脉冲周期为T。
每个攻击脉冲必须严格遵守时间序列才能形成理想的LDDoS攻击。然而每个攻击者都分布在不同的网络中,攻击者到目标间的距离不确定。所以要确保每个攻击脉冲可以在经过不同网络传输后汇聚形成一个强攻击脉冲是一项非常困难的技术。如果,每个攻击脉冲都不能同步和汇聚,LDDoS攻击将会失去它们的攻击特性,攻击效果会被严重削弱。
附图1和附图2说明LDDoS攻击的时间同步和流量汇聚,在参与攻击的每个脉冲需要严格的时间关系。每个脉冲都与其它密切相关。因此,互相关函数被看作是实现时间同步和流量汇聚的关键技术。
互相关是估计两个序列相关程度的标准方法。考虑两个LDDoS攻击序列x(i),y(i),i=1,2,…,N-1。两个延迟为d的LDDoS攻击序列的互相关r定义为
r = Σ i [ x ( i ) - m λ ) * ( y ( i - d ) - m y ) ] Σ i ( x ( i ) - m x ) 2 Σ i ( y ( i - d ) - m v ) 2 - - - ( 1 )
mx和my是相应LDDoS攻击序列的均值。如果上述互相关R计算出全部延迟d=0,1,2…,N-1,和全部LDDoS攻击序列。可以得到初始序列两倍长的互相关序列。
r ( d ) = Σ i [ x ( i ) - m λ ) * ( y ( i - d ) - m y ) ] Σ i ( x ( i ) - m λ ) 2 Σ i ( y ( i - d ) - m y ) 2 - - - ( 2 )
根据公式(2),当y(i)序列相对x(i)序列位移时,每次位移计算出一个和。
一个来自当前网域的LDDoS攻击相对与其他网域的LDDoS攻击在到达时间上有一个必然的时间延迟。对每个延迟计算互相关得到最大值时的d,这两个LDDoS攻击之一位移时间d就可以达成时间同步和流量汇聚。为了方便,在下面的计算mx、mv被设为0。
对时间同步和流量汇聚最大的影响是所有LDDoS攻击者广泛分布在不同的网域。由于网络延迟,经过网络传输每个攻击脉冲不能同时到达攻击目标。因此,攻击脉冲不能有效的汇聚。这个互相关算法可以用于消除两个LDDoS攻击序列的延迟。
本发明定义到达路由的包数量为一个离散信号序列,在受害者端分别采样攻击脉冲,对每个脉冲,用互相关公式计算不同脉冲的相关程度。就可以确认不同信号的延迟。根据延迟,调整每个攻击脉冲的起始时间以在受害者端汇聚成一个理想的LDDoS攻击流量。
对于峰值成倍减少的情形,在受害者端采样攻击脉冲,其中一个作为基准。基准和其他之间的延迟d1,d2,…,dn-1都可以计算出。此处,n表示攻击者的数量。根据这些延迟,可以控制每个攻击者在约定时间发送攻击脉冲。而且为了最小化汇聚的错误,用互相关算法计算动态的延迟,而且计算会持续进行直到汇聚错误足够小。
在周期成倍增大的情形下,基准和其他脉冲之间的延迟为n表示攻击者数量。假设基准攻击脉冲的周期为T。可以控制其他攻击脉冲起始时间为起始时间持续调整直到序列延迟趋近T,2T,…,(n-1)T。
通过上面步骤,时间同步和流量汇聚达成。
附图说明
图1为脉冲幅度减倍,攻击周期不变LDDoS攻击模型。
图2为脉冲幅度不变,攻击周期增倍LDDoS攻击模型。
图3为本发明所应用的实验环境,模拟LDDoS的攻击场景;
图4为本发明的设计流程图。
具体实施方式
1.在附图3所模拟的LDDoS场景中,有两个路由器A、B,5个合法TCP发送者(节点1-5),5个攻击者(节点6-10),5个TCP接收端(节点11-15)。路由器A与B之间的瓶颈链路带宽为10Mbps。详细参数下表所示:
RTT(ms) 带宽(Mb)
节点1到A 10 100
节点2到A 50 100
节点3到A 100 100
节点4到A 150 100
节点5到A 200 100
节点6-10到A 5 100
节点A到B 50 20
节点B到11 10 100
节点B到12 50 100
节点B到13 100 100
节点B到14 150 100
节点B到15 200 100
这里我们选定脉冲周期T=1000ms,脉冲长度L=250ms,脉冲幅度R=20Mb的攻击参数作为多源LDDoS攻击最终汇聚成的波形。接下来根据图4的步骤,使用互相关算法调整各攻击脉冲使其最终达到最好的汇聚效果。
2.使用5个攻击端产生攻击脉冲,在节点B处每隔10ms对经过它的攻击数据流进行采样,得到每条攻击流的采样序列x1(i)到x5(i)。
3.以x1(i)为基准,用互相关算法分别计算x1(i)与x2(i)、x3(i)、x4(i)、x5(i)的相关序列r2(d)、r3(d)、r4(d)、r5(d),分别求出r(d)序列取得最大值所对应的d值:d2、d3、d4、d5
4.根据d2、d3、d4、d5的值,分别调整其所对应的攻击脉冲的开始时间。
5.在节点B出检测攻击波形的延时是否达到最佳。如不是最佳,重复步骤2-4。

Claims (3)

1.一种基于互相关的LDDoS(Low-rate Distributed Denial of Service)攻击的时间同步和流量汇聚的方法,其特征在于:是通过以下步骤实现的:
(1)估计各处链路的RTT;
(2)设计攻击波形;
(3)发送攻击波形参数到各攻击端,各攻击端产生攻击脉冲;
(4)对各攻击脉冲进行采样,用互相关算法计算各攻击脉冲之间的相对延时;
(5)调整攻击时间以达到时间同步;
(6)在检测点采集数据,判断汇聚后的攻击是否达到最佳。
2.根据权利要求1所述的基于互相关的LDDoS攻击的时间同步和流量汇聚方法,其特征在于:
其中:步骤(1)要分别估算攻击者到各攻击端的RTT,各攻击端到各攻击目标的RTT,和经过攻击目标处的TCP连接的RTT。
步骤(2)所设计的波形要求为周期方波脉冲,攻击周期为T,脉冲幅度为R,脉冲长度为L。其中脉冲幅度R要足够大以保证攻击流量能够堵塞链路,脉冲长度要足够长以保证正常流量大量丢失,而过大的攻击脉冲长度同样会使LDDoS成为DDoS。
步骤(3)攻击者首先将攻击脉冲分割成较小的攻击脉冲,然后由各攻击端发送这种较小的脉冲,最后在攻击目标处重新汇聚成攻击脉冲。
步骤(4)是在受害端的上一跳路由监测流量,每隔t秒的间隔对流量进行取样,一个取样周期为T秒。每个抽样数据就成为一个离散的序列xn(i)。
以x1(i)为基准,分别计算每个序列与x1(i)的相关序列r(d),
r n ( d ) = Σ i [ x 1 ( i ) - m x ) * ( x n ( i - d ) - m x ) ] Σ i ( x 1 ( i ) - m x ) 2 Σ i ( x n ( i - d ) - m x ) 2
再分别统计rn(d)取最大值所对应的dn的值。
步骤(5)根据步骤(4)计算出的dn的值,分别调整各攻击端发送攻击脉冲的时间。
步骤(6)采样汇聚后的流量,判断攻击波形是否以达到最佳,如不是重复步骤(4)(5)直到达到最佳。
3.根据2所述的基于互相关的LDDoS攻击的时间同步和流量汇聚方法,可以用以下两种分割方式产生攻击脉冲:
(1)脉冲幅度减倍,攻击周期不变
假设攻击目标处的吞吐能力为C,使用n个攻击端实施LDDoS攻击,设定的攻击周期为T。各个攻击端同步发送峰值为R=C/n、周期为T的攻击脉冲到目标处,最终叠加形成峰值为C、周期为T的攻击脉冲,
(2)脉冲幅度不变,攻击周期增倍
参数同上,各个攻击端按照时间序列为0,T,2T,3T,…,(n-1)T,依次发送峰值为R=C、周期为T*n的攻击脉冲到目标处,最终叠加形成峰值为C、周期为T的攻击脉冲。流量完好的汇聚之后,LDDoS就形成了类似于LDDoS的攻击流量,因此攻击原理与LDDoS一样。
CN201310143580.5A 2013-04-24 2013-04-24 基于互相关的LDDoS攻击时间同步和流量汇聚方法 Pending CN104125194A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310143580.5A CN104125194A (zh) 2013-04-24 2013-04-24 基于互相关的LDDoS攻击时间同步和流量汇聚方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310143580.5A CN104125194A (zh) 2013-04-24 2013-04-24 基于互相关的LDDoS攻击时间同步和流量汇聚方法

Publications (1)

Publication Number Publication Date
CN104125194A true CN104125194A (zh) 2014-10-29

Family

ID=51770460

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310143580.5A Pending CN104125194A (zh) 2013-04-24 2013-04-24 基于互相关的LDDoS攻击时间同步和流量汇聚方法

Country Status (1)

Country Link
CN (1) CN104125194A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245503A (zh) * 2015-09-08 2016-01-13 中国民航大学 隐马尔可夫模型检测LDoS攻击方法
CN108833388A (zh) * 2018-06-05 2018-11-16 上海垣安环保科技有限公司 一种针对网络身份入侵的主动式响应网安系统
CN109120600A (zh) * 2018-07-24 2019-01-01 湖南大学 一种基于流量频数分布特征的LDoS快速检测方法
CN113014351A (zh) * 2021-03-15 2021-06-22 四川英得赛克科技有限公司 一种无侵入式对时方法、系统及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WU ZHIJUN 等: "Research on Time Synchronization and Flow Aggregation in LDDoS Attack Based on Cross-correlation", 《2012 IEEE 11TH INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245503A (zh) * 2015-09-08 2016-01-13 中国民航大学 隐马尔可夫模型检测LDoS攻击方法
CN108833388A (zh) * 2018-06-05 2018-11-16 上海垣安环保科技有限公司 一种针对网络身份入侵的主动式响应网安系统
CN108833388B (zh) * 2018-06-05 2020-10-02 上海垣安环保科技有限公司 一种针对网络身份入侵的主动式响应网安系统
CN109120600A (zh) * 2018-07-24 2019-01-01 湖南大学 一种基于流量频数分布特征的LDoS快速检测方法
CN113014351A (zh) * 2021-03-15 2021-06-22 四川英得赛克科技有限公司 一种无侵入式对时方法、系统及存储介质
CN113014351B (zh) * 2021-03-15 2022-07-22 四川英得赛克科技有限公司 一种无侵入式对时方法、系统及存储介质

Similar Documents

Publication Publication Date Title
Zhijun et al. Low-rate DoS attacks, detection, defense, and challenges: A survey
Cheng et al. Use of spectral analysis in defense against DoS attacks
Chen et al. Power spectrum entropy based detection and mitigation of low-rate DoS attacks
CN104539625B (zh) 一种基于软件定义的网络安全防御系统及其工作方法
CN101378394B (zh) 分布式拒绝服务检测方法及网络设备
Shamsolmoali et al. Statistical-based filtering system against DDOS attacks in cloud computing
CN102638474B (zh) 一种应用层DDoS分布式拒绝服务攻击防御方法
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN104125194A (zh) 基于互相关的LDDoS攻击时间同步和流量汇聚方法
Sumantra et al. DDoS attack detection and mitigation in software defined networks
Bogdanoski et al. Wireless network behavior under icmp ping flooddos attack and mitigation techniques
CN105100017A (zh) 基于信号互相关的LDoS攻击检测方法
CN104158823B (zh) 一种面向LDoS与LDDoS的模拟方法
Luo et al. The NewShrew attack: A new type of low-rate TCP-Targeted DoS attack
Xing et al. A defense mechanism against the DNS amplification attack in SDN
CN104125195A (zh) 基于滤波器频域过滤LDDoS攻击流量的方法
CN109995770B (zh) 一种基于队列分布的LDoS攻击检测方法
Luo et al. Optimizing the pulsing denial-of-service attacks
Liu et al. A comparative study on flood DoS and low-rate DoS attacks
CN113395288B (zh) 基于sdwan主动防御ddos系统
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
Huang et al. Analysis of a new form of distributed denial of service attack
Zhao et al. Combating DDoS attack with dynamic detection of anomalous hosts in software defined network
Zhijun et al. Research on time synchronization and flow aggregation in LDDoS attack based on cross-correlation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20141029