CN105100017A - 基于信号互相关的LDoS攻击检测方法 - Google Patents

Abstract

低速率拒绝服务LDoS(Low-rate？Denial？of？Service)攻击是一种基于TCP/IP协议漏洞，采用密集型周期性脉冲的攻击方式。本发明针对分布式LDoS攻击脉冲到达目标端的时序关系，提出基于互相关的LDoS攻击检测方法。该方法通过计算构造的检测序列与采样得到的网络流量序列的相关性，得到相关序列，采用基于循环卷积的互相关算法来计算攻击脉冲经过不同传输通道在特定的攻击目标端的精确时间，利用无周期单脉冲预测技术估计LDoS攻击的周期参数，提取LDoS攻击的脉冲持续时间的相关性特征，并设计判决门限规则。实验结果表明基于信号互相关的LDoS攻击检测方法具有较好的检测性能。

Description

基于信号互相关的LDoS攻击检测方法

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(LDoS)攻击的检测，可以高准确率的检测出攻击。

背景技术

进入2013年以来，网络安全的国际形势风起云涌，包括中国在内的多国政府和重要企业的网站均受到境外网络犯罪组织的攻击，国家互联网应急中心在2013年5月6日-13日一周内处理的网络安全事件就多达309起，其中有跨境网络安全事件190起。攻击者采用的攻击手段中最常见，也是最有效的就是拒绝服务DoS(DenialofService)攻击。根据流量大小，DoS攻击分为高速率洪水(Flood)攻击和低速率地鼠(Shrew)攻击。也有学者根据单位时间内平均发包量的多少来区分低速率和高速率，比如澳大利亚迪肯大学的YangXiang将1000packet/s定位为区分高速率和低速率的标准。“地鼠”类型的低速率DoS攻击，又称为LDoS(Low-rateDenialofService)，它的流量仅占正常流量的10-20％。由于该攻击在时域(TimeDomain)上平均速率很低，流量占用的带宽小，很难被现有检测手段发现。所以，它被形象地将其称为“地鼠”分布式拒绝服务(ShrewDDoS)攻击；LDoS攻击的信号形式为周期性的脉冲，又被称为“脉冲调制”(Pulsing)攻击；LDoS攻击的最终表现形式是降低被攻击目标的服务质量，所以又被称为“降质”RoQ(ReductionofQuality)攻击。LDoS攻击具有出色的躲避检测能力，是网络犯罪者最钟爱的攻击方式，也是网络安全的主要威胁之一。

一个LDoS攻击可以用一个三元参数组(T，L，R)来描述。其中：T为攻击周期，它是两次连续的攻击脉冲之间的时间间隔，是通过来自可信赖源端估计的TCPRTO计时器执行情况来计算的；L为脉冲宽度，它描述了攻击者持续发包的时间段；R为脉冲幅度，它显示了攻击流的最高速率。

为了获得更高的吞吐量，TCP协议使用带固定增量的预定义的RTO值。在单一的TCP流中，如果攻击流量在往返时间RTT(Round-tripTime)时刻内足够导致数据包(Packet)丢失时，这个TCP流将进入超时状态，并且尝试在RTO时间后再发送一个新的数据包。如果LDoS攻击的周期大致等于这个TCP流的RTO时，这个TCP流将持续丢失数据包而不能够退出超时状态，以至于其吞吐量大幅度下降^[3]。

一个成功的LDDoS攻击在保证不被检测的情况下必须具有：a.以最小RTO时间或者其整数倍为脉冲间隔为周期；b.足够大的R诱使合法的TCP流丢包；c.足够长的L引起重传。LDDoS攻击可以估计RTO时间来调整其攻击周期，周期性地发送攻击脉冲当脉冲达到最高速率R时，使得合法的TCP流试图发送数据包到目的主机的网络链路被严重的阻塞，导致合法的TCP流量被迫启动拥塞控制。极大的降低它们的发包速率，影响正常的服务请求的响应时间，从而达到LDDoS的攻击的目的。如果R和L超过一定的值就存在被检测机制发现的可能。因此攻击采用分布式的方式，来自不同信道的小攻击脉冲在特定位置汇聚成一个大的攻击脉冲。这就需要精确的时间控制，这些小脉冲必然在周期T和脉冲长度L上具有某种必然关系。也就是说这些小脉冲相互之间有很高的相关性。针对这一特点，本文提出了基于信号互相关的检测算法。预先构造攻击模型，计算攻击模型与采集的网络流量间的相关性，从相关序列中提取攻击的各种特征以达到检测的目的。

自从2001年LDDoS被发现以来，引起了世界上很多研究者的关注。国内外学者针对LDoS攻击的研究取得很多成果但也存在一定问题。

在国际上，KUZMANOVIC和KNIGHT最早对LDDoS的产生原理进行了比较详细的分析，并对LDDoS的周期脉冲特性进行了深入的研究，挖掘了LDDoS攻击产生溢出的方法，提出了基于网络的防御思想[3]；CHENG首先提出了在频率域(FrequencyDomain)利用累计的归一化功率普密度NCPSD(NormalizedCumulativePowerSpectrumDensity)检测LDDoS攻击的方法[7]；BARFORD.P.和KLINE.J.等提出了采用信号处理的方法检测网络中异常流量的方法[8]；GabrielMaciá-Fernández和Y.Zhang等比较完善的研究了在频率域检测LDDoS攻击的方法，并在NS-2环境下做了仿真试验[9]；XiapuLuo和RockyK.C.Chang对LDDoS攻击的性能方面进行了仿真和试验，并采用小波(Wavelet)技术在频域中检测LDDoS攻击；AleksandarKuzmanovic和EdwardW.Knightly对面向TCP的LDDoS攻击行和防范策略进行了研究。目前，国际上针对LDDoS的研究大都集中在其检测和防御上。

在国内，北京邮电大学信息安全中心的杨义先教授领导的研究团队研究了一种检测低速率拒绝服务攻击的方法及装置，钮心昕教授领导的研究小组研究了低速率拒绝服务攻击的三级检测算法；武汉大学计算机学院的何炎祥教授带领的研究小组开展LDDoS攻击模型等相关的研究，并提出了一种基于小波特征提取的低速率DoS检测方法；中国科技大学的研究小组研究了LDDoS针对快速TCP攻击的性能；国防科技大学计算机学院的张长旺等研究了基于拥塞参与度的分布式低速率DoS攻击检测过滤方法；浙江大学的魏蔚等研究了低速率TCP拒绝服务攻击的检测响应机制；上海交通大学研究了基于快速重传/恢复的低速拒绝服务攻击机制；本课题组成员在分析LDDoS攻击的原理和产生机制的基础上，针对其攻击的性能进行了研究，并在采用信号处理技术，基于功率谱密度PSD的检测和频域过滤LDDoS攻击方面取得了一些进展。

DDoS攻击之所以相对容易发生，因为目前Internet缺乏有效的认证机制，其开放结构使得任意数据包都可以到达目的地；加上网络上已有现成的DDoS工具可被利用，为发起DDoS攻击创造了便利。精心构造的攻击甚至能够达到24Gbps的攻击流量，足以充斥任一服务器的接入带宽。因此，DDoS攻击的解决方案一直是网络安全研究领域的难点问题。

在合法TCP流和LDDoS流是发往同一目的地的情况下，LDDoS流表现出两个不同的重要行为：

第一，LDDoS流的最高速率将保持不变，而TCP流则呈线性增长；

第二，LDDoS流在相对固定的时间周期到达目的地，而TCP流则是连续到达。

(1)研究水平存在的问题

用现有的通信量分析方法，周期性脉冲很难在时间域被检测出来。这是因为平均共享的带宽并不是非常大。在分布式的情况下，成倍的傀儡机发起的攻击会更进一步降低单个通信量的速率，因此，就导致检测更加困难。分布式攻击发起者可以通过降低最高速率或者延长攻击周期来降低平均通信量。所以，用时间序列检测这类攻击是毫无效果的。目前，现有的攻击检测手段基本是基于时间序列的，对LDDoS攻击的检测是个盲点。

LDDoS攻击目前之所以没有在国内全面报道或者形成轰动效应的主要原因为：

第一，目前入侵检测手段采用的方法时序机制，即在设定的检测时间内对攻击的包个数进行统计，根据统计流量的大小来判定是否存在攻击。由于LDDoS攻击脉冲的持续时间很短，远小于现有检测方法设定的平均检测时间，而且LDDoS攻击的平均流量很小，只有正常流量的10％-20％。因此，当现有检测手段对于LDDoS攻击无能为力；

第二，LDDoS攻击需要的专业知识较高。一般的黑客即便掌握的LDDoS攻击的产生技术，但由于攻击时间同步和流量汇聚等关键技术不能很好的解决，所以，发起LDDoS攻击的概率很小；

第三，当前，大多网络攻击是以金钱为利益驱使。高技术、大危害度的攻击都掌握在少数技术高明的黑客手中。在有利可图的情况下，出租攻击网络给出钱人，去破坏或者报复选定的目标。

(2)发展趋势

在分布式拒绝服务DDoS攻击的处理上，目前国际上流行采用信号处理的方法与网络流量数据处理技术相结合，把经典的信号检测理论和滤波器理论应用到攻击流量的检测和过滤方法中。例如：次用归一化累计功率谱密度NCPSD作为检测LDDoS攻击的判定依据；还有采用小波分析技术在频率分量中发现攻击分量等。本项目将网络技术与信息处理理论相结合，采用在频域(FrequencyDomain)处理LDDoS攻击的手段，研究LDDoS攻击的频域流量特征，提出频域检测和过滤LDDoS攻击流量的核心算法和关键技术。

发明内容

设X、Y为两个相同的异步LDoS攻击分布。x(n)，y(n)，n＝1，2，…，N-1为分别属于这两个分布的序列。则这两个序列的相关系数r定义为

$\begin{array}{c}{r}_{\mathrm{xy}}=\frac{\mathrm{cov}(X,Y)}{\sqrt{\mathrm{DX}}\sqrt{\mathrm{DY}}}\\ =\frac{\underset{n}{\mathrm{\Σ}}[\left(x\left(n\right){-m}_x\right)*(y\left(n\right)-m_y)]}{\sqrt{\underset{n}{\mathrm{\Σ}}{(x\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\Σ}}{\left(y\left(n\right)m_y\right)}^2}}\end{array}---\left(1\right)$

其中，m_x和m_y分别是序列x(n)和y(n)的均值。

考虑到LDoS攻击序列在传输过程中经过传输路径的不同造成延时的不同，只求两个序列的相关系数r并不能完全体现出序列间的相关程度。因此，在考虑不同时延时，两个时延为d的序列的相关系数r(d)定义为

$r_{\mathrm{xy}}\left(d\right)=\frac{\underset{n}{\mathrm{\Σ}}[\left(x\left(n\right){-m}_x\right)*\left(y(n-d){-m}_y\right)]}{\sqrt{\underset{n}{\mathrm{\Σ}}{(x\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\Σ}}{\left(y(n-d){-m}_y\right)}^2}}---\left(2\right)$

其中，d＝0，±1，±2，…±(N-1)。

对于理想的LDoS攻击序列，求得的r(d)如图1所示。

检测的目的就是要从r(d)序列中提取出LDoS攻击脉冲的特征值，比如：攻击周期T和脉冲持续时间L。只要判定出现LDoS攻击，并能正确攻击LDoS攻击的周期T和脉冲持续时间L，则就确定检测到LDoS攻击。

根据式(2)并结合攻击序列的时序特征，从图一中可以看出在时r(d)取最大值，在 $d=\mathrm{mT}\±L,m=\mathrm{0,1},\·\·\·\frac{N}{T}$ 时r(d)取最小。

值。并且每个波峰的宽度都为2L，相邻波峰的间隔为T。图一表明随着|d|的增大，r(d)的波峰有明显的衰减。这对于提取攻击特征T、L是十分不利的。造成这种衰减的原因是式(2)的分子部分进行的是线性卷积计算。在线性卷积计算中，随着y(n)相对x(n)的位移d的增大，y(n)与x(n)叠加的部分会减少，如图1所示。

为了解决这个问题本文用循环卷积来代替线性卷积。对两个长度为N的有限序列x(n)和y(n)，他们的循环卷积h(d)定义为

$h\left(d\right)=x\left(n\right)\⊗y\left(n\right)=[\underset{n}{\mathrm{\Σ}}x\left(n\right)*\tilde{y}(n-d)]R_N\left(d\right)---\left(3\right)$

为y(n-d)以N为周期的周期延拓，先计算长度为N的有限序列x(n)和以周期为N的无限序列的卷积，得到周期为N的无限序列再根据相对位移d的取值范围得到的主值序列h(d)。循环卷积的计算方法如图3所示。

基于循环卷积的互相关算法可以定义为：

$r_{\mathrm{xy}}\left(d\right)=\frac{\underset{n}{\mathrm{\Σ}}[(x\left(n\right)-m_x)*\left(\tilde{y}(n-d){-m}_y\right)](R_N\left(d\right)+R_N(-d-1))}{\sqrt{\underset{n}{\mathrm{\Σ}}{(x\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\Σ}}{\left(y(n-d){-m}_y\right)}^2}}---\left(4\right)$

对于理想的LDoS攻击序列x(n)和y(n)，求得基于循环卷积的r(d)，如图4和图5所示。

从图5可以明显看出，应用基于循环卷积的互相关算法得出的r(d)是一个以T为周期的周期序列。因此，在背景流量中检测LDoS攻击，就是从r(d)序列中提取出LDoS攻击脉冲的2个相关特征T和L。

在实际网络环境中，攻击脉冲都是隐藏在正常流量中，混合了攻击脉冲的混合流量与正常流量非常相似，十分难以检测。因此，可采用互相关算法从混合流量中提取出攻击脉冲的特征，以达到检测攻击的目的。

设含有攻击脉冲的混合流量为g(n)，则：

g(n)＝x(n)+h(n)(5)

式中，x(n)为LDoS攻击脉冲序列，h(n)为背景流量(本文用TCP流量表示背景流量)，属于H分布。

检测LDoS攻击就是检测g(n)序列中是否隐藏有x(n)序列，直接从g(n)中分离x(n)是十分困难的。因此，需要预先构造一个与x(n)属于同分布的序列y(n)，对混合流量序列g(n)进行互相关检测。则：

$r_{\mathrm{gy}}=\frac{\mathrm{cov}(G,Y)}{\sqrt{\mathrm{DG}}\sqrt{\mathrm{DY}}}---\left(6\right)$

因为，G＝X+H，且认为X与H相互独立。所以：

cov(G，Y)＝cov(X，Y)+cov(H，Y)(7)

DG＝D(X+H)＝DX+DH+2cov(X，H)(8)

则：

$\begin{array}{c}{r}_{\mathrm{gy}}=-\frac{\mathrm{cov}(X,Y)+\mathrm{cov}(H,Y)}{\sqrt{\mathrm{DX}+\mathrm{DH}+2\mathrm{cov}(X,H)}\sqrt{\mathrm{DY}}}\\ =\frac{\sqrt{\mathrm{DX}}}{\sqrt{\mathrm{DX}+\mathrm{DH}+2\mathrm{cov}(X,H)}}\frac{\mathrm{cov}(X,Y)+\mathrm{cov}(H,Y)}{\sqrt{\mathrm{DX}}\sqrt{\mathrm{DY}}}\end{array}---\left(9\right)$

因此，

$r_{\mathrm{gy}}=\frac{\sqrt{\mathrm{DX}}}{\sqrt{\mathrm{DG}}}{r}_{\mathrm{xy}}+\frac{\sqrt{\mathrm{DH}}}{\sqrt{\mathrm{DG}}}{r}_{\mathrm{hy}}---\left(10\right)$

再由于H与X、Y相关程度很低。所以，

r_hy≈0(11)

即，h(n)与y(n)的相关序列r(d)近似为零，如图6所示。

则，

$r_{\mathrm{gy}}\≈\frac{\sqrt{\mathrm{DX}}}{\sqrt{\mathrm{DG}}}{r}_{\mathrm{xy}}---\left(12\right)$

r_gy(d)＝kr_xy(d)+σ(13)

式中， $k\≈\frac{\sqrt{\mathrm{DX}}}{\sqrt{\mathrm{DG}}},$ σ≈r_hy。

$r_{\mathrm{xy}}\left(d\right)\≈\frac{1}{k}{r}_{\mathrm{gy}}\left(d\right)---\left(14\right)$

其中，DG为混合流量的方差，可对混合流量采样，计算得到。DX为攻击序列的方差，可近似地认为DX等于构造出的检测序列y(n)的方差。根据式(14)，可以利用混合流量g(n)和预先构造的检测序列y(n)计算出r_xy(d)。进而从中提取出LDoS的相关特征，检测出攻击。

LDoS攻击序列是脉冲强度为R，脉冲持续时间为L，周期为T的周期方波脉冲。为了保证检测效果，在构造检测序列y(n)的时候需要精确预估计攻击序列的R，L和T的值。做为检测方，攻击脉冲的相关参数是不可预知的。因此，估计参数与实际参数之间的误差直接影响到检测性能，必须保证各参数的估计值的误差对检测结果的影响缩小在可接收的范围。

(1)参数R的预估计

R的取值只影响y(n)的大小，设Z＝nY，则：

$\begin{array}{c}{r}_{\mathrm{xz}}=\frac{\mathrm{cov}(X,Z)}{\sqrt{\mathrm{DX}}\sqrt{\mathrm{DZ}}}=\frac{\mathrm{cov}(X,\mathrm{nY})}{\sqrt{\mathrm{DX}}\sqrt{n^2\mathrm{DY}}}\\ =\frac{\mathrm{ncov}(X,Y)}{\sqrt{\mathrm{DX}}*n\sqrt{\mathrm{DY}}}{=r}_{\mathrm{xy}}\end{array}---\left(15\right)$

根据式(15)得知对R值估计的误差δ对检测结果没有任何影响。因此，在构造检测序列y(n)时，R一般取链路瓶颈的大小。

(2)参数L的预估计

设x(n)、y(n)的脉冲持续时间分别为L、当L＝200ms，而分别取100ms、400ms时，r_xy(d)序列如图7和图8所示。

从图7和图8可以看出，参数L估计的误差对r(d)序列的周期没有影响。它主要影响每个波峰的形状，当过大时波峰形状由三角波变为梯形波。下面分析估计误差对r(d)峰值的影响。

首先给出LDoS攻击序列的数学模型

$x\left(n\right)=\left\{\begin{array}{cc}R& \mathrm{kT}\&le;n<\mathrm{kT}+L\\ 0& \mathrm{kT}+L\&le;n<(k+1)T\end{array}\right.---\left(16\right)$

其中，k＝0，1，2…。

则，两个参数(R、L、T)相同LDoS序列间的互相关序列r(d)为：

$\begin{array}{c}r\left(d\right)=\frac{\underset{n=0}{\overset{N}{\mathrm{\&Sigma;}}}(x\left(n\right)-m_x)\left(y(n-d){-m}_y\right)}{\sqrt{\underset{n=0}{\overset{N}{\mathrm{\&Sigma;}}}{\left(x\left(n\right){-m}_x\right)}^2}\sqrt{\underset{n=0}{\overset{N}{\mathrm{\&Sigma;}}}{\left(y(n-d){-m}_y\right)}^2}}\\ =\frac{a\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}\left(x\left(n\right){-m}_x\right)\left(y(n-d){-m}_y\right)}{\sqrt{a\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}{\left(x\left(n\right){-m}_x\right)}^2}\sqrt{a\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}{\left(y(n-d){-m}_y\right)}^2}}\\ =\frac{\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}\left(x\left(n\right){-m}_x\right)\left(y(n-d){-m}_y\right)}{\sqrt{\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}{\left(x\left(n\right){-m}_x\right)}^2}\sqrt{\underset{n=0}{\overset{T}{\mathrm{\&Sigma;}}}{\left(y(n-d){-m}_y\right)}^2}}\end{array}---\left(17\right)$

其中，N为采样窗口的大小，a采样窗口内脉冲的个数。由于均值m_x，m_y对；两个序列相关性影响不大，为了简化计算，可以把x(n)、y(n)的均值m_x，m_y都设为0。则r(d)的峰值为：

$\max r\left(d\right)=\frac{{L(R-0)}^2}{\sqrt{L{(R-0)}^2}\sqrt{L{(R-0)}^2}}=1---\left(18\right)$

而在构造检测序列y(n)时对其参数L的估计会出现一些偏差，设为估计值，则当时

$\begin{array}{c}\max r\left(d\right)=\frac{{\mathrm{LR}}^2}{\sqrt{{\mathrm{LR}}^2\sqrt{{\hat{L}R}^2}}}\\ =\frac{L}{\sqrt{L\hat{L}}}\end{array}---\left(19\right)$

当 $\hat{L}<L$ 时，

$\begin{array}{c}\max r\left(d\right)=\frac{{\hat{L}R}^2}{\sqrt{{\mathrm{LR}}^2}\sqrt{{\hat{L}R}^2}}\\ =\frac{\hat{L}}{\sqrt{L\hat{L}}}\end{array}---\left(20\right)$

则对参数L估计的误差δ对相关序列峰值的影响为：

根据式(21)，当L为200ms时maxr(d)与δ之间的关系如图9所示。

在图9中，实线为理论分析值，星型实线表示实验测试值。图9说明理论分析结果和实际测试结果基本吻合。

在实际情况下，LDoS攻击脉冲的持续时间L一般为2～3个RTT，正常网络RTT一般不超过100ms。过大的L会使LDoS攻击沦为DDoS攻击。因此，在构造检测序列y(n)时，可以根据被攻击网络环境取1～3个RTT大小做为L的取值，估计误差不会超过1～2个RTT。L的估计误差δ在一定范围内(图15)，对相关序列r(d)的影响很小，不影响检测结果。

(3)参数T的预估计

周期性是LDoS攻击最显著的特征，因此在构造检测序列y(n)时，对T的预估计必须十分精确。

对于同步LDoS攻击，其周期严格按照RTO的指数倍增长，相邻脉冲的时间间隔分别为RTO，2RTO，4RTO，…。因此，可以根据被攻击网络的RTO构造检测序列。

对于异步LDoS攻击，其周期固定，相邻脉冲的时间间隔相同。对周期估计的误差对结果影响十分大，当攻击周期为1.2s，周期估计值为2s时r(d)序列如图10所示。

图10如此混乱的原因是互相关算法在计算卷积的时候会体现出两个序列的周期性，而如果这两个序列的周期不同时，两个不同的周期在一个结果中同时出现就会十分混乱。

因此，在构造y(n)之前，先构造一个y′(n)。y′(n)是一个单脉冲的序列，它本身是不具备周期性的，它的作用是检测x(n)的周期性。构造的y′(n)以及它与x(n)的相关序列r(d)如图11所示。

虽然x(n)与y′(n)之间的相关程度不高，但是相关序列r(d)完整的展现出了x(n)的周期性。而且每个波峰的峰值大约为0.5左右，这明显大于背景流量h(n)与y(n)的相关程度。这说明我们能够用y′(n)从混合流量中提取出x(n)的周期特性。只要计算相邻波峰间的距离，就可以估计出攻击的周期，进而完成对y(n)的构造。

但估计出的周期和实际周期T间仍可能出现误差。误差较小时对相关序列r(d)的影响主要体现在对r(d)的峰值的影响，而对相关序列r(d)的周期性的影响不明显。

设x(n)参数T＝1200ms，L＝200ms，采样窗口大小N＝3000ms，窗口内脉冲个数为3个，估计的周期为构造的检测序列y(n)以为周期，其他参数与x(n)相同。此时相关序列r(d)取得峰值时对应的x(n)与y(n)的位移关系如图12所示。

则，

$\max r\left(d\right)=\frac{{\mathrm{LR}}^2+2(L-|\mathrm{\&delta;}\left|\right)R^2}{\sqrt{{3\mathrm{LR}}^2}\sqrt{{3\mathrm{LR}}^2}}=1-\frac{2\left|\mathrm{\&delta;}\right|}{3L}---\left(22\right)$

maxr(d)与δ之间的关系如图13所示。

在图13中，实线为理论分析值，星型实线表示实验测试值。图13表明理论分析结果和实际测试结果基本吻合。周期T的估计误差δ在可以控制的较小范围内对相关序列峰值的影响较小，不影响检测结果。估计误差的范围在下面具体试验中求得。

附图说明

图1为理想LDoS攻击的r(d)序列

图2为线性卷积计算图示

图3为循环卷积计算图示

图4为基于循环卷积的同步攻击r(d)序列

图5为基于循环卷积的异步攻击r(d)序列

图6为h(n)与y(n)的相关序列r(d)

图7为 $L=200\mathrm{ms},\hat{L}=100\mathrm{ms}$ 时r(d)序列

图8为 $L=200\mathrm{ms},\hat{L}=400\mathrm{ms}$ 时r(d)序列

图9为L的估计误差对r(d)峰值的影响

图10为攻击周期为1.2s估计周期为2s时r(d)序列

图11为x(n)，y′(n)以及他们的相关序列r(d)

图12为相关序列r(d)计算示意图

图13为T的估计误差对r(d)峰值的影响

图14为本发明所应用的NS2仿真拓扑图。

具体实施方式

1.按照图3模拟的攻击场景。合法用户1为被攻击目标，它经过路由器A和B与用户9、10建立正常的TCP连接。路由器A与B的链路瓶颈为15Mbps，攻击者在路由A处完成流量汇聚，形成攻击速率15Mbps、攻击脉宽200ms、攻击周期1.2s的攻击脉冲，然后对路由A、B发起攻击使经过A～B的通信中断。其中攻击者1、2混合了背景流量，使其更贴近真实流量以增加检测的难度。攻击者0未混合背景流量，用来做比较。合法用户2用来做检测的干扰项，它经过路由A和C与用户11建立正常的TCP连接，它不受攻击，因此用户2的流量为正常的无攻击网络流量。

在实验的背景流量的设计中。将用户3～8设为背景流量，他们避开被攻击的路径A～B，经过路由A和C与用户11建立正常的TCP连接。这样的好处是背景流量不受攻击的影响，能够保证背景流量与攻击流量是相互独立的。

2.将检测算法应用于测试网络中的路由器A处，在A处对与A相连路径上的流量进行采样，采样周期为10ms，采样窗口大小为20s，形成2000个点的采样序列g(n)。

3.构造的周期估计序列y′(n)为峰值为链路瓶颈5Mbps，脉宽长度为200ms的无周期单脉冲序列。

4.对g(n)和y′(n)进行互相关计算，得到相关序列r(d)，统计r(d)中每个峰值对应的延迟d和相邻波峰的间距，结果见表1。

表1周期估计结果

d	-407	-284	-165	-45	93	210	335	455
									Δd	～	123	119	120	118	117	125	120

对其他值求平均得到120.3，采样间隔为d＝10ms，得到估计出的周期为T＝1203ms，而实际周期为1200ms，误差为3ms，其值小于一个采样间隔。因此，用y′(n)估计出的周期还是比较准确的。

5.重复步骤4，100次。测得周期的平均值为1201ms，其中偏差最大的值为1217ms，平均误差为5ms，最大误差为17ms。根据估计出的周期构造检测序列y(n)，其峰值为链路瓶颈5Mbps，脉宽长度为200ms，周期为1201ms。窗口长度为20秒，采样点间隔为10ms。

6.r_gy(d)对g(n)和y(n)进行互相关计算，求出r_gy(d)，其计算公式为

$r_{\mathrm{gy}}\left(d\right)=\frac{\underset{n}{\mathrm{\&Sigma;}}[(g\left(n\right)-m_x)*(y(n-d)-m_y)]}{\sqrt{\underset{n}{\mathrm{\&Sigma;}}{(g\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\&Sigma;}}{\left(y(n-d){-m}_y\right)}^2}}---\left(1\right)$

根据公式(2)求出r_xy(d)

$r_{\mathrm{xy}}\left(d\right)\&ap;\frac{1}{k}{r}_{\mathrm{gy}}\left(d\right)---\left(2\right)$

其中并计算DY＝2.8790*10⁶，DG＝2.2788*10⁷，

7.在求出r_xy(d)之后，首先需要设计判决规则来判定混合流量中是否混有LDoS攻击脉冲。这里，定义判决的参数：

①采样窗口(SampleWindow)：一定长的时间窗口，保证可以容纳足够多的异常点；

②敏感系数(Sensitivity)：当相关系数超过这一值，表示可能出现异常；

③计数器(Counter)：用来统计异常范围；

④判决门限：用来判定是否有攻击。

求出r(d)，d＝0，±1，±2，…±(N-1)后，对于d，从d＝-(N-1)依次检测对应r_xy(d)的值，如果r_xy(d)的值大于敏感系数，则计数器加1，如果r_xy(d)的值小于敏感系数，且计数器＞0，则计数器减1。如果计数器大于判决门限，说明r_xy(d)连续大于敏感系数，出现了波峰，则判定攻击存在。

Claims (2)

1.一种基于信号互相关的LDoS(Low-rateDenialofService)攻击的检测方法，其特征在于：是通过以下步骤实现的：

1)在受害端的上一跳路由监测流量，每隔t秒的间隔对流量进行取样，一个取样周期为T秒。

2)构造周期估计序列y′(n)；

3)用互相关算法估计周期；

4)根据估计的周期构造检测序列y(n)；

5)利用互相关算法求互相关序列r_xy(d)；

6)设计一判决规则根据互相关序列r_xy(d)的值判断是否有攻击。

2.根据权利要求1所述的基于互相关的LDoS攻击的时间同步和流量汇聚方法，其特征在于：其中：步骤1)以10ms为采样间隔，一个取样周期为20秒，形成2000个点的采样序列g(n)；

步骤2)构造的周期估计序列y′(n)为峰值为链路瓶颈R，脉宽长度为1～2个RTT的无周期单脉冲序列；

步骤3)对g(n)和y′(n)进行互相关计算，得到相关序列r(d)，计算公式为

$r\left(d\right)=\frac{\underset{n}{\mathrm{\&Sigma;}}[(g\left(n\right)-m_x{)}^{*}(y^{\&prime;}(n-d)-m_y)]}{\sqrt{\underset{n}{\mathrm{\&Sigma;}}{(g\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\&Sigma;}}{(y^{\&prime;}(n-d)-m_y)}^2}}---\left(1\right)$

计算r(d)序列中相邻峰值的间隔，求其均值。其值为估计的周期

步骤4)重复步骤3)100次对测的周期取均值，得到估计周期根据估计出的周期构造检测序列y(n)，其峰值为链路瓶颈R，脉宽长度为1～2个RTT，周期为窗口长度为20秒，采样点间隔为10ms；

步骤5)对g(n)和y(n)进行互相关计算，求出r_gy(d)，其计算公式为

$r_{\mathrm{gy}}\left(d\right)=\frac{\underset{n}{\mathrm{\&Sigma;}}[(g\left(n\right)-m_x{)}^{*}(y(n-d)-m_y)]}{\sqrt{\underset{n}{\mathrm{\&Sigma;}}{(g\left(n\right)-m_x)}^2}\sqrt{\underset{n}{\mathrm{\&Sigma;}}{(y(n-d)-m_y)}^2}}---\left(2\right)$

根据公式(3)求出r_xy(d)

$r_{\mathrm{xy}}\left(d\right)\&ap;\frac{1}{k}{r}_{\mathrm{gy}}\left(d\right)---\left(3\right)$

其中其中，DG为混合流量的方差，可对采样到的混合流量g(n)，计算得到。DY为攻构造出的检测序列y(n)的方差，可对检测序列y(n)计算得到；

步骤6)在求出r_xy(d)之后，首先需要设计判决规则来判定混合流量中是否混有LDoS攻击脉冲。这里，定义判决的参数：

①采样窗口(SampleWindow)：一定长的时间窗口，保证可以容纳足够多的异常点；

②敏感系数(Sensitivity)：当相关系数超过这一值，表示可能出现异常；

③计数器(Counter)：用来统计异常范围；

④判决门限：用来判定是否有攻击。

求出r(d)，d＝0，±1，±2，…±(N-1)后，对于d，从d＝-(N-1)依次检测对应r_xy(d)的值，如果r_xy(d)的值大于敏感系数，则计数器加1，如果r_xy(d)的值小于敏感系数，且计数器＞0，则计数器减1。如果计数器大于判决门限，说明r_xy(d)连续大于敏感系数，出现了波峰，则判定攻击存在。