CN105490873A

CN105490873A - 可抵御膨胀攻击的可用网络带宽测量方法

Info

Publication number: CN105490873A
Application number: CN201510829927.0A
Authority: CN
Inventors: 周鹏; 费敏锐
Original assignee: University of Shanghai for Science and Technology
Current assignee: University of Shanghai for Science and Technology
Priority date: 2015-11-25
Filing date: 2015-11-25
Publication date: 2016-04-13
Anticipated expiration: 2035-11-25
Also published as: CN105490873B

Abstract

本发明提供一种可抵御膨胀攻击的可用网络带宽测量方法，其是可以抵御膨胀攻击的非合作式可用网络带宽测量方法，实现的主要步骤包括：1）在测量端生成多个长度随机的测量包链并发送给被测量端；2）测量端根据每个测量包链所传送的数据量大小和接收到被测量端自动会送的响应包链的时长计算出可用网络带宽；3）如果通过多个包链所计算出的可用网络带宽标准差过大、或收到包链的第一个响应包的时延与真实时延偏差过大、或有大量连续的测量包未得到响应，则认为被测量端正在发动可用网络带宽膨胀攻击。该方法的主要功能在于测量端可以在不需要控制额外网络设备的前提下防止被测量端恶意膨胀其与测量端之间的可用网络带宽。

Description

可抵御膨胀攻击的可用网络带宽测量方法

技术领域

本发明涉及一种可抵御膨胀攻击的可用网络带宽测量方法，尤其是涉及一种可以有效防止被测量端恶意膨胀其与测量端之间可用网络带宽的测量方法。

背景技术

网络带宽作为一种重要的网络资源，长期以来被互联网的各参与方所争夺。虽然近年来互联网所能提供的平均物理带宽在网络软硬件技术飞速发展的背景下得到了极大的提升(由最初仅能提供给终端用户的千比特级(Kbps)到如今的吉比特网络(Gbps)),其可用带宽在互联网用户群体急速膨胀的前提下依然十分稀缺。为了实现互联网资源的平衡和优化配置，许多应用在互联网中的分布式系统都设计了基于网络可用带宽的负载均衡和服务优化机制。比如，迅雷下载等点对点文件分享系统将根据用户贡献的可用带宽分配其能得到的资源。另外，很多开放式匿名系统也是根据匿名路由器所能提供的带宽决定其被选中的概率。因此，某些互联网参与者为了在基于带宽的竞争中处于优势，往往会针对网络带宽测量方法的缺陷恶意膨胀自身的可用带宽，从而误导网络资源的调度与分配。

现有的非合作式可用网络带宽测量方法一般是基于包对或包链设计的。测量端发送一对或一批网络数据包给被测量端，被测量端收到这些包后自动回送响应包，测量端用发送的数据包的大小除以收到响应包的时间间隔来计算其到被测量端的可用网络带宽。恶意的被测量端可以通过调整回应响应包的时间将带宽的测量结果膨胀到其期望的数值。如针对测量包对，膨胀带宽的方法可以是延迟第一个响应包的会送时间或者提前第二个响应包的回送时间。由于测量端很难区分接收响应包的时间间隔是由正常的网络时延而导致的还是由被测量端恶意修改，可用带宽的膨胀攻击具有极大的隐蔽性。

已有的可检测可用网络带宽膨胀攻击的测量方法可大致可以分为两类。一类属于机会主义带宽测量算法，即利用多个测量端对同一个被测量端同时进行带宽测量，如果不同的测量端得到的测量结果不同，则有很大的可能性被测量端在发动带宽攻击。这类方法有一个根本假设，即被测量端不能很好的将测量网络流从业务网络流中识别出来，同时不能使膨胀后的可用网络带宽超过物理带宽。然而，这一假设在实际攻击中并不能得到很好的满足。用于测量的包对或包链往往含有某些填充数据或不能很好的兼容某些协议标准，将很容易被识别出来。另外，只要被测量端能精确控制时间，其可用带宽可以被膨胀到任何数值。另一类抗攻击测量方法通过判别多次带宽测量结果的积累概率分布函数(CDF)的对称性来推测被测量端是否发动带宽攻击。虽然这类方法规避了前一种方法中不切实际的假设要求，但其用来做攻击检测的线索很容易被伪造。具体而言，多次结果CDF之所以异常对称，是由于攻击中被测量端在控制回应时间时将测量包在来路中受到旁路带宽影响而产生的随机时间扰动抹去了。恶意测量端可以很容易的在发动攻击时通过模拟这个扰动来规避检测。

综上所述，当前尚无方法可以在实际应用中很好的防止可用网络带宽膨胀攻击，从而导致互联网中大量基于可用带宽的服务优化和负载均衡系统面临潜在的安全风险。

发明内容

本发明所要解决的技术问题是提供一种可抵御膨胀攻击的可用网络带宽测量方法，其主要目的是为了在进行非合作式可用网络带宽测量时防止被测量端恶意膨胀其带宽，提高安全性。

本发明是通过下述技术方案来解决上述技术问题的：一种可抵御膨胀攻击的可用网络带宽测量方法，其特征在于，其包括以下步骤：

步骤一，测量端预先设定需要生产的测量包链的个数M；

步骤二，测量端依次生产M个长度随机的测量包链；

步骤三，测量端根据每个测量包链的长度生成相应数量的测量数据包；

步骤四，当一个测量包链发送完成后，测量端开始等待接收从被测量端发送回来的响应包，直到所有的响应包都被接收到或者等待超时；

步骤五，测量端将接收到的响应包与测量数据包通过关联方法进行关联，从而确定哪些测量数据包得到了响应，哪些没有得到响应；重复步骤三、步骤四以及步骤五直到M个测量包链的测量都完成；

步骤六，依据每个包链计算一个可用带宽值，共可得到M可用带宽值；如果这M个值的标准差大于这M个值的平均值的H_M倍，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤七；

步骤七，测量端先通过与被测量端相近的网络节点估计出测量端与被测量端真实往返时延，然后检测每个测量包链中发送第一个测量数据包到接收第一个响应包的时间间隔；如果这个间隔大于H_t，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤八；

步骤八，检测所有接收到的响应包，判断是否存在不能关联到测量端发送的测量数据包的响应包，如果存在，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤九；

步骤九，将测量数据包和接收到的响应包进行对比，看是否有连续H_d个测量数据包未得到响应，如果是，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤十；

步骤十，如果测量能顺利通过步骤六到步骤九的检测，则认为测量端未受到可用带宽膨胀攻击。

优选地，所述测量包链的长度是属于区间[L,(1+a)·L]内的随机整数，从第二个包链开始，随机区间的下限L将根据前面包链测量的平均带宽结果B按照以下条件式进行调整：

L > \frac{H_{t} \cdot B}{| p |}

其中，H_t为多测量包链第一响应包时延异常偏差检测法指定的检测阈值，|p|是测量数据包的大小。

优选地，所述测量数据包的种类是TCP流外数据包、TCP流外SYN包或者TCP流内时间包三种中的一种。

优选地，所述步骤十将M个测量结果的平均值作为最终的可用带宽测量值。

本发明的积极进步效果在于：本发明可以在攻击者能正确识别测量网络流并能将可用带宽膨胀到任意数值的情况下抵御膨胀攻击，同时保证攻击者很难伪造检测线索以躲避检测。

附图说明

图1(a)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在澳大利亚时的实验结果图。

图1(b)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在中国时的实验结果图。

图1(c)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在日本时的实验结果图。

图1(d)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在韩国时的实验结果图。

图2(a)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在澳大利亚时的实验结果图。

图2(b)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在中国时的实验结果图。

图2(c)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在日本时的实验结果图。

图2(d)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在韩国时的实验结果图。

图3(a)为本发明中异常丢包检测法当被测量端在澳大利亚时的实验结果图。

图3(b)为本发明中异常丢包检测法当被测量端在中国时的实验结果图。

图3(c)为本发明中异常丢包检测法当被测量端在日本时的实验结果图。

图3(d)为本发明中异常丢包检测法当被测量端在韩国时的实验结果图。

图4为本发明可抵御膨胀攻击的可用网络带宽测量方法的流程图。

具体实施方式

下面结合附图给出本发明较佳实施例，以详细说明本发明的技术方案。

本发明的目的可以通过在测量端构造多个足够长并且长度和包信息不可预测的测量包链来完成；同时还需要保证在实际网络环境中(即网络包在传送过程中可能会丢失或被打乱顺序)用于测量的网络包及其响应包可以被正确的关联。

整个测量过程由测量端独立完成，被测量端所产生的响应包是由安装在被测量端上的TCP/IP协议栈自动回应，不需要在被测量端上实施任何额外的步骤，因此，本发明的测量方法属于非合作式网络测量。

如图4所示，本发明可抵御膨胀攻击的可用网络带宽测量方法包括以下步骤：

步骤101，测量端预先设定需要生产的测量包链的个数M，M为自然数，一般取M＝5。

步骤102，测量端依次生产M个测量包链。每个测量包链的长度是一个属于区间[L,(1+a)·L](L为设定的随机区间下限，(1+a)L为设定的随机区间的上限)内的随机整数，其中生成第一个包链时考虑L＝10，从第二个包链开始，L的值将根据前面包链测量的平均带宽结果B按照条件式(1)进行调整：

L > \frac{H_{t} \cdot B}{| p |} ... (1)

其中，H_t为多测量包链第一响应包时延异常偏差检测法指定的检测阈值，|p|是测量数据包的大小。另外，本发明的实验表明，取a＝5可以达到不错的检测效果。

为了完全控制测量包链的长短以及包链中网络包的大小与协议信息，本发明将直接调用原始套接字(RAWsocket)完成测量包链的生成。生成测量包链的内容具体如下：

一，为保证测量包链足够长，本发明设定测量包链长度的下限为L(即测量包链中包含的最少网络包数目为L)。L需要满足：其中|p|为测量包链中网络包的大小，B为网络带宽量级的估计值，H_t为后续膨胀攻击检测算法所指定的一个用于检测攻击的时延阈值。本发明的实验表明，在100Mbps以下的网络带宽环境中，取L＝10可以得到不错的攻击检测效果。

二，为保证测量包链的长度不能为被测量端所知，本发明在每次生成测量包链时将包链的长度指定为一个随机数R，并且R满足L≤R≤(1+a)·L。在本发明中，建议λ的取值为a＝5。

三，为保证测量包链中网络包的信息不可预测，包链中所有数据包的身份信息(如IPID和TCPsequencenumber等)均随机生成。

四，通过测量包链P计算可用网络带宽的公式是其中|P|是测量包链的长度，|p|是测量包链中每一个测量数据包的大小，Δt是测量端接收到第一个响应包和最后一个响应包的时间差。

步骤103，测量端根据每个测量包链的长度生成相应数量的测量数据包。测量数据包的种类可以是TCP(TransmissionControlProtocol，传输控制协议)流外数据包、TCP流外SYN(SYN是TCP/IP建立连接时使用的握手信号)包或者TCP流内时间包三种中的一种。同时需要保证每个测量数据包的身份信息(如IPID和TCPsequencenumber等)都是随机生成的。每个测量数据包生成后立即发送到被测量端。

步骤104，当一个测量包链发送完成后，测量端开始等待接收从被测量端发送回来的响应包，直到所有的响应包都被接收到或者等待超时。一般情况下，等待超时时间可以设置为1秒钟。

步骤105，测量端将接收到的响应包与测量数据包通过关联方法进行关联，从而确定哪些测量数据包得到了响应，哪些没有得到响应；重复步骤103、步骤104以及步骤105直到M个测量包链的测量都完成。

为了适应实际网络环境中网络包在传送过程中丢失和乱序的问题，本发明设计了三种将测量网络包和其对应的响应包进行关联的方法，关联方法的具体内容如下：

一，TCP流外数据包关联法：测量端将不属于任何已经建立的TCP链接的数据包(即TCP流外数据包)作为测量网络包发送到被测量端，被测量端将回应TCPACK包作为响应。由于发送的TCP数据包不属于任何TCP链接，响应的TCPACK包中的响应码(TCPacknowledgementnumber)将会直接回应测量包的序列码(TCPsequencenumber)，这一响应过程不会受到TCP积累响应机制的影响。设p_i为一个测量包，q_i为p_i的响应包，则可根据SEQ(p_i)+|p_i|＝ACK(q_i)将p_i和q_i进行关联，其中SEQ(p_i)表示p_i的序列码，|p_i|表示p_i的大小，ACK(q_i)表示q_i的响应码。

二，TCP流外SYN包关联法：测量端将填充有数据并且发送端口号各不相同的TCPSYN包(即TCP流外SYN包)作为测量网络包发送到被测量端，被测量端将回应TCPSYN+ACK包作为响应。该方法中测量包和响应包将通过端口号进行关联。设p_i为一个测量包，q_i为p_i的响应包，则可根据SrcPort(p_i)＝DstPort(q_i)将p_i和q_i进行关联，其中SrcPort(p_i)表示p_i的源端口，DstPort(q_i)表示q_i的目的端口。

三，TCP流内时间包关联法：测量端首先和被测量端建立一个时间戳选项开启的TCP链接，然后将TCP数据包作为测量包通过这个TCP链接发送给被测量端，被测量端将回应TCPACK包作为响应。该方法中测量包和响应包将通过TCP时间戳进行关联。设p_i为一个测量包，q_i为p_i的响应包，则可根据TSval(p_i)＝TSecr(q_i)将p_i和q_i进行关联，其中TSval(p_i)表示p_i的时间戳数值，TSecr(q_i)表示q_i的时间戳响应数值。

步骤106，依据每个包链计算一个可用带宽值，共可得到M可用带宽值；如果这M个值的标准差大于这M个值的平均值的H_M倍，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤107。H_M可以根据具体的网络环境选取，本发明建议取H_M＝0.08。

步骤107，测量端先通过与被测量端相近的网络节点估计出测量端与被测量端真实往返时延(RTT)，然后检测每个测量包链中发送第一个测量数据包到接收第一个响应包的时间间隔；如果这个间隔大于H_t(H_t多测量包链第一响应包时延异常偏差检测法指定的检测阈值)，H_t＝θ+RTT，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤108。本发明建议取θ＝0.007秒。

步骤108，检测所有接收到的响应包，判断是否存在不能关联到测量端发送的测量数据包的响应包，如果存在，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤109。

步骤109，将测量数据包和接收到的响应包进行对比，看是否有连续H_d个测量数据包未得到响应，如果是，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤110。本发明建议取H_d＝3。

步骤110，如果测量能顺利通过步骤106到步骤109的检测，则认为测量端未受到可用带宽膨胀攻击。此时可以将M个测量结果的平均值作为最终的可用带宽测量值。

由于可用带宽膨胀攻击主要存在四种不同的攻击手法，本发明针对不同的攻击手法分别提出相应的检测方法。

一，多测量包链带宽测量值异常标准差检测法：该方法针对的攻击手法是攻击者通过有意延迟每两个相邻测量包中前一测量包的响应时间来膨胀可用带宽。具体检测算法是构造M个长度随机的测量包链P₁,P₂,L,P_M进行带宽测量，如果测量结果满足std(b[P₁],b[P₂],L,b[P_M])＞H_M·mean(b[P₁],b[P₂],L,b[P_M])，则认为被测量端在进行膨胀攻击。其中std()表示求标准差，b[P_i]表示第i个测量包链P_i的带宽测量结果，mean()表示求平均值，H_M是检测阈值。本发明建议取H_M＝0.08，具体应用时，用户可根据实际网络情况选取H_M。本发明已经在互联网上验证了该方法有效性，结果见图1(a)至图1(d)。

二，多测量包链第一响应包时延异常偏差检测法：该方法针对的攻击手法是攻击者在完整接收整个测量包链后按预先设定的小间隔发送回应包从而膨胀可用带宽。具体的检测算法是构造一个足够长的测量包链进行带宽测量，如果测量结果满足t₁＞H_t，则认为被测量端在进行膨胀攻击。其中，t₁表示测量端收到第一个测量包对应的响应包的往返时延。H_t是检测阈值，一般取H_t＝θ+RTT，这里RTT是测量端到被测量端的真实往返时延，可以通过与被测量端临近的网络节点进行估计；θ是容忍偏差，本发明的实验表明，取θ＝0.007秒可以得到不错的攻击检测效果。本发明已经在互联网上验证了该方法有效性，结果见图2(a)至图2(d)。

三，异常响应包检测法：该方法针对的攻击手法是攻击者通过提前回应尚未收到的测量包来膨胀可用带宽。具体的检测算法是保证测量包链长度和测量数据包身份信息都随机并且测量数据包和响应包可关联，如果测量端接收到的响应包不能关联到已经发送的测量数据包，则认为被测量端在进行膨胀攻击。本发明已经在互联网上验证了该方法有效性，其结果可以达到100％的检测率和0％的误报率。

四，异常丢包检测法：该方法针对的攻击手法是攻击者通过故意不回应测量包链末尾的一系列测量数据包来膨胀可用带宽。具体的检测算法是保证测量包链中每一个测量数据包都能和其响应包关联，如果发现连续H_d个测量包没有得到响应，则认为被测量端在进行膨胀攻击。本发明的实验表明，取H_d＝3可以得到不错的攻击检测效果。本发明已经在互联网上验证了该方法有效性，结果见图3(a)至图3(d)。

本发明在测量端生成多个测量包链并发送给被测量端，每个测量包链中包含的测量数据包的数目都是随机确定的每一个测量数据包都将使被测量端自动的回应一个响应包，即被测量端在收到一个测量包链后将回应一个响应包链给测量端；测量端根据每个测量包链所传送的数据量大小和接收响应包链的时长计算出可用网络带宽；如果通过多个包链所计算出的可用网络带宽标准差过大、或收到包链的第一个响应包的时延与真实时延偏差过大、或有大量连续的测量包未得到响应，则认为被测量端正在发动可用网络带宽膨胀攻击。其中，所提到的测量包链中的测量数据包可以是TCP流外数据包、或是TCP流外SYN包、或是TCP流内时间包。该方法的主要功能在于测量端可以在不需要控制额外网络设备的前提下防止被测量端恶意膨胀其与测量端之间的可用网络带宽。

本发明具有以下特点：构造的测量包链长度是一个随机整数。构造的测量包链必须足够长，即是一个足够大的随机整数。测量包链中的测量数据包和其响应包关联的三种方法。测量数据包为在不属于任何已经建立的TCP链接的TCP数据包(TCP流外数据包)，通过TCP数据包的序列码(TCPsequencenumber)和响应包的响应码(TCPacknowledgenumber)进行关联。测量数据包是含有数据的TCPSYN包(TCP流外SYN包)，通过TCPSYN包的发送端口(sourceport)和响应包的目的端口(destinationport)进行关联。测量数据包是打开时间戳选项的正常TCP数据包(TCP流内时间包)，通过TCP数据包的TCP时间戳(TSval)和响应包的响应时间戳(TSecr)进行关联。

四类可用带宽膨胀攻击的检测方法的特点如下：利用多个包链测量结果的标准差是否超过这些结果平均值的H_M倍来判断是否存在膨胀攻击。H_M需要根据实际网络情况决定，一般取值为H_M＝0.08。利用包链中发送第一个测量包和接收第一个响应包的时间差是否超过真实往返时延加上θ秒来判断是否存在膨胀攻击。θ需要根据实际网络情况决定，一般取值为θ＝0.007秒。通过判断是否接收到不能关联到相应测量数据包的响应包来判断是否存在膨胀攻击。通过判断是否有连续H_d个测量数据包未得到响应来判断是否存在膨胀攻击。H_d需要根据实际网络情况决定，一般取值为H_d＝3。

以上所述的具体实施例，对本发明的解决的技术问题、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种可抵御膨胀攻击的可用网络带宽测量方法，其特征在于，其包括以下步骤：

步骤一，测量端预先设定需要生产的测量包；

步骤二，测量端依次生产个测量包链；

步骤五，测量端将接收到的响应包与测量数据包通过关联方法进行关联，从而确定哪些测量数据包得到了响应，哪些没有得到响应；重复步骤三、步骤四以及步骤五直到个测量包链的测量都完成；

步骤六，依据每个包链计算一个可用带宽值，共可得到可用带宽值；如果这个值的标准差大于这个值的平均值的倍，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤七；

步骤七，测量端先通过与被测量端相近的网络节点估计出测量端与被测量端真实往返时延，然后检测每个测量包链中发送第一个测量数据包到接收第一个响应包的时间间隔；如果这个间隔大于，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤八；

步骤九，将测量数据包和接收到的响应包进行对比，看是否有连续个测量数据包未得到响应，如果是，则认为测量端受到可用带宽膨胀攻击并结束；否则执行步骤十；

2.根据权利要求1所述的可抵御膨胀攻击的可用网络带宽测量方法，其特征在于，所述测量包链的长度为一个在区间内的随机整数，和的初始值根据网络环境确定，从第二个包链开始，的值将根据前面包链测量的平均带宽结果按照以下条件式进行调整：

其中，为多测量包链第一响应包时延异常偏差检测法指定的检测阈值，是测量数据包的大小。

3.根据权利要求1所述的可抵御膨胀攻击的可用网络带宽测量方法，其特征在于，所述测量数据包的种类是TCP流外数据包、TCP流外SYN包或者TCP流内时间包三种中的一种。

4.根据权利要求1所述的可抵御膨胀攻击的可用网络带宽测量方法，其特征在于，所述步骤十将个测量结果的平均值作为最终的可用带宽测量值。