CN104158823A - 一种面向LDoS与LDDoS的模拟方法 - Google Patents

Abstract

本发明公开了一种面向LDoS与LDDoS的模拟方法。主要解决当前基于离散事件网络模拟技术研究LDoS与LDDoS面临的模拟计算开销量大的问题。其实现步骤是：（1）读入一个网络模拟拓扑图；（2）读入UDP攻击流；（3）读入正常TCP流；(4)基于简化队列与链路模型构建网络模拟拓扑场景；（5）将UDP攻击流的脉冲幅度降为1/P，并配置攻击流模拟应用；（6）将TCP流个数降为1/P，并配置TCP流模拟应用；(7)基于离散事件网络模拟技术运行模拟场景，并记录LDoS/LDDoS的模拟结果；（8）将所记录的LDoS/LDDoS的模拟结果扩大P倍，形成最终模拟输出结果。本发明能在保证LDoS/LDDoS模拟真实性的前提下，大大降低模拟的计算开销，可用于支撑大规模LDoS/LDDoS攻防策略的模拟推演。

Description

一种面向LDoS与LDDoS的模拟方法

技术领域

本发明涉及一种面向LDoS(低速率拒绝服务攻击)与LDDoS(低速率分布式拒绝服务攻击)的模拟方法，可用于基于网络模拟技术高效推演LDoS、LDDoS攻防策略的效果。

背景技术

当今，各种各样的恶意攻击给Internet造成了巨大的隐患，严重影响了商业的运作、网络的信息传递和用户的正常使用。拒绝服务攻击(DoS)与分布式拒绝服务攻击(DDoS)被公认为对Internet最大的威胁之一。DoS与DDoS主要通过各种手段消耗网络带宽和系统资源，使正常系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户访问服务。近年来，DoS/DDoS出现了一类危害更强的攻击方式，即低速率拒绝服务攻击(LDoS)或低速率分布式拒绝服务攻击(LDDoS)。LDoS/LDDoS是一种周期性的小流量攻击，它主要利用了TCP协议中的超时重传机制的弱点。与传统的DoS/DDoS相比，LDoS/LDDoS更加隐蔽，在网络链路中很难被传统的DoS/DDoS攻击检测方法发现。依托LDDoS，有学者提出“网络数字大炮”的攻击方法，它可能使得整个Internet陷入瘫痪。因此有必要构建有效的研究实验平台，以支撑应对LDoS/LDDoS防御策略的研究。

当前，离散事件网络模拟技术被广泛应用于LDoS/LDDoS的研究中。这种技术能够针对LDoS/LDDoS中正常数据流与攻击数据流中的数据包每一跳进行细致模拟，具有较高的模拟真实性。但这种方法计算开销巨大，因此，难以适应大规模LDoS/LDDoS的研究需求。试想，若依托传统的离散事件网络模拟技术，模拟整个Internet上的所有数据包每一跳的行为，进而推演出“网络数字大炮”及其防御策略的机理与效果，显然其计算量极大而难以实现。为此，研究高效的LDoS与LDDoS的模拟方法是关键。

发明内容

本发明的目的在于针对现有基于传统离散事件模拟技术的LDoS/LDDoS模拟方法存在的计算开销巨大的问题，提出一种面向LDoS与LDDoS的模拟方法，该方法能保证LDoS与LDDoS模拟真实性的前提下，大大降低LDoS与LDDoS模拟的计算开销，模拟运行时间较低。

按照实现本发明提供的技术方案，所述面向LDoS与LDDoS的模拟方法包括如下步骤：

(1)读入一个网络模拟拓扑图G(V,E)，其中点集合：V＝{v₁…,v_i,…,v_I}，边集合：E＝{l₁…,l_j,…,l_J}；边l_j可用其对应的两个端点表示，即l_j＝(v_j’,v_j”)，其中v_j’∈V，v_j”∈V；边l_j的链路带宽为B_j，延迟为D_j；边l_j端点v_j’对应的RED算法(路由器队列管理算法)阈值参数为T^min _j(最小阈值)，T^max _j(最大阈值)，端点v_j”对应的RED算法阈值参数为T^min _j’(最小阈值)，T^max _j’(最大阈值)；

(2)读入UDP攻击流：A₁…,A_k,…,A_K，第k个攻击流可表示为A_k＝(T^k _Extent,S^k _Extent,T^k _Spaces,L^k，S^k，D^k)，其中T^k _Extent是脉冲攻击长度，S^k _Extent是脉冲幅度，T^k _Spaces表示两个脉冲之间的时间间隔，L^k是攻击发出的脉冲总数，S^k表示攻击流源节点，D^k表示攻击流目的节点；

(3)读入正常TCP流：N₁…,N_l,…,N_L，第l个TCP流可表示为N_l＝(S^l，D^l)，其中S^l表示TCP流源节点，D^l表示TCP流目的节点；

(4)依靠读入的网络模拟拓扑图G(V,E)，配置离散事件网络模拟拓扑场景，其中场景中的队列与链路模型按照简化队列与链路模型构建(简化倍数为P)；

(5)依靠读入的UDP攻击流，配置K个(即A₁…,A_k,…,A_K)攻击流模拟应用，其中第k个攻击流脉冲攻击长度为T^k _Extent，脉冲幅度为S^k _Extent/P，两个脉冲之间的时间间隔为T^k _Spaces，攻击发出的脉冲总数为L^k；

(6)依靠读入的正常TCP流，配置L/P个TCP流模拟应用，即从L个TCP流中，按1/P的概率随机选择其中的L/P个进行配置；

(7)依靠离散事件网络模拟技术，运行步骤(4)-(6)配置形成的网络模拟场景，并记录LDoS/LDDoS分析所需要的相关模拟结果，如TCP到达流量速率，ACK(确认字符)个数等；

(8)将第(7)步的所记录的模拟结果乘以P，形成最终LDoS/LDDoS所需要的模拟输出结果。

其中，步骤(2)读入的UDP攻击流，当攻击流个数K＝1时，表明攻击来源于单个节点，为LDoS，当K>1时，表明攻击来源于多个节点，为LDDoS；本方法对LDoS与LDDoS均适用。

步骤(4)所述的简化队列与链路模型为：对于从节点v_j’发到v_j”的报文，首先使用丢包模型判断是否丢包，如果丢包则丢弃，如果不丢包，则依次经过排队模型、传输模型与传播模型。

路由器队列管理算法的丢包模型按照如下公式计算丢包概率p_j(t)：

$p_j\left(t\right)=\left\{\begin{array}{cc}0& 0\&le;Q_j^{\mathrm{avg}}\left(t\right)<T_j^{\min }/P\\ p_j^{\max }\frac{Q_j^{\mathrm{avg}}\left(t\right)-T_j^{\min }/P}{T_j^{\max }/P-T_j^{\min }/P}& T_j^{\min }/P\&le;Q_j^{\mathrm{avg}}\left(t\right)<T_j^{\max }/P\\ 1& T_j^{\max }/P\&le;Q_j^{\mathrm{avg}}\left(t\right)\end{array}\right.$

其中p^max _j为RED算法最大丢包概率，Q^avg _j(t)为瞬时平均队列长度，P为简化倍数。

所述排队模型按照如下公式计算排队延迟：L(t)×P/B_j，其中L(t)为瞬时队列长度。

所述传输模型按照如下公式计算传输延迟：Length/B_j，其中Length为从节点v_j’发到v_j”的某个报文的长度。

所述传播模型计算传播延迟为D_j。

本发明与现有技术相比存在以下优点:

1.本发明相对于基于传统离散事件模拟技术的LDoS/LDDoS模拟方法，能够大大降低计算开销，同时保证LDoS/LDDoS模拟结果的真实性与传统离散事件模拟技术的结果相当。

2.本发明可用于支撑大规模LDoS与LDDoS攻防策略的快速模拟推演。

附图说明

图1本发明流程图。

图2简化队列与链路模型。

图3LDoS/LDDoS模拟拓扑图。

图4LDoS模拟中TCP到达流量速率比较。

图5LDDoS模拟中TCP到达流量速率比较。

具体实施方式

下面结合图1对本发明的具体实施步骤做进一步详细描述。

步骤1，读入一个网络模拟拓扑图G(V,E)，其中点集合：V＝{v₁…,v_i,…,v_I}，边集合：E＝{l₁…,l_j,…,l_J}；边l_j可用其对应的两个端点表示，即l_j＝(v_j’,v_j”)，其中v_j’∈V，v_j”∈V；边l_j的链路带宽为B_j，延迟为D_j；边l_j端点v_j’对应的RED算法(路由器队列管理算法)阈值参数为T^min _j(最小阈值)，T^max _j(最大阈值)，端点v_j”对应的RED算法阈值参数为T^min _j’(最小阈值)，T^max _j’(最大阈值)；

以图3对网络拓扑拓扑图的读入加以说明，图中点集合：V＝{Router 1,Router 2,Sender 1,Sender 2,…,Sender L,Receiver 1,Receiver 2,…,Receiver L,Attacker 1,Attacker 2,…,Attacker K,Sinker 1,Sinker 2,…,Sinker K}；边集合E＝{(Router 1,Router2),(Sender 1,Router1),(Sender 2,Router1),…,(Sender L,Router1),(Router 2,Receiver 1),(Router 2,Receiver 2),…,(Router 2,Receiver L),(Attacker 1,Router1),(Attacker 2,Router 1),…,(Attacker K,Router 1),(Router 2,Sinker 1),(Router 2,Sinker 2),…,(Router 2,Sinker K)}。Router 1与Router 2间链路带宽10Mb/s，延迟为10ms；(Sender 1,Router1),(Sender 2,Router1),…,(SenderL,Router1),(Router 2,Receiver 1),(Router 2,Receiver 2),…,(Router 2,Receiver L)这些链路的带宽为100Mb/s，延迟为10ms。(Attacker 1,Router1),(Attacker 2,Router 1),…,(Attacker K,Router 1),(Router 2,Sinker 1),(Router 2,Sinker2),…,(Router 2,Sinker K)这些链路的带宽为100Mb/s，延迟为2ms。拓扑图中所有路由器所用的RED算法最小阈值为20，最大阈值为60。

当K＝1，表明攻击源只有一个，为LDoS攻击；当K>1，表明攻击源有多个，为LDDoS攻击。对于LDDoS攻击，在本发明实例中，设定K＝5。

步骤2，读入UDP攻击流：A₁…,A_k,…,A_K，第k个攻击流可表示为A_k＝(T^k _Extent,S^k _Extent,T^k _Spaces,L^k，S^k，D^k)，其中T^k _Extent是脉冲攻击长度，S^k _Extent是脉冲幅度，T^k _Spaces表示两个脉冲之间的时间间隔，L^k是攻击发出的脉冲总数，S^k表示攻击流源节点，D^k表示攻击流目的节点；

在本发明实施例中，对于LDoS攻击(即K＝1)，设定攻击流为A₁＝(250ms,15Mb/s,1s,600,Attacker 1,Sinker 1)。对于LDDoS攻击(即K＝5)，设定5个攻击流为A_k＝(250ms,3Mb/s,1s,600,Attacker k,Sinker k)，k＝1,2,…,5。

步骤3，读入正常TCP流：N₁…,N_l,…,N_L，第l个TCP流可表示为N_l＝(S^l，D^l)，其中S^l表示TCP流源节点，D^l表示TCP流目的节点；

在本发明实施例中，对于LDoS攻击(即K＝1)与LDDoS攻击(即K＝5)，L＝10，即总共有10个TCP流，可表示为N_l＝(Sender l,Receiver l)，l＝1,2,…,10。

步骤4，依靠读入的网络模拟拓扑图G(V,E)，配置离散事件网络模拟拓扑场景，其中场景中的队列与链路模型按照简化队列与链路模型构建(简化倍数为P)，如图2所示。以边l_j为例进行描述，其链路带宽为B_j，延迟为D_j；边l_j对应的端点v_j’的RED算法阈值参数为T^min _j，T^max _j。对于从节点v_j’发到v_j”的报文，首先使用丢包模型判断是否丢包，如果丢包则丢弃，如果不丢包，则依次经过排队模型、传输模型与传播模型。

在本发明实施例中，所使用的网络模拟平台是NS2。依靠NS2现有的节点构建命令，创建步骤1中列出的网络拓扑图中的各个节点模型。基于本发明所提出的简化队列与链路模型，创建步骤1列出的网络拓扑图中的各链路模型。在本发明实施例中，简化队列与链路模型的简化倍数P＝2，步骤1中所列出的各条链路对应的简化队列与链路模型中的丢包模型、排队模型、传输模型、传播模型分别如下：

a)丢包模型。所有链路对应的丢包模型满足如下公式：

$p_j\left(t\right)=\left\{\begin{array}{cc}0& 0\&le;Q_j^{\mathrm{avg}}\left(t\right)<10\\ p_j^{\max }\frac{Q_j^{\mathrm{avg}}\left(t\right)-10}{20}& 10\&le;Q_j^{\mathrm{avg}}\left(t\right)<30\\ 1& 30\&le;Q_j^{\mathrm{avg}}\left(t\right)\end{array}\right.$

其中p^max _j为RED算法最大丢包概率，Q^avg _j(t)为瞬时平均队列长度。

b)排队模型。对于链路(Router 1,Router2)，其对应的排队延迟满足如下公式：L(t)/(5Mb/s)；对于其它所有链路，其对应的排队延迟满足如下公式：L(t)/(50Mb/s)。其中L(t)为瞬时队列长度。

c)传输模型。对于链路(Router 1,Router2)，其对应的传输延迟满足如下公式：Length/(10Mb/s)；对于其它所有链路，其对应的传输延迟满足如下公式：Length/(100Mb/s)。其中Length为某个待转发的报文的长度。

d)传播模型。对于链路(Router 1,Router2),(Sender 1,Router1),(Sender 2,Router1),…,(Sender L,Router 1),(Router 2,Receiver 1),(Router 2,Receiver 2),…,(Router 2,Receiver L)，其对应的传播延迟为10ms；对于链路(Attacker 1,Router1),(Attacker 2,Router 1),…,(Attacker K,Router 1),(Router 2,Sinker 1),(Router 2,Sinker 2),…,(Router 2,Sinker K)，其对应的传播延迟为2ms。

步骤5，依靠读入的UDP攻击流，配置K个(即A₁…,A_k,…,A_K)攻击流模拟应用，其中第k个攻击流脉冲攻击长度为T^k _Extent，脉冲幅度为S^k _Extent/P(P为简化倍数)，两个脉冲之间的时间间隔为T^k _Spaces，攻击发出的脉冲总数为L^k；

在本发明实施例中，基于NS2的CBR流量模型，设定UDP攻击流。其中，对于LDoS攻击(即K＝1)，设定攻击流为A₁＝(250ms,7.5Mb/s,1s,600,Attacker 1,Sinker 1)。对于LDDoS攻击(即K＝5)，设定5个攻击流为A_k＝(250ms,1.5Mb/s,1s,600,Attacker k,Sinker k)，k＝1,2,…,5。

步骤6，依靠读入的正常TCP流，配置L/P个TCP流模拟应用，即从L个TCP流中，按1/P的概率随机选择其中的L/P个进行配置(P为简化倍数)；

在本发明实施例中，基于NS2的TCP/FTP模型，设定正常TCP流；对于LDoS攻击(即K＝1)与LDDoS攻击(即K＝5)，随机选定步骤3中读入的5个TCP流进行设定，忽略剩余的5个TCP流。

步骤7，依靠离散事件网络模拟技术，运行(4)-(6)配置形成的网络模拟场景，并记录LDoS/LDDoS分析所需要的相关模拟结果，如TCP到达流量速率，ACK个数等；

在本发明实施例中，基于步骤4-步骤6的配置，使用NS2进行模拟，设定模拟时间为1000秒，LDOS/LDDoS持续段为200秒-800秒。记录整个模拟过程中TCP到达流量速率，用来分析LDOS/LDDoS的模拟攻击效果。

步骤8，将步骤7的所记录的模拟结果乘以P，形成最终LDoS/LDDoS所需要的模拟输出结果。

在本发明实施例中，将步骤7所记录的TCP到达流量速率乘以2倍(P＝2)，输出形成最终的TCP到达流量速率，用来分析LDOS/LDDoS的模拟攻击效果。

本发明的效果可以通过以下仿真试验进一步说明：

实施例一LDoS攻击

在这个实例中，基于图3，设置K＝1，表明攻击源只有一个，为LDoS攻击；L＝10，表明有10个TCP正常流。通过比较本方法获得的TCP到达流量速率模拟结果，与传统方法(传统离散事件模拟技术)获得的结果，来验证本方法的模拟真实性，如图4所示。在本实施例中，模拟时间为1000秒，其中攻击时间段在200-800秒之间。可以发现本方法所获得的模拟结果与传统方法获得的模拟结果基本一致，表明本方法能够保证LDoS模拟结果的真实性。表1比较了两种方法在有LDoS攻击情况下与无LDoS攻击情况下TCP到达流量速率的平均值，可见本方法并不会降低模拟结果的真实性。

表1LDoS中TCP到达流量速率平均值比较

表2比较了针对LDoS模拟，本方法与传统方法相比所需要的计算开销，可见本方法在简化倍数P＝2的情况下，能够降低所需要处理的离散事件个数以及所需要的运行时间约为50％。

表2LDoS的计算开销比较

实施例二LDDoS攻击

在这个实例中，基于图3，设置K＝5，表明攻击源为多个，为LDDoS攻击；L＝10，表明有10个TCP正常流。通过比较本方法获得的TCP到达流量速率模拟结果，与传统方法(传统离散事件模拟技术)获得的结果，来验证本方法的模拟真实性，如图5所示。在本实施例中，模拟时间为1000秒，其中攻击时间段在200-800秒之间。可以发现本方法所获得的模拟结果与传统方法获得的模拟结果基本一致，表明本方法能够保证LDDoS模拟结果的真实性。表3比较了两种方法在有LDDoS攻击情况下与无LDDoS攻击情况下TCP到达流量速率的平均值，可见本方法并不会降低模拟结果的真实性。

表3LDDoS中TCP到达流量速率平均值比较

表4比较了针对LDDoS模拟，本方法与传统方法相比所需要的计算开销，可见本方法在简化倍数P＝2的情况下，能够降低所需要处理的离散事件个数以及所需要的运行时间同样约为50％。

表4LDDoS的计算开销比较

Claims (7)

1.一种面向LDoS与LDDoS的模拟方法，其特征是，包括以下步骤：

(1)读入一个网络模拟拓扑图G(V,E)，其中点集合：V＝{v₁…,v_i,…,v_I}，边集合：E＝{l₁…,l_j,…,l_J}；边l_j可用其对应的两个端点表示，即l_j＝(v_j’,v_j”)，其中v_j’∈V，v_j”∈V；边l_j的链路带宽为B_j，延迟为D_j；边l_j的端点v_j’对应的路由器队列管理算法的最小阈值参数为T^min _j，最大阈值参数为T^max _j，边l_j的端点v_j”对应的路由器队列管理算法最小阈值参数为T^min _j’，最大阈值参数为T^max _j’；

(2)读入UDP攻击流：A₁…,A_k,…,A_K，第k个攻击流表示为A_k＝(T^k _Extent,S^k _Extent,T^k _Spaces,L^k，S^k，D^k)，其中T^k _Extent是脉冲攻击长度，S^k _Extent是脉冲幅度，T^k _Spaces表示两个脉冲之间的时间间隔，L^k是攻击发出的脉冲总数，S^k表示攻击流源节点，D^k表示攻击流目的节点；

(3)读入正常TCP流：N₁…,N_l,…,N_L，第l个TCP流表示为N_l＝(S^l，D^l)，其中S^l表示TCP流源节点，D^l表示TCP流目的节点；

(4)依靠读入的网络模拟拓扑图G(V,E)配置离散事件网络模拟拓扑场景，其中场景中的队列与链路模型按照简化队列与链路模型构建，简化倍数为P；

(5)依靠读入的UDP攻击流，配置K个攻击流模拟应用A₁…,A_k,…,A_K，其中第k个攻击流脉冲攻击长度为T^k _Extent，脉冲幅度为S^k _Extent/P，两个脉冲之间的时间间隔为T^k _Spaces，攻击发出的脉冲总数为L^k；

(6)依靠读入的正常TCP流，配置L/P个TCP流模拟应用，即从L个TCP流中，按1/P的概率随机选择其中的L/P个进行配置；

(7)依靠离散事件网络模拟技术，运行步骤(4)-步骤(6)配置形成的网络模拟场景，并记录LDoS与LDDoS分析所需要的相关模拟结果，包括TCP到达流量速率，ACK个数；

(8)将步骤(7)的所记录的模拟结果乘以P，形成最终LDoS与LDDoS所需要的模拟输出结果。

2.根据权利要求1所述的一种面向LDoS与LDDoS的模拟方法，其特征是，步骤(2)读入的UDP攻击流，当攻击流个数K＝1时，表明攻击来源于单个节点，为LDoS，当K>1时，表明攻击来源于多个节点，为LDDoS。

3.根据权利要求1所述的一种面向LDoS与LDDoS的模拟方法，其特征是，步骤(4)所述的简化队列与链路模型为：对于从节点v_j’发到v_j”的报文，首先使用丢包模型判断是否丢包，如果丢包则丢弃，如果不丢包，则依次经过排队模型、传输模型与传播模型。

4.根据权利要求3所述的一种面向LDoS与LDDoS的模拟方法，其特征是，所述简化队列与链路模型中，路由器队列管理算法的丢包模型按照如下公式计算丢包概率p_j(t)：

$p_j\left(t\right)=\left\{\begin{array}{cc}0& 0\&le;Q_j^{\mathrm{avg}}\left(t\right)<T_j^{\min }/P\\ p_j^{\max }\frac{Q_j^{\mathrm{avg}}\left(t\right)-T_j^{\min }/P}{T_j^{\max }/P-T_j^{\min }/P}& T_j^{\min }/P\&le;Q_j^{\mathrm{avg}}\left(t\right)<T_j^{\max }/P\\ 1& T_j^{\max }/P\&le;Q_j^{\mathrm{avg}}\left(t\right)\end{array}\right.$

其中p^max _j为RED算法最大丢包概率，Q^avg _j(t)为瞬时平均队列长度，P为简化倍数。

5.根据权利要求3所述的一种面向LDoS与LDDoS的模拟方法，其特征是，所述简化队列与链路模型中，所述排队模型按照如下公式计算排队延迟：L(t)×P/B_j，其中L(t)为瞬时队列长度。

6.根据权利要求3所述的一种面向LDoS与LDDoS的模拟方法，其特征是，所述简化队列与链路模型中，所述传输模型按照如下公式计算传输延迟：Length/B_j，其中Length为从节点v_j’发到v_j”的某个报文的长度。

7.根据权利要求3所述的一种面向LDoS与LDDoS的模拟方法，其特征是，所述简化队列与链路模型中，所述传播模型计算传播延迟为D_j。