CN107231377B

CN107231377B - 基于突变平衡态理论的BGP-LDoS攻击检测方法

Info

Publication number: CN107231377B
Application number: CN201710599410.6A
Authority: CN
Inventors: 王禹; 苗甫; 刘晓东; 乔智; 柏杏丽; 郭小波; 王淼; 张顺利; 周岩
Original assignee: Henan Institute of Engineering
Current assignee: Henan Institute of Engineering
Priority date: 2017-07-21
Filing date: 2017-07-21
Publication date: 2020-04-24
Anticipated expiration: 2037-07-21
Also published as: CN107231377A

Abstract

本发明公开了一种基于突变平衡态理论的BGP‑LDoS攻击检测方法，通过对正常和异常情况下的系统状态样本进行学习，利用流量周期性特征、路由会话特征和报文转发量三类强表征特征，刻画系统正常和失效状态平衡曲面。利用训练后的尖点突变模型对系统运行状态进行监控，根据分歧集函数判断系统是否出现由正常态平衡曲面向失效态平衡曲面的跳变，从而实现对攻击的检测。实验结果表明，ESCT方法仅需要监控系统中少量的关键链路和节点就能够具备较强的BGP‑LDoS检测能力，为及时发现和提早应对攻击提供可靠参考。

Description

基于突变平衡态理论的BGP-LDoS攻击检测方法

技术领域：

本发明涉及一种计算机网络安全领域，特别是涉及一种基于突变平衡态理论的BGP-LDoS攻击检测方法。

背景技术：

域间路由系统作为互联网的关键基础设施，其安全性对互联网健康稳定运行具有重要意义。然而，域间路由系统主要采用的BGP(Border Gateway Protocol)协议在设计之初就存在严重的安全隐患，导致域间路由系统面临严峻安全威胁。近年来，针对域间路由系统的攻击手段不断更新，其造成的危害也愈加严重。Zhang等在低速率拒绝服务攻击(Low-rate denial of service,LDoS)的基础上提出了针对BGP会话的ZMW攻击方式。该攻击通过不断阻塞路由器之间KeepAlive报文的传递，重置路由器之间的正常会话，影响路由系统功能。以ZMW攻击为基础，Schuhard等进一步提出了基于BGP数据平面的跨平面攻击方式CXPST(Coordinated Cross Plane Session Termination)。CXPST利用大规模僵尸节点在系统多条关键路径上同时发起攻击，通过反复中断路由会话诱发大量路由更新，耗尽系统中路由器的存储和计算资源，导致整个系统陷入瘫痪。实验证明：仅250,000个僵尸节点发起的CXPST攻击就可以瘫痪互联网域间路由系统达数个小时，且尚无有效的解决方法。与CXPST类似的攻击方式还有DNP、LAAEM等，这些攻击均能够导致系统整体瘫痪。下文统称这类攻击为BGP-LDoS攻击。

为应对域间路由系统面临的安全威胁，现有的域间路由系统安全增强机制主要有协议扩展和安全监测两类。协议扩展是对现有的BGP协议进行修改，主要采用认证技术解决BGP协议安全性不足的问题。典型的有S-BGP(Secure BGP)、soBGP(secure origin BGP)、psBGP(pretty security BGP)和Listen&Whisper等。由于需要修改现有BGP协议，协议扩展部署成本较高，且主要防范前缀劫持、路径伪造等针对域间路由系统控制层面的攻击，难以有效防范针对数据平面的BGP-LDoS攻击；安全监测技术不需改变现有BGP协议，而是通过检查、识别域间路由系统各自治域(Autonomous System,AS)间交换的路由信息，发现异常路由。典型的有MyASN服务、PHAS、IRV等。现有的安全监测技术能够确保路由信息传播过程中真实性和完整性，防范前缀劫持、路由泄漏以及路径伪造等安全问题的发生，但其监测重点仍在域间路由系统的控制平面，难以有效应对BGP-LDoS攻击。

BGP-LDoS攻击与LDoS攻击具有一定的相似性。现有的LDoS攻击的检测方法主要有两类，一类是特征检测。由于LDoS攻击流量具备周期性和短时高脉冲的特点，特征检测技术通过分析LDoS攻击周期、脉冲强度和持续时间等特征，能够有效检测出LDoS攻击的存在，典型的有动态时间封装方法(Dynamic Time Wraping,DTW)，HAWK方法等；另一类是异常检测，通过分析当前网络中流量偏离正常状态的时间变化序列信息检测出攻击的存在。典型的有小波变换分析，频谱分析，统计分析，信息度量分析，小信号检测分析等技术。

然而，与传统的LDoS攻击相比，BGP-LDoS攻击有三个方面明显不同：

1.攻击目标不同。LDoS主要针对单个节点或链路，在攻击过程中，攻击目标是明确和固定的。而BGP-LDoS是针对系统多条关键路径的攻击，选择攻击目标时，由于资源和流量限制，为保证攻击路径互不干扰，BGP-LDoS攻击目标是非固定的，根据攻击资源、流量和路径的变化而不断调整。

2.破坏机制不同。LDoS主要针对TCP协议的拥塞控制机制进行攻击。而BGP-LDoS虽然也利用了TCP协议拥塞控制机制的不足，但更主要的是利用BGP路由更新机制存在的缺陷放大攻击效果。

3.攻击后果不同。LDoS攻击后会导致以TCP作为传输层协议的有效通信流量明显下降。而BGP-LDoS攻击效果主要表现是链路两端的路由器处于反复通断的震荡状态，整个域间路由系统的路由节点因计算、存储资源耗尽而瘫痪。

以上三个方面的不同导致利用LDoS检测技术检测BGP-LDoS时存在严重缺陷，即现有LDoS检测技术仅能检测出系统局部存在的LDoS攻击，但仅凭局部的信息难以判定这些攻击行为是否构成BGP-LDoS攻击，可能会导致大量的误判和漏判。

发明内容：

本发明所要解决的技术问题是：克服现有技术的不足，提供一种通过分析BGP-LDoS攻击前后域间路由系统突变特性，以三类强表征性的流量统计特征、路由会话特征、系统报文转发量为状态和控制变量，选取尖点突变模型建立起系统正常状态和异常状态的平衡曲面，对系统状态进行监控，根据分歧集函数判断系统状态是否由正常向失效状态跳变，实现对BGP-LDoS攻击的检测的基于突变平衡态理论的BGP-LDoS攻击检测方法。

本发明的技术方案是：一种基于突变平衡态理论的BGP-LDoS攻击检测方法，其步骤是：

Ⅰ、通过对正常和异常情况下的系统状态样本进行学习，实现训练后的尖点突变模型的建立；

Ⅱ、通过尖点突变模型建立系统正常状态和失效状态的平衡曲面，其正常状态和失效状态的平衡曲面临界点形成分歧集Bs，并在u-v平面投影形成Bs曲线；

Ⅲ、选取待测系统中流量统计特征、路由会话特征、系统报文转发量三个特征作为变量，按照时间顺序对待测数据进行标准化和平移处理，处理所得数据集为

Ⅳ、根据分歧集函数判断数据集在u-v平面的投影与Bs曲线的位置关系；

Ⅴ、数据集在u-v平面的投影是否落在Bs曲线的左侧，若成立则说明当前系统处于正常状态；数据集在u-v平面的投影落在Bs曲线的右侧，判断系统遭遇攻击，处于失效状态；

Ⅵ、数据集在u-v平面的投影落在Bs曲线上或者在曲线内部，这时需要结合系统前一单位时间内的数据

进行判断,若

则该时刻系统状态正常，否则判断系统遭遇攻击；

Ⅶ、将系统的状态按照时间序列存入系统状态库，便于后续检测的判断；

其中步骤A中训练后的尖点突变模型建立的步骤为：

①、对状态样本中流量统计特征、路由会话特征、系统报文转发量三个特征作为变量，根据突变理论中的突变级数评价方法，在对特征进行标准化处理，得到控制变量和状态变量；

②、采用数据拟合方式进行分析，确定与尖点突变模型中控制变量和状态变量的对应关系；

③、并采用最小化平衡曲面和分歧集方程求得尖点突变模型参数。

所述采集正常和异常情况下系统中具有强表征性的流量周期性特征、路由会话特征和报文转发量作为状态样本。

所述根据突变理论中的突变级数评价方法，在对特征进行标准化处理时，状态变量和控制变量要求隶属度最大。

所述分歧集Bs的表达式，它由平衡曲面临界点组成并且属于系统的控制空间，系统的突然跳变都是发生在这个空间中。

检测攻击的时间复杂度与所监控的节点数量N和链路数量E有关，为O(Elog(E)+N)。

本发明的有益效果是：

1、本发明通过对正常和异常情况下的系统状态样本进行学习，利用流量周期性特征、路由会话特征和报文转发量三类强表征特征，能够较好的刻画系统正常和失效状态平衡曲面。

2、本发明利用训练后的尖点突变模型对系统运行状态进行监控，根据分歧集函数判断系统是否出现由正常态平衡曲面向失效态平衡曲面的跳变，从而实现对攻击的实时在线检测。

3、本发明仅需要监控系统中少量的关键链路(20％)和节点(30％)就能够具备较强的BGP-LDoS检测能力，为及时发现和提早应对攻击提供可靠依据。

4、本发明实现对正常和异常情况下的系统状态样本进行学习，其学习数据源于实际互联网环境，数据真实可靠，有助于逐步提高检测精度。

附图说明：

图1为本申请的BGP-LDoS攻击检测流程；

图2待测数据的具体检测流程；

图3状态样本中变量对照表；

图4尖点突变的几何结构；

图5尖点突变流形在平面u-x上的投影；

图6尖点突变流形在平面v-x上的投影；

图7本申请检测方法示意图；

图8状态样本数据中B₁-B₂之间的关系；

图9状态样本数据中B₁-P之间的关系；

具体实施方式：

实施例：参见附图对本申请进行详细说明。

Ⅰ、对正常和异常情况下系统中的流量统计特征、路由会话特征、系统报文转发量三个特征进行采集(参见附图3)，并作为变量，选取变量后，由于所选变量取值范围和单位量纲不同，需要消除不同计量单位对评价结果的影响，对变量进行标准化处理。根据突变理论中的突变级数评价方法，在对特征进行标准化处理时，状态变量和控制变量要求隶属度越大越好，隶属度越大。对于BGP-LDoS攻击检测，变量值越大，表示系统面临的BGP-LDoS攻击威胁度也越高。例如对于流量周期T，T＝0表示未检测到周期性攻击脉冲，T＝1表示检测到周期性攻击脉冲，且该周期性显著。按此原则，下面对各变量进行标准化处理。

定义1单位时间t内，链路i中检测到的周期性流量的脉冲长度为L_i，则标准化处理后所得的长度L'_i为L'_i＝L_i/L_ref(L_i＜L_ref)或L'_i＝1(L_i≥L_ref)其中L_ref为设定的参考脉冲长度，设置为L_ref＝max(L_i)；若未检测到周期性流量，则L_i＝0。

定义2单位时间t内，链路i中检测到周期性流量的周期为T_i，标准化后所得的周期T_i'为T_i'＝T_i/T_ref(T_i＜T_ref)或T_i'＝T_ref/T_i(T_i'≥T_ref)其中T_ref为设定的参考脉冲长度，设置为T_ref＝max(T_i)；若未检测到周期性流量，则T_i＝0。

定义3单位时间t内，链路i中检测到周期性流量的脉冲强度为R_i，标准化后所得的脉冲强度R_i'为R_i'＝R_i/R_ref(R_i＜R_ref)或R_i'＝1(R_i≥R_ref)其中R_ref为设定的参考脉冲强度，设置为R_ref＝max(R_i)；若未检测到周期性流量，则R_i＝0。

定义4为降低计算复杂度，流量周期性特征T_i',L'_i,R_i'视为互不相关的三个变量，根据突变级数评价法，链路i在单位时间t内的流量周期性特征为

系统总体的流量周期性特征为

其中m为所监测的链路的个数。

定义5单位时间t内，节点j中收到的Up_j个其他节点路由更新报文，则标准化后所得的Up'_j为Up'_j＝Up_j/Up_ref(Up_j＜Up_ref)或Up'_j＝1(Up_j≥Up_ref)其中Up_ref为设定的路由器更新数量，设置为Up_ref＝max(Up_j)。

定义6单位时间t内，节点j中路由器重置的次数为S_j，则标准化后所得的S'_j为S'_j＝S_j/S_ref(S_j＜S_ref)或S'_j＝1(S_j≥S_ref)其中S_ref为设定的路由器重置次数，设置为S_ref＝max(S_j)。

定义7由于大量节点重置和路由更新均是BGP-LDoS攻击存在的显著标志，将节点重置和路由更新视为互不相关变量，根据突变级数评价法，节点j中路由状态特征为

单位时间t内，系统总体的路由特征为

其中n为所监测节点的个数。

定义8单位时间t内，节点j中的报文转发量为P_j，标准化后所得P_j'为P_j'＝1-P_j/P_ref(P_j＜P_ref)或P_j'＝0(P_j≥P_ref)，其中P_ref为设定的报文转发量，设置为P_ref＝max(P_j)。系统总体报文转发量为

其中n为所监测节点的个数。

尖点突变模型的势函数F(x)＝x⁴+aux²+bvx，其中x表示状态变量，u,v分别表示控制变量，a,b是系数。根据突变理论对描述系统行为的势函数F(X,B)、F(X,B)的临界点u、平衡曲面(Equilibrium Surface)M、奇点集S、分歧集Bs的数学描述，尖点突变模型的平衡曲面M为：

M：F＇(x)＝4x³+2aux+bv＝0 (1)

奇点集S的曲面方程为：

S：F″(x)＝6x²+au＝0 (2)

联立(1)、(2)消去x，得到分歧集Bs的表达式。它由平衡曲面临界点组成并且属于系统的控制空间，系统的突然跳变都是发生在这个空间中。从图5可以看出，分歧集实质也是尖点突变流形在u-v平面投影。

Bs:8a³u³+27b²v²＝0 (3)

对于一种稳定的平衡态，其临界点位于突变模型平衡曲面的边界点上，控制变量的波动也位于该集合中。当部分因素受到外力发生改变时，稳定的平衡态会被破坏，当偏离到达一定的阈值时，系统将变得非常不稳定，脱离平衡态的控制，这样就产生了跳变，系统从一个旧的平衡态进入一个新的平衡态。

为确定P,B₁,B₂和x,u,v之间的关系，采用数据拟合方式进行分析。在尖点突变模型中，尖点突变流形在平面u-x，v-x上的投影如图5和图6所示。在实际的BGP-LDoS攻击数据中，B₁,B₂,P的相互关系如图8和图9所示。

对比图5和图6，选取B₁作为状态变量x，B₂作为控制变量u，P作为控制变量v。

定义9按照时间段t的顺序，标准化后的状态变量序列和控制变量序列分别为

这里N表示系统样本数据的长度。

由于对样本的状态变量、控制变量进行标准化处理之后全部为正。根据图5、图6、图8和图9，为更好的区分系统正常状态和受攻击后的瘫痪状态，需对样本坐标进行平移变换处理。

定义10在样本中，样本中X′的均值为

X′坐标变换为

中的最大值为

U′坐标变换为

{P^k}中的均值为

对V′的坐标变换为V＝{(P^k-v_avg)|k＝1,2,...,N}。对X′,U′,V′进行坐标变换后得到的样本集为

系统处于稳定状态时，系统的势能最小。尖点突变模型中，突变平衡曲面M是势函数F(x)极值点的集合，系统变化状态位于平衡曲面临界点组成的分歧集Bs中。采用最小化平衡曲面和分歧集方程(3)的函数J(a,b)使得系统处于最稳定的状态，对于样本集Q，参数a,b能满足系统稳定性需求时，需要使得J(a,b)的值最小。

根据最小平方拟和，有：

公式(6)为二元非线性方程组，将训练样本Q中的数据

代入公式(6)，求得尖点突变模型参数a,b值有9组，其中6组解为复数解。根据公式(2)，

均为实数，因此，a,b均不为复数，排除6个复数解。之后，将剩余3个解代入J(a,b)，使J(a,b)值最小的即为最优解。

Ⅱ、在选定尖点突变模型的状态变量、控制变量及参数a,b后，建立了系统正常状态和失效状态的平衡曲面。根据图4，域间路由系统状态正常时，系统(X,U,V)值位于突变流形的上叶平衡曲面。该(X,U,V)投影到u-v平面时，位于尖点突变模型分歧集Bs的左侧；当系统遭遇BGP-LDoS攻击失效时，此时系统(X,U,V)位于突变流形的下叶平衡曲面，该(X,U,V)值投影到u-v平面时，位于尖点突变模型分歧集Bs的右侧。对系统连续两个时刻的状态进行考察，即可实现BGP-LDoS攻击的检测。如图7所示，从c→m表示系统的10个样本点在u-v平面上的投影，其中c→d,e→f,h→i,j→k,l→m分别表示系统连续两个单位时间内的样本点。l→m轨迹不经过分歧集Bs曲线，且在曲线左侧，表明这两个样本点的系统状态均为正常状态。c→d的轨迹经过Bs曲线，这表明系统由正常状态向失效状态突变，遭遇到BGP-LDoS攻击。j→k轨迹位于Bs曲线右侧，表明系统连续两个时刻一直处于失效状态。e→f,h→i轨迹经过Bs曲线，且样本点f,i位于Bs曲线内部，根据图5尖点突变流形，需要结合i,f前一时刻e,h进行判断。由于h处于正常状态，判断i处于正常状态；e处于失效状态，判断样本点f处于失效状态。

进行判断,若

则该时刻系统状态正常，否则判断系统遭遇攻击；

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims

1.一种基于突变平衡态理论的BGP-LDoS攻击检测方法，其步骤是：

进行判断,若

则该时刻系统状态正常，否则判断系统遭遇攻击；

其中步骤Ⅰ中训练后的尖点突变模型建立的步骤为：

2.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：步骤I中，正常和异常情况下的系统状态样本，需要先采集，再对其进行学习，采集时应当将系统正常和系统异常情况下具有强表征性的流量周期性特征、路由会话特征和报文转发量作为状态样本。

3.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：所述根据突变理论中的突变级数评价方法，在对特征进行标准化处理时，状态变量和控制变量要求隶属度最大。

4.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：所述分歧集Bs的表达式，它由平衡曲面临界点组成并且属于系统的控制空间，系统的突然跳变都是发生在这个空间中。

5.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：检测攻击的时间复杂度与所监控的节点数量N和链路数量E有关，为O(E log(E)+N)。