CN108551448B - 一种分布式拒绝服务攻击检测方法 - Google Patents
一种分布式拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN108551448B CN108551448B CN201810325638.0A CN201810325638A CN108551448B CN 108551448 B CN108551448 B CN 108551448B CN 201810325638 A CN201810325638 A CN 201810325638A CN 108551448 B CN108551448 B CN 108551448B
- Authority
- CN
- China
- Prior art keywords
- elements
- bitmap files
- estimating
- measurement
- recorded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种分布式拒绝服务攻击检测方法,能够准确检测低速DDoS攻击的方法,具体实现主要包含在线编码和离线译码两部分。在线编码操作在中心路由器的SRAM上进行。在每个测量周期,SRAM上会开辟一块连续内存空间用于攻击检测。当有数据包到达时,SRAM会将该数据包利用哈希技术记录到所开辟的连续内存空间中。等一个测量周期结束,SRAM将本周期的数据包记录下载到服务器,用于后面的分析。离线译码是在服务器上实现的,通过对得到的编码记录进行译码,分析得到每条流的k‑持续流量,从而判断是否受到攻击。本发明在存储资源严重受限的情况下,准确检测出每条流的k‑持续流量,进而判断出是否存在DDoS攻击。
Description
技术领域
本发明涉及一种低速的分布式拒绝服务攻击检测方法,属于网络攻击检测领域。
背景技术
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是指借助于客户/服务器技术,将大量计算机联合起来作为攻击平台,对一个或多个目标发动攻击,通过大量合法的请求占用大量资源,使被攻击的服务器瘫痪。在传统的DDoS攻击中,攻击者的发包速度一般要远大于合法的用户。因此,已有的DDoS攻击检测技术通过监测用户的发包速率,来判断该用户是否为攻击者。然而,此类DDoS攻击检测技术在攻击者降低发包速率时是无效的。通常将攻击者的发包速度与合法用户的发包速度基本相同时的DDoS攻击称为低速DDoS攻击。低速DDoS攻击虽然不能使被攻击的服务器瘫痪,但当攻击者足够多时,仍可以明显降低服务器的性能。当发生DDoS攻击时,服务器可能无法判断是遭到了攻击还是访问的合法用户突然增多。显然,低速DDoS攻击比传统的DDoS攻击的检测难度更大。通过分析发现,低速DDoS攻击中的非法用户(即攻击者)需要持续访问服务器,否则无法发起有效攻击。所以,这些攻击者访问服务器的时间要明显长于合法用户。如果将所有发送给同一个目的服务器的数据包抽象为一条流,每个源地址看作是流中的一个元素,那么该流的流量就应该等于发送给该服务器的不同源地址的个数。如果取t个测量周期,那么对于存在DDoS攻击的流,持续存在于给定的t个测量周期的元素数量会明显大于未被攻击的流。已有研究设计出了高效的持续流量估计器,用于检测是否存在低速DDoS攻击。然而,现有对持续流量的定义过于严格,只有在所有给定的测量周期均存在于流中的元素才会被认定为持续元素。而持续流量是由持续元素组成的。当攻击者随机丢弃几个测量周期时,就会有很大概率被认定为非持续元素,从而逃避检测。要彻底解决该问题,必须要设计出能够准确估计出每条流f的k-持续流量的估计器,即在给定的t个周期内,至少在其中的k个周期存在于流f的元素个数。由于低速DDoS的攻击者的访问被攻击服务器的总时间长度应该明显高于合法用户,因此总能找到合适的k值将攻击者和合法用户区分开。然而,现在还没有研究设计出准确的k-持续流量估计器。
发明内容
为了解决网络中遇到的低速DDoS攻击问题,本发明旨在设计一种网络流的k-持续流量统计方法,具体方案如下:
一种分布式拒绝服务攻击检测方法,包括:
在线编码步骤,在每个测量周期,利用哈希函数记录接收到的数据包,得到编码记录;
离线译码步骤,对所述编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击。
优选的,所述在线编码步骤在中心路由器的SRAM上进行,所述离线译码步骤由服务器实现。
优选的,所述在线编码步骤具体包括以下步骤:
设置所述SRAM上一块连续内存空间中的所有位为0;
判断是否有数据包到达,若是则执行下一个步骤,否则继续判断是否有数据包到达;
设置所述连续内存空间的某一位置为1;
判断本测量周期是否结束,若结束则下一个步骤,否则继续判断是否有数据包到达;
将所述连续内存空间从中心路由器下载到服务器。
优选的,利用哈希函数设置所述连续内存空间的第i位置为1:
其中,e为所述数据包的源地址流,f为数据包的目的地址流,M为所述连续内存空间,H是任意一个随机性很好的哈希函数,m为保存所述数据包的虚拟位图文件的长度,u为所述连续内存空间的长度,是按位求异或操作,mod是求余操作。
优选的,所述离线译码步骤具体包括以下步骤:
构建t个发往同一个目的地址流f的虚拟位图文件;
估计k-持续流量估计器的值,根据所述k-持续流量估计器是否大于给定阈值,判断该服务器是否受到了低速分布式拒绝服务攻击。
优选的,所述k-持续流量估计器Nf,k为:
初始设置l=1;
遍历所有包含l个虚拟位图文件的组合,按位求或得到新位图文件;
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数nl,12...t;
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个虚拟位图文件的组合;
初始设置l=1;
遍历所有包含l个物理位图文件的组合,按位求或得到新位图文件;
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数Nu l,12...t;
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个物理位图文件的组合;
本发明的优点在于:在存储资源严重受限的情况下,准确检测出每条流的k-持续流量,进而判断出是否存在DDoS攻击。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明的在线编码流程图。
图2是本发明的离线编码流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明提出的能够准确检测低速DDoS攻击的方法,具体实现主要包含在线编码和离线译码两部分。在线编码操作在中心路由器的SRAM上进行。在每个测量周期,SRAM上会开辟一块连续内存空间用于攻击检测。当有数据包到达时,SRAM会将该数据包利用哈希技术记录到所开辟的连续内存空间中。等一个测量周期结束,SRAM将本周期的数据包记录下载到服务器,用于后面的分析。离线译码是在服务器上实现的,通过对得到的编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击。具体的实现方式如下:
1)在每个测量周期开始,中心路由器在SRAM上开辟一块长度为u的连续内存空间,记作M。初始时,设置M中的所有位均为0。假设e为数据包的源地址,f为数据包的目的地址。将所有发往同一个目的地址f的数据包抽象为一条流,而流中不同源地址的个数看作是元素的个数。每条流f中的元素会被保存在一个虚拟位图文件Bf中,而所有的虚拟位图文件会共享连续的物理内存M。当有一个数据包<e,f>到达时,路由器会将其保存到Bf中,即将Bf的第i位置为1,具体实现方式为:
Bf[i]=Bf[H(e)mod m], 公式1
其中H可以是任意一个随机性很好的哈希函数,m为Bf的长度。而Bf中的第i位可以映射到物理存储空间中的第i′位,具体的映射公式为:
当一个测量周期结束时,中心路由器会将编码后的M下载到服务器上,用于后续的译码分析。
2)当服务器得到t个测量周期的编码数据后,可以为每条流构建出t个虚拟位图文件,分别记作Bf,1,Bf,2,...,Bf,t。然而,虚拟位图文件中不仅记录了流f中的元素,还记录了其他与其共享内存空间的流的元素。这就需要我们在根据虚拟位图文件估计流量的时候能有效滤除其他流带来的噪声。用M1,M2,...,Mt来表示t个周期得到编码数据,nf,j表示恰好在j个测量周期存在于流f中的元素个数,表示利用虚拟位图文件估计得到的恰好在j个测量周期存在于流f中的元素个数,而表示其他流所带来的噪声,那么k-持续流量估计器为:
其中,利用虚拟位图文件估计恰好在j个测量周期存在于流f中的元素个数的具体实现方法如下:
1)初始设置l=1。
2)遍历所有包含l个虚拟位图文件的组合,求出同时经过了组合中l个虚拟位图文件的元素个数。对于给定的l个虚拟位图文件,(i1≤i2≤...≤il),具体实现方法为:首先将l个虚拟位图文件按位求0R,得到新的虚拟位图文件,记作Ef,l。即,然后,按照公式(4)估计得到同时被记录下来的元素个数
3)用nl,12...t表示在给定的t个测量周期内,恰好在其中l个测量周期被记录下来的元素个数。在步骤2中,经过大于l个测量周期的元素会在遍历不同的组合时重复计算,我们可以利用公式(5)将重复计算所带来的噪声滤掉,估计得到nl,12...t。
4)设置l=l+1,返回步骤2),直到l=j。
实施例1
本发明提出的带隐私保护的持续交通流量统计方法,如图1所示,其中在线编码步骤的具体实现包括以下步骤:
S11:设置物理位图文件M中的所有位为0。
S12:判断是否有数据包<e,f>到达?若是,执行S13;否则,继续等待,执行S12。
S14:判断本测量周期是否结束?若结束,执行S15;否则,执行S12。
S15:将M从中心路由器下载到服务器,用于后续的离线译码。
如图2所示,所发明的离线译码步骤的具体实现步骤如下所示:
S21:构建出流f的虚拟位图文件,分别为Bf,1,Bf,2,...,Bf,t,其中
S24:根据公式(3)估计Nf,k的值。根据Nf,k是否大于给定阈值,我们可以判断该服务器是否受到了DDoS攻击。
S31:初始设置l=1。
S34:利用公式(5)估计得到nl,12...t。
S35:设置l=l+1。
S36:判断l=j是否成立?若成立,执行S37;否则,执行S32。
估计的具体实现步骤与基本一致,只需要将原先在虚拟位图上所做的所有操作按照完全相同的方法在对应的物理位图上实现一遍即可。例如S32改为:遍历所有包含l个物理位图文件的组合,M1,M2,...,Mt(i1≤i2≤...≤il),按位求0R得到新位图文件M′l,即这样就可以采用与估计同样的方法估计得到具体过程如下:
初始设置l=1;
遍历所有包含l个物理位图文件的组合,按位求或得到新位图文件;
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数Nu l,12...t;
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个物理位图文件的组合;
根据如下公式估计得到Nu l,12...t:
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
在线编码步骤,在每个测量周期,利用哈希函数记录接收到的数据包,得到编码记录;
离线译码步骤,对所述编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击;
所述在线编码步骤在中心路由器的SRAM上进行,所述离线译码步骤由服务器实现;
所述在线编码步骤具体包括以下步骤:
设置所述SRAM上一块连续内存空间中的所有位为0;
判断是否有数据包到达,若是则执行下一个步骤,否则继续判断是否有数据包到达;
设置所述连续内存空间的某一位置为1;
判断本测量周期是否结束,若结束则下一个步骤,否则继续判断是否有数据包到达;
将所述连续内存空间从中心路由器下载到服务器;
利用哈希函数设置所述连续内存空间的第i位置为1:
其中,e为所述数据包的源地址流,f为数据包的目的地址流,M为所述连续内存空间,H是任意一个随机性很好的哈希函数,m为保存所述数据包的虚拟位图文件的长度,u为所述连续内存空间的长度,是按位求异或操作,mod是求余操作;
所述离线译码步骤具体包括以下步骤:
构建t个发往同一个目的地址流f的虚拟位图文件;
估计k-持续流量估计器的值,根据所述k-持续流量估计器是否大于给定阈值,判断该服务器是否受到了低速分布式拒绝服务攻击;
所述k-持续流量估计器Nf,k为:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810325638.0A CN108551448B (zh) | 2018-04-12 | 2018-04-12 | 一种分布式拒绝服务攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810325638.0A CN108551448B (zh) | 2018-04-12 | 2018-04-12 | 一种分布式拒绝服务攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108551448A CN108551448A (zh) | 2018-09-18 |
CN108551448B true CN108551448B (zh) | 2020-09-15 |
Family
ID=63514723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810325638.0A Active CN108551448B (zh) | 2018-04-12 | 2018-04-12 | 一种分布式拒绝服务攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108551448B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109450873B (zh) * | 2018-10-23 | 2021-01-01 | 盾盟(上海)网络科技有限公司 | 一种低速DDoS攻击防御方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008148099A1 (en) * | 2007-05-25 | 2008-12-04 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (dos) attacks |
CN101577642A (zh) * | 2008-05-08 | 2009-11-11 | 吴志军 | 一步预测卡尔曼滤波检测LDoS攻击的方法 |
CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
CN103139166A (zh) * | 2011-11-30 | 2013-06-05 | 中国民航大学 | 基于小信号检测理论的LDoS攻击检测方法 |
CN103546465A (zh) * | 2013-10-15 | 2014-01-29 | 北京交通大学长三角研究院 | 基于数据流周期监测的LDoS攻击检测及防御方法 |
-
2018
- 2018-04-12 CN CN201810325638.0A patent/CN108551448B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008148099A1 (en) * | 2007-05-25 | 2008-12-04 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (dos) attacks |
CN101577642A (zh) * | 2008-05-08 | 2009-11-11 | 吴志军 | 一步预测卡尔曼滤波检测LDoS攻击的方法 |
CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
CN103139166A (zh) * | 2011-11-30 | 2013-06-05 | 中国民航大学 | 基于小信号检测理论的LDoS攻击检测方法 |
CN103546465A (zh) * | 2013-10-15 | 2014-01-29 | 北京交通大学长三角研究院 | 基于数据流周期监测的LDoS攻击检测及防御方法 |
Non-Patent Citations (2)
Title |
---|
"Information metrics for low-rate DDoS attack detection: A comparative evaluation";Monowar H. Bhuyan;《2014 Seventh International Conference on Contemporary Computing (IC3)》;20140915;全文 * |
董阔;杨寿保." 一类慢速拒绝服务攻击的防御方法".《中国科学技术大学学报》.2010, * |
Also Published As
Publication number | Publication date |
---|---|
CN108551448A (zh) | 2018-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
US7937586B2 (en) | Defending against denial of service attacks | |
WO2016146609A1 (en) | Learned profiles for malicious encrypted network traffic identification | |
EP3602371A1 (en) | Intialisation vector identification for malware file detection | |
Xu et al. | ELDA: Towards efficient and lightweight detection of cache pollution attacks in NDN | |
Homem et al. | Entropy-based prediction of network protocols in the forensic analysis of dns tunnels | |
Wang et al. | Detecting and mitigating interest flooding attacks in content‐centric network | |
CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
Kheir et al. | Botsuer: Suing stealthy p2p bots in network traffic through netflow analysis | |
CN108551448B (zh) | 一种分布式拒绝服务攻击检测方法 | |
CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
Xu et al. | Towards persistent detection of DDoS attacks in NDN: A sketch-based approach | |
Wang et al. | Identifying peer-to-peer botnets through periodicity behavior analysis | |
CN111901286B (zh) | 一种基于流量日志的apt攻击检测方法 | |
CN112788039A (zh) | 一种DDoS攻击识别方法、装置及存储介质 | |
Al-Duwairi et al. | A novel packet marking scheme for IP traceback | |
Malliga et al. | A proposal for new marking scheme with its performance evaluation for IP traceback | |
CN112134732B (zh) | 一种用于DDoS攻击的取证方法及系统 | |
CN112261004B (zh) | 一种Domain Flux数据流的检测方法及装置 | |
CN109450873B (zh) | 一种低速DDoS攻击防御方法及系统 | |
Yang et al. | Hybrid multilayer network traceback to the real sources of attack devices | |
Chen et al. | A novel ensemble anomaly based approach for command and control channel detection | |
Zhou et al. | Limiting self-propagating malware based on connection failure behavior | |
Yang et al. | Identify encrypted packets to detect stepping-stone intrusion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20201105 Address after: 5 / F, building 1, No. 1599, Jungong Road, Yangpu District, Shanghai 200030 (centralized registration place) Patentee after: Dunmeng (Shanghai) Network Technology Co., Ltd Address before: Room j2307, building 1, 2222 Huancheng Road, Juyuan New District, Jiading District, Shanghai Patentee before: DUNMENG (SHANGHAI) INFORMATION TECHNOLOGY Co.,Ltd. |
|
TR01 | Transfer of patent right |