CN110012006B - 一种针对cubic的低速率拒绝服务攻击方法 - Google Patents

一种针对cubic的低速率拒绝服务攻击方法 Download PDF

Info

Publication number
CN110012006B
CN110012006B CN201910255936.1A CN201910255936A CN110012006B CN 110012006 B CN110012006 B CN 110012006B CN 201910255936 A CN201910255936 A CN 201910255936A CN 110012006 B CN110012006 B CN 110012006B
Authority
CN
China
Prior art keywords
attack
pulse
cwnd
ldos
cubic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910255936.1A
Other languages
English (en)
Other versions
CN110012006A (zh
Inventor
岳猛
崔伟航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Civil Aviation University of China
Original Assignee
Civil Aviation University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Civil Aviation University of China filed Critical Civil Aviation University of China
Priority to CN201910255936.1A priority Critical patent/CN110012006B/zh
Publication of CN110012006A publication Critical patent/CN110012006A/zh
Application granted granted Critical
Publication of CN110012006B publication Critical patent/CN110012006B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种针对CUBIC的低速率拒绝服务攻击方法。其包括根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能;构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能;验证两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能等步骤。本发明优点:通过分析低速率拒绝服务攻击下的拥塞窗口和队列行为,设计LDoS攻击参数,调整攻击脉冲发起时机,使得LDoS攻击具有更高的攻击效能。

Description

一种针对CUBIC的低速率拒绝服务攻击方法
技术领域
本发明属于计算机网络安全技术领域,尤其在涉及一种针对CUBIC的低速率拒绝服务攻击方法。
背景技术
拒绝服务(Denial-of-Service attacks,DoS)攻击是以阻止网络服务的正常运作为目的一系列网络攻击的统称。攻击者可以使用不同的技术来破坏目标服务系统的不同组成部分。一些攻击主要集中于以压倒性的方式攻击服务器,从而使服务器停止响应或响应时间变长。而其他攻击则是针对特定的应用,例如,DNS攻击、针对TCP的攻击以及IP地址欺骗攻击等等。因为这些应用都是实现为用户提供网络服务的重要一环,在任何一个位置造成破坏都会导致合法用户无法正常使用网络,比如,无法访问网站、无法使用一些应用程序、无法发送或接收电子邮件等等。对于大部分网络服务的使用者,短时间无法使用网络服务或许无关痛痒,然而,并不能排除DoS攻击会给这些遭受攻击影响的合法用户带来经济损失,只不过这些经济损失难以统计与评判。但是,DoS攻击对网络服务的提供者,也就是攻击的直接被害者,造成的影响却是十分巨大的,甚至难以想象的。
加州大学圣地亚哥分校的圣地亚哥超级计算中心(San Diego SupercomputerCenter,SDSC)的应用互联网数据分析中心(Center for Applied Internet DataAnalysis,CAIDA)的Alberto Dainotti于发表文章的题目中直接指出:“数百万的目标正遭受DoS攻击”。从2015年3月到2017年2月,CAIDA的研究人员发现,大约三分之一的IPv4地址空间受到各种类型的DoS攻击,这些恶意攻击者恶意破坏连接到互联网的主机的服务。
在多种类的DoS攻击中,低速率拒绝服务(Low-rate Denial-of-Serviceattacks,LDoS)攻击是最难检测与防御的DoS攻击之一。LDoS攻击以巧妙的方式,利用广泛存在于互联网中的各种自适应机制造成网络服务质量的下降。由于LDoS攻击引起的各种自适应机制的退避与调整均属于合法行为,攻击所使用的协议和发送的流量与正常流量的特征相近。因此,受害端即使长时间处于被攻击状态以致服务质量有所下降,却难以察觉。虽然LDoS攻击所造成的效果并不像分布式拒绝服务(Distribute Denial-of-Serviceattacks,DDoS)攻击那么具有破坏性,但这恰恰进一步增强了LDoS攻击的隐蔽性。即使破坏性不足,隐蔽的LDoS攻击带来的服务质量下降,在攻击持续的长时间放大下,其造成的经济损失是不可忽视的。同时,LDoS攻击不需要向受害者发送高速率的攻击流量,相比于DDoS攻击不仅节省了攻击所需要的资源,还降低了发动攻击的难度。相比于传统的DoS攻击,LDoS攻击更加的高效与隐蔽,给DoS攻击与防范问题带来了全新的挑战。
CUBIC是目前许多Linux版本中最流行的TCP版本之一。CUBIC是BIC的增强版本。为了提高长延时网络场景下TCP的工作效率,CUBIC将标准TCP的线性窗口增长函数修改为三次函数。在通信期间,CUBIC在链路饱和状态下(发生分组丢失时)减小拥塞窗口cwnd的大小,并在丢失的分组重传成功后立即快速增加拥塞窗口cwnd的大小。同时,CUBIC协议还保持独立于往返延时(RTT)的窗口增长率,这有助于在短延时网络场景下与TCP协议共存的友好性。当CUBIC窗口增长函数比标准TCP慢时,CUBIC的行为与标准TCP相似,以便为标准TCP提供公平性。
发明内容
为了解决上述问题,本发明的目的在于提供一种针对CUBIC的低速率拒绝服务攻击方法。
为了达到上述目的,本发明提供的针对CUBIC的低速率拒绝服务攻击方法包括按顺序进行的下列步骤:
1)根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
2)构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
3)验证以上两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能。
在步骤1)中,所述的根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能的方法是:
攻击效能potency的表达式为:
Figure GDA0002879710900000021
其中Damage为攻击损害,表达式为:
Figure GDA0002879710900000022
Cost为成本消耗,表达式为:
Figure GDA0002879710900000023
U表示TCP在正常情况下的平均传输速率,
Figure GDA0002879710900000024
表示TCP在LDoS攻击下的平均传输速率,A表示每个攻击脉冲的流量大小,T是一个攻击周期的时长;
首先,CUBIC的拥塞窗口表示为cwndcubic=c(t-K)3+cwndmax,其中cwnd为拥塞窗口,cwndmax表示拥塞窗口探测周期的猜想饱和值,c为比例因子,为常数,K为从开始时刻的拥塞窗口cwndstart增长至拥塞窗口探测周期的猜想饱和值cwndmax所需的时间,t为从最后一次拥塞窗口缩小开始经过的时间;CUBIC的拥塞窗口交替地处于高速探测状态与稳定增长状态,根据这两种阶段交替变化的特点,将每个周期分为τ′1和τ′2两个时间段;又根据高速探测时期发起攻击时TCP的拥塞窗口cwndattack1=max[cwndcubic(τ′2),cwndTCP(τ′2)],其中cwndtcp为TCP的拥塞窗口,稳定增长时期发起攻击时TCP的拥塞窗口cwndattack2=max[cwndcubic(τ′1),cwndTCP(τ′1)]以及cwndattack2和cwndattack1解出τ′1时间段和τ′2时间段,就能够求出在双脉冲场景下的攻击损害
Figure GDA0002879710900000031
和成本消耗
Figure GDA0002879710900000032
其中Cb为瓶颈链路处理能力,G′1和G′2分别为短攻击周期与长攻击周期内TCP能发送的TCP流量,L为脉冲的攻击宽度,δ为脉冲的攻击速率,最终得到双脉冲场景下的攻击效能Potency。
在步骤2)中,所述的构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能的方法是:
在高速探测状态下,攻击脉冲造成CUBIC连接在拥塞窗口为cwndattack时发生丢失分组的时间段为τ″,而发起攻击时TCP的拥塞窗口cwndattack的表达式为cwndattack=max[cwndcubic(τ″+RTT),cwndTCP(τ″+RTT)],然后根据发起攻击时TCP的拥塞窗口cwndattack解出τ″时间段,就能够求出在单脉冲场景下的攻击损害
Figure GDA0002879710900000033
和成本消耗
Figure GDA0002879710900000034
最终得到单脉冲场景下的攻击效能Potency。
在步骤3)中,所述的验证以上两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能的方法是:首先选取不同的双脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack 1,cwndattack 2,并输入到上述双脉冲LDoS攻击模型中,以验证双脉冲LDoS攻击模型的准确性;然后选取不同的单脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack,并输入到上述单脉冲LDoS攻击模型中,以验证单脉冲LDoS攻击模型的准确性;最后确定出这两种脉冲LDoS攻击模型的最大攻击效能。
本发明提供的针对CUBIC的低速率拒绝服务攻击方法具有如下优点:通过分析低速率拒绝服务攻击下的拥塞窗口和队列行为,设计LDoS攻击参数,调整攻击脉冲发起时机,使得LDoS攻击具有更高的攻击效能。
附图说明
图1为实验环境拓扑图。
图2为TCP友好模式下针对CUBIC+RED的双脉冲LDoS攻击模型。
图3为针对CUBIC+RED的双脉冲LDoS攻击的实验验证图。
图4(a)为双脉冲LDoS攻击的短周期(42.73,44.31)局部放大图,(b)为(44.51,48.51)局部放大图。
图5为针对CUBIC+RED的单脉冲LDoS攻击模型图。
图6为针对CUBIC+RED的单脉冲LDoS攻击的实验验证图。
图7为单脉冲LDoS攻击的局部放大图。
图8为针对CUBIC+RED的双脉冲与单脉冲攻击效能曲线图。
具体实施方法
下面结合附图和具体实施例对本发明提供的针对CUBIC的低速率拒绝服务攻击方法进行说明。
本发明提供的针对CUBIC的低速率拒绝服务攻击方法包括按顺序进行的下列步骤:
1)根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
对于LDoS攻击,将攻击效能定义为攻击造成的损害(Damage)与实施这种攻击的成本消耗(Cost)之间的比例。显然,攻击者会对最大化单位成本造成的损失感兴趣,即最大限度地提高攻击效能。攻击效能(Potency)可表示为:
Figure GDA0002879710900000041
上述定义没有具体说明由什么构成“攻击损害”和“成本消耗”。现进行如下定义:将攻击造成的损害定义为
Figure GDA0002879710900000042
其中U是TCP在正常情况下的平均传输速率,
Figure GDA0002879710900000043
是TCP在LDoS攻击下的平均传输速率。攻击损害Damage即表示LDoS攻击造成的TCP传输速率的下降水平,单位为bps。
相应的,将成本消耗定义为
Figure GDA0002879710900000051
其中A表示每个攻击脉冲的流量大小,T是一个攻击周期的时长。成本消耗Cost即表示LDoS攻击的平均消耗速率,单位为bps。
在每一个窗口探测周期内,CUBIC的拥塞窗口由以下三次函数确定:
cwndcubic=c(t-K)3+cwndmax (2)
其中cwnd为拥塞窗口,cwndmax表示拥塞窗口探测周期的猜想饱和值,c为比例因子,其为常数,通常取0.4,K为从开始时刻的拥塞窗口cwndstart增长至拥塞窗口探测周期的猜想饱和值cwndmax所需的时间,t是从最后一次拥塞窗口缩小开始经过的时间;
当CUBIC的发送速率动态稳定于瓶颈链路带宽时,CUBIC的拥塞窗口交替地处于高速探测状态与稳定增长状态。这是由于:当链路饱和(会发生丢失分组)发生于高速探测状态后,下一个拥塞窗口探测周期的猜想饱和值为cwndmax=cwndlost(其中cwndlost为发生丢失分组时的拥塞窗口),所以在下一个拥塞窗口探测周期中,拥塞窗口cwnd在稳定增长状态下将达到饱和;当链路饱和(会发生丢失分组)发生于稳定增长状态后,下一个拥塞窗口探测周期的猜想饱和值为
Figure GDA0002879710900000052
其中β表示增长因子,其为常数,通常取0.8,所以在下一个拥塞窗口探测周期中拥塞窗口cwnd在高速探测状态下才会达到饱和。
根据这种状态交替变化的特点,构建攻击脉冲间隔交替变化的CUBIC+RED的双脉冲LDoS攻击模型,并且验证双脉冲LDoS攻击模型,此时将每个探测周期分为两个时间段:τ′1和τ′2
τ′1时间段:在高速探测状态下,攻击脉冲造成CUBIC连接在拥塞窗口为cwndattack 1时发生丢失分组的时间段。丢失分组会导致拥塞窗口cwnd下降为β×cwndattack 1,并且从新的拥塞窗口探测周期开始,在新的拥塞窗口探测周期内,拥塞窗口cwnd依照公式(1)的三次函数曲线进行增长。
其中,cwndattack为发起攻击时TCP的拥塞窗口。
经过τ′1时间段后,CUBIC的拥塞窗口cwndcubic应该等于发起攻击时TCP的拥塞窗口cwndattack 2,综上可以列出如下方程:
Figure GDA0002879710900000053
其中,
Figure GDA0002879710900000061
根据上述方程可以解出τ′1时间段的表达式:
Figure GDA0002879710900000062
τ′2时间段:在稳定增长状态下,攻击脉冲造成CUBIC连接在拥塞窗口为cwndattack 2时发生丢失分组的时间段。丢失分组会导致拥塞窗口cwnd下降为β×cwndattack 2,并且从新的拥塞窗口探测周期开始,在新的拥塞窗口探测周期内,拥塞窗口cwnd依照公式(1)的三次函数曲线进行增长。
经过τ′2时间段后,CUBIC的拥塞窗口cwndcubic应该等于发起攻击时TCP的拥塞窗口cwndattack 1,综上可以列出方程:
Figure GDA0002879710900000063
其中,
Figure GDA0002879710900000064
根据上述方程可以解出τ′2时间段的表达式:
Figure GDA0002879710900000065
然后根据上面解出的τ′1时间段,τ′2时间段以及短攻击周期与长攻击周期内TCP能发送的TCP流量分别为G′1和G′2,CUBIC+RED场景下的双脉冲LDoS攻击模型的攻击损害可表示为:
Figure GDA0002879710900000066
对应于上文中的
Figure GDA0002879710900000071
其中Cb为瓶颈链路处理能力。
CUBIC+RED场景下的双脉冲LDoS攻击模型的成本消耗可表示为:
Figure GDA0002879710900000072
对应于上文中的
Figure GDA0002879710900000073
其中L为脉冲的攻击宽度和δ为脉冲的攻击速率。
有了此场景下的攻击损害Damage和成本消耗Cost,就可根据公式(1)求出其攻击效能Potency。
2)构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
τ″时间段:在高速探测状态下,攻击脉冲造成CUBIC连接在拥塞窗口为cwndattack时发生丢失分组的时间段。丢分失组会导致拥塞窗口cwnd下降为β×cwndattack,并且从新的拥塞窗口探测周期开始,在新的拥塞窗口探测周期内,拥塞窗口cwnd依照公式(1)的三次函数曲线进行增长。
τ″时间段应该等于拥塞窗口从开始时刻的拥塞窗口cwndstart增长到cwndattack+1的时长减去一个RTT的时间。即经过τ″+RTT后,CUBIC的拥塞窗口cwndcubic应该等于发起攻击时TCP的拥塞窗口,综上可以列出方程:
Figure GDA0002879710900000074
其中,
Figure GDA0002879710900000075
根据上述方程可以解出τ″时间段的表达式:
Figure GDA0002879710900000076
CUBIC+RED场景下的单脉冲LDoS攻击模型的攻击损害可表示为:
Figure GDA0002879710900000081
其中攻击周期内TCP能发送的TCP流量为G″。
Figure GDA0002879710900000082
CUBIC+RED场景下的单脉冲LDoS攻击模型的成本消耗可表示为:
Figure GDA0002879710900000083
有了此场景下的攻击损害Damage和成本消耗Cost,就可根据公式(1)求出其攻击效能Potency。
3)验证以上两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能。
在步骤1)和步骤2)中,提出了两种不同的CUBIC+RED的脉冲LDoS攻击模型,并给出了相应的攻击周期设置模型。然而,发送攻击脉冲的时机(即发起攻击时TCP的拥塞窗口cwndattack的时候)却没有明确地给出。并且,攻击参数的设置又与发起攻击时TCP的拥塞窗口cwndattack的大小紧密相关,可见准确选取发起攻击时TCP的拥塞窗口cwndattack的意义十分重大。本发明首先选取不同的双脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack 1,cwndattack 2,并输入到上述双脉冲LDoS攻击模型中,以验证双脉冲LDoS攻击模型的准确性;然后选取不同的单脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack,并输入到上述单脉冲LDoS攻击模型中,以验证单脉冲LDoS攻击模型的准确性;最后确定出这两种脉冲LDoS攻击模型的最大攻击效能。
为验证本发明方法的效果,本发明通过搭建如图1所示的NS-2实验环境来证明所提出的CUBIC+RED的脉冲LDoS攻击模型,并测试了其攻击效能。实验主要验证:1、针对CUBIC+RED的脉冲攻击模型的拥塞窗口和队列情况;2.将单脉冲和双脉冲场景下的攻击效能与传统场景下的攻击效能作对比。
相关的参数设置如下:minRTO(minRTO为最小超时重传时间)设置为默认值1s。平均TCP分组大小1000字节。瓶颈链路能力15Mbps。TCP发送端向TCP接收端方向产生合法TCP流。按照带宽时延积原则设置路由器缓存大小,来证实本发明中的攻击模型。此外,由于队列使用RED队列算法,补充RED算法的参数设置。令Qmin=50、Qmax=150、Pmax=0.1(Q是平均队列长度,Qmin为最小队列长度,Qmax为最大队列长度,Pmax为最大丢分组概率)。为验证模型准确性选取攻击发起时机的拥塞窗口cwndattack=50,根据攻击发起时的拥塞窗口cwndattack,设置攻击参数{L=120ms,δ=16.58Mbps}。攻击者发送UDP分组产生LDoS攻击流。攻击分组大小为50字节(最小的UDP分组大小)。由4个攻击者分布式地发送攻击脉冲。
为了验证CUBIC+RED的双脉冲LDoS攻击模型,选取双脉冲攻击发起时拥塞窗口大小为:在高速探测状态下,发起攻击时的拥塞窗口为cwndattack 1=51,在稳定增长状态下,发起攻击时的拥塞窗口为cwndattack 2=50。记录了相邻的一个短攻击周期和一个长攻击周期内的拥塞窗口cwnd的变化行为,图3示了整体测试结果,图4(a)与图4(b)给出了短周期与长周期内的局部放大结果。
图3中的过程与图2给出的理论分析模型相符合。短周期过程在42.73秒开始,拥塞窗口cwnd的大小为40;在44.31秒时结束,拥塞窗口cwnd大小为50。同时,图4中的虚线与点划线分别代表了理论分析模型中的CUBIC的拥塞窗口cwndcubic与TCP的拥塞窗口cwndtcp的大小。通过比较拥塞窗口cwnd的实验观测曲线与模型理论值cwndcubic,他们的起始点与终止点分别重合也证明了模型的准确性。
图4(b)中的过程与图2给出的理论分析模型相符合。长周期过程在44.51秒开始,拥塞窗口cwnd的大小为39;在46.315秒时,转变为TCP友好模式;在48.515秒时结束,拥塞窗口大小为51。同时,图5中的虚线与点划线分别代表了理论分析模型中的cwndcubic与cwndtcp的大小。通过比较拥塞窗口cwnd的实验观测曲线与模型理论值cwndcubic,他们的起始点、TCP友好模式的转换点、终止点分别重合也证明了模型的准确性。
为了验证提出的CUBIC+RED的单脉冲LDoS攻击模型,选取攻击脉冲发起时拥塞窗口大小为cwndattack=50。记录了两个攻击周期内的拥塞窗口cwnd的变化行为,图6展示了整体测试结果,图7给出了单个周期的局部放大结果。
图7中的过程与图5给出的理论分析模型相符合。单个周期过程在48.41秒开始,拥塞窗口cwnd的大小为39。该周期在52.51秒时结束,拥塞窗口大小为5。这段时长为4.1秒,符合根据公式(10),其中cwndattack=50解出的τ″时间段。同时,图7中的虚线与点划线分别代表了理论分析模型中的CUBIC的拥塞窗口cwndcubic与TCP的拥塞窗口cwndtcp的大小。通过比较拥塞窗口cwnd的实验观测曲线与模型理论值cwndcubic,他们的起始点、TCP友好模式的转换点、终止点分别重合也证明了模型的准确性。
然后运用已建立的模型具体分析在两种不同的新型CUBIC+RED场景下的LDoS攻击的攻击下,如何选取合理的攻击发动时的拥塞窗口cwndattack才能使攻击最有效率地实施。其中双脉冲LDoS攻击选取攻击发动时的拥塞窗口cwndattack1为81、cwndattack2为80,此时攻击效能在该环境下达到最大为21.07。单脉冲LDoS攻击选取攻击发动时的拥塞窗口cwndattack为60,此时攻击效能在该环境下达到最大为25.8。
由NS-2仿真实验结果可知,在给定的图1所示的链路环境当中,对单双脉冲情景下的攻击和传统场景下的攻击在相同的环境下进行5次测试,测试结果与模型推导结果相符合。
传统场景下的满队列LDoS和新场景下脉冲LDoS攻击的攻击效能对比如下表所示。
Figure GDA0002879710900000101
传统场景下的满队列LDoS攻击曾被认为是攻击效能最大的一种攻击模型。在5次独立实验中,得到满队列LDoS攻击效能的测试值分别为:14.26、14.28、14.34、14.26、14.28,均十分接近给出的理论值。此外,它们都略小于理论值,这是因为本发明推导的攻击效能模型为攻击效能的理想上界。双脉冲LDoS攻击效能的测试值分别为:20.91、21.01、20.87、20.99、20.67。单脉冲LDoS攻击效能的测试值为:25.59、25.77、25.63、25.79、25.3。结果均与模型推导的理论值相符。以上数据说明,CUBIC+RED场景下单脉冲的LDoS攻击比传统场景下的LDoS攻击效能更高。

Claims (1)

1.一种针对CUBIC的低速率拒绝服务攻击方法,其特征在于:所述的方法包括按顺序进行的下列步骤:
1)根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
2)构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能;
3)验证以上两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能;
在步骤1)中,所述的根据CUBIC+RED场景下拥塞窗口与队列行为特征,构建CUBIC+RED的双脉冲LDoS攻击模型,并利用该模型求出其攻击效能的方法是:
攻击效能potency的表达式为:
Figure FDA0002879710890000011
其中Damage为攻击损害,表达式为:
Figure FDA0002879710890000012
Cost为成本消耗,表达式为:
Figure FDA0002879710890000013
U表示TCP在正常情况下的平均传输速率,
Figure FDA0002879710890000014
表示TCP在LDoS攻击下的平均传输速率,A表示每个攻击脉冲的流量大小,T是一个攻击周期的时长;
首先,CUBIC的拥塞窗口表示为cwndcubic=c(t-K)3+cwndmax,其中cwnd为拥塞窗口,cwndmax表示拥塞窗口探测周期的猜想饱和值,c为比例因子,为常数,K为从开始时刻的拥塞窗口cwndstart增长至拥塞窗口探测周期的猜想饱和值cwndmax所需的时间,t为从最后一次拥塞窗口缩小开始经过的时间;CUBIC的拥塞窗口交替地处于高速探测状态与稳定增长状态,根据这两种阶段交替变化的特点,将每个周期分为τ′1和τ′2两个时间段;又根据高速探测时期发起攻击时TCP的拥塞窗口cwndattack1=max[cwndcubic(τ′2),cwndTCP(τ′2)],其中cwndtcp为TCP的拥塞窗口,稳定增长时期发起攻击时TCP的拥塞窗口cwndattack2=max[cwndcubic(τ′1),cwndTCP(τ′1)]以及cwndattack2和cwndattack1解出τ′1时间段和τ′2时间段,就能够求出在双脉冲场景下的攻击损害
Figure FDA0002879710890000015
和成本消耗
Figure FDA0002879710890000021
其中Cb为瓶颈链路处理能力,G1′和G2′分别为短攻击周期与长攻击周期内TCP能发送的TCP流量,L为脉冲的攻击宽度,δ为脉冲的攻击速率,最终得到双脉冲场景下的攻击效能Potency;
在步骤2)中,所述的构建CUBIC+RED的单脉冲LDoS攻击模型,并利用该模型求出其攻击效能的方法是:
在高速探测状态下,攻击脉冲造成CUBIC连接在拥塞窗口为cwndattack时发生丢失分组的时间段为τ″,而发起攻击时TCP的拥塞窗口cwndattack的表达式为cwndattack=max[cwndcubic(τ″+RTT),cwndTCP(τ″+RTT)],然后根据发起攻击时TCP的拥塞窗口cwndattack解出τ″时间段,就能够求出在单脉冲场景下的攻击损害
Figure FDA0002879710890000022
和成本消耗
Figure FDA0002879710890000023
最终得到单脉冲场景下的攻击效能Potency;
在步骤3)中,所述的验证以上两种脉冲LDoS攻击模型是否准确,并设计LDoS攻击参数,然后分别输入到上述双脉冲LDoS攻击模型和单脉冲LDoS攻击模型中,由此确定出这两种脉冲LDoS攻击模型的最大攻击效能的方法是:首先选取不同的双脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack 1,cwndattack 2,并输入到上述双脉冲LDoS攻击模型中,以验证双脉冲LDoS攻击模型的准确性;然后选取不同的单脉冲场景下的发起攻击时TCP的拥塞窗口cwndattack,并输入到上述单脉冲LDoS攻击模型中,以验证单脉冲LDoS攻击模型的准确性;最后确定出这两种脉冲LDoS攻击模型的最大攻击效能。
CN201910255936.1A 2019-04-01 2019-04-01 一种针对cubic的低速率拒绝服务攻击方法 Active CN110012006B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910255936.1A CN110012006B (zh) 2019-04-01 2019-04-01 一种针对cubic的低速率拒绝服务攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910255936.1A CN110012006B (zh) 2019-04-01 2019-04-01 一种针对cubic的低速率拒绝服务攻击方法

Publications (2)

Publication Number Publication Date
CN110012006A CN110012006A (zh) 2019-07-12
CN110012006B true CN110012006B (zh) 2021-03-02

Family

ID=67169174

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910255936.1A Active CN110012006B (zh) 2019-04-01 2019-04-01 一种针对cubic的低速率拒绝服务攻击方法

Country Status (1)

Country Link
CN (1) CN110012006B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN101621425A (zh) * 2009-05-21 2010-01-06 北京邮电大学 一种检测低速率拒绝服务攻击的方法及装置
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5788763A (en) * 1995-03-09 1998-08-04 Toshiba Ceramics Co., Ltd. Manufacturing method of a silicon wafer having a controlled BMD concentration
CN102457489B (zh) * 2010-10-26 2015-11-25 中国民航大学 Low-rate DoS(LDoS)攻击、检测和防御模块
CN105245503B (zh) * 2015-09-08 2019-11-19 中国民航大学 隐马尔可夫模型检测LDoS攻击方法
CN108199898A (zh) * 2018-01-12 2018-06-22 中国民航大学 一种增强LDoS攻击效能的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN101621425A (zh) * 2009-05-21 2010-01-06 北京邮电大学 一种检测低速率拒绝服务攻击的方法及装置
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法

Also Published As

Publication number Publication date
CN110012006A (zh) 2019-07-12

Similar Documents

Publication Publication Date Title
Jazi et al. Detecting HTTP-based application layer DoS attacks on web servers in the presence of sampling
Yaar et al. StackPi: New packet marking and filtering mechanisms for DDoS and IP spoofing defense
Watson Slipping in the Window: TCP Reset attacks
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US10547636B2 (en) Method and system for detecting and mitigating denial-of-service attacks
Abramov et al. TCP Ack storm DoS attacks
WO2016110273A1 (zh) 一种对访问请求进行限制的系统和方法
Shulman et al. Fragmentation considered leaking: port inference for dns poisoning
Rudman et al. Characterization and analysis of NTP amplification based DDoS attacks
EP2009864A1 (en) Method and apparatus for attack prevention
Du et al. DDoS defense deployment with network egress and ingress filtering
Griffioen et al. Scan, test, execute: Adversarial tactics in amplification DDoS attacks
Devi et al. Detection of DDoS attack using optimized hop count filtering technique
CN110661763B (zh) 一种DDoS反射攻击防御方法、装置及其设备
CN104158823A (zh) 一种面向LDoS与LDDoS的模拟方法
CN110012006B (zh) 一种针对cubic的低速率拒绝服务攻击方法
Garsva et al. Packet size distribution tendencies in computer network flows
Zhu et al. Research and survey of low-rate denial of service attacks
CN109995770B (zh) 一种基于队列分布的LDoS攻击检测方法
Santhanam et al. Active cache based defense against dos attacks in wireless mesh network
CN115834482A (zh) 视频流的处理方法、装置、服务器和存储介质
Badishi et al. An empirical study of denial of service mitigation techniques
Wu et al. A three-layer defense mechanism based on web servers against distributed denial of service attacks
Dong et al. Analysis of low-rate TCP DoS attack against FAST TCP
Bogdanoski et al. TCP-SYN Flooding Attack in Wireless Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant