CN113365249A - 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法 - Google Patents

一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法 Download PDF

Info

Publication number
CN113365249A
CN113365249A CN202110491982.9A CN202110491982A CN113365249A CN 113365249 A CN113365249 A CN 113365249A CN 202110491982 A CN202110491982 A CN 202110491982A CN 113365249 A CN113365249 A CN 113365249A
Authority
CN
China
Prior art keywords
access
time slot
terminal
mobile terminal
access time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110491982.9A
Other languages
English (en)
Other versions
CN113365249B (zh
Inventor
王慧明
付清伊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202110491982.9A priority Critical patent/CN113365249B/zh
Publication of CN113365249A publication Critical patent/CN113365249A/zh
Application granted granted Critical
Publication of CN113365249B publication Critical patent/CN113365249B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,针对MTC网络中移动终端被攻击者劫持从而造成抢占资源或网络瘫痪的情况,在物理层对网络异常进行在线检测。即使攻击者劫持移动终端并利用其合法身份接入网络并发起攻击,本发明也能够根据物理接入信道的流量特性进行快速检测,并根据终端的身份标识定位到可疑设备,从而采取防御措施,不需要任何数据进行线下训练,且计算复杂度小。本发明根据3GPP流量到达模型、随机接入过程以及退避机制进行异常检测分析,并根据流量特性构建检验统计量以及选取阈值,可以灵活运用到现有的移动通信系统中,无需修改标准协议规定的信令流程。

Description

一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法
技术领域
本发明属于移动通信系统安全性保护技术领域,具体涉及一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法。
背景技术
机器类型通信(MTC)是指几乎不需要人工干预的设备之间的通信,是第五代(5G)移动通信系统的三种典型场景之一。接入MTC网络的设备数量预计将超过10亿个数量级,并将涵盖智能家居,远程医疗和自动驾驶等各个方面。然而,MTC网络存在各种安全威胁,例如窃听,欺诈,分布式拒绝服务(DDoS)攻击等。对于此类具有大量接入设备的网络,DDoS攻击非常容易发起且后果严重,可能会耗尽无线资源,甚至导致整个网络瘫痪。而由于低成本MTC终端的安全保护功能薄弱,一些攻击者可能会劫持合法节点并使用其合法身份来欺骗基站(BS),从而影响其他合法设备的接入或占用大量物理共享资源。
尽管BS采用了3GPP提出的基于身份验证和密钥协商(AKA)的方案进行用户身份验证,但它们无法检测出被攻击者劫持的合法设备。此外,对于零散传输方式下具有大量接入设备的MTC网络,基于密钥的上层认证可能不适用于低成本MTC终端。
在移动通信系统中,移动用户(图中UE)在进行数据传输前需要通过随机接入过程同基站建立连接。在基于竞争模式的随机接入过程中,从移动用户发送接入请求到接入完成前的基本信令交互流程如图1所示。从图1可以看出,移动用户发出随机接入请求时需通过竞争锁定无线资源用于后续数据传输,而此过程中可能存在攻击者劫持一些合法设备并利用其合法身份同其他用户进行竞争,以达到致使大量合法用户接入失败、无效占用无线资源乃至造成DDoS的目的。而由于攻击者的身份合法,利用AKA等上层身份认证机制无法对此类被劫持设备进行排查。随着移动通信技术发展到5G时代,5G移动通信系统对安全提出了更高的要求,且MTC通信场景接入设备数量大,通信时延要求高,针对此类由被劫持设备发起的DDoS攻击需快速及时地进行检测,并能够查找出攻击源头第一时间采取防御措施,否则将对整个网络造成不良影响。传统基于神经网络的检测方法需要线下训练阶段,且模型无法及时更新;而基于统计的检测方法则需要获得网络的流量统计模型,这对复杂的物联网通信场景是不现实的,特别是对于存在碰撞退避及重传的空口接入流量。
发明内容
针对现有技术中存在的问题,本发明提供了一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,该方法针对空口接入流量,在通信网络底层对流量异常进行排查,能够快速检测出合法设备被攻击者劫持而发起的DDoS攻击。
为了解决上述技术问题,本发明通过以下技术方案予以实现:
一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,包括以下步骤:
步骤1:基站在每个接入时隙后,获取每个接入时隙对应的前导码状态信息;
步骤2:基站根据移动终端执行的基于竞争模式的随机接入过程,指示竞争胜出的移动终端,并获取被指示移动终端反馈的ACK;
步骤3:基站根据每个历史接入时隙i产生冲突的接入设备数Nc[i],估计当前接入时隙再次请求接入的设备数Nb
所述当前接入时隙再次请求接入的设备数Nb为:
竞争未胜出的移动终端根据退避机制随机等待一段时间后,在当前接入时隙重新接入的设备数;
步骤4:基站根据步骤3得到的当前接入时隙再次请求接入的设备数Nb,并利用流量到达模型估计当前接入时隙新请求接入的设备数N,根据当前接入时隙新请求接入的设备数N和当前接入时隙再次请求接入的设备数Nb计算当前接入时隙请求接入的设备总数Nt,Nt=Nb+N;
步骤5:基站根据步骤4得到的当前接入时隙请求接入的设备总数Nt,估计成功接入的设备数Ns
步骤6:基站根据当前接入时隙对应的前导码状态信息和步骤4得到的当前接入时隙请求接入的设备总数Nt,计算当前接入时隙产生冲突的接入设备数Nc,Nc=Nt-Ms,其中,Ms为实际成功接入的设备数;
步骤7:基站根据当前接入时隙对应的前导码状态信息、步骤5得到的成功接入的设备数Ns和步骤6计算得到的当前接入时隙产生冲突的接入设备数Nc,构建检验统计量,将检验统计量与预设的阈值进行比较,根据比较结果判断当前是否存在流量异常;
步骤8:基站获取竞争胜出的移动终端身份标识,并在一定时间窗内检查同一身份标识是否出现多次;
步骤9:若步骤7中存在流量异常,则步骤8中出现多次的身份标识被判定为被劫持的可疑终端。
进一步地,当判定出被劫持的可疑终端后,还包括:
对所述可疑终端定位并防御。
进一步地,步骤1中,所述每个接入时隙对应的前导码状态信息包括:每个接入时隙成功、冲突和空闲的前导码数量,且三者之和为定值M。
进一步地,步骤2中,所述基于竞争模式的随机接入过程包括:
移动终端在随机接入信道上发送接入请求;基站返回随机接入响应;移动终端发送自身身份信息并请求无线资源锁定;基站处理所有的请求并进行竞争解决,最终向竞争胜出的移动终端发送指示。
进一步地,步骤3中,所述退避机制包括:
竞争未胜出的移动终端需随机等待时间T1,T1表示为:
T1=(p+q×rand)×T0
其中,p和q为常参数,rand为[0,1]间均匀分布随机数,T0为单位退避时间,此后移动终端可等待随机接入时隙并再次请求接入。
进一步地,步骤3中,所述估计当前接入时隙请求接入的设备数Nb具体包括:
假设两个相邻的随机接入时隙时间间隔为TR,则第i个接入时隙中的Nb[i]可表示为:
Figure BDA0003052799280000041
其中,
Figure BDA0003052799280000042
Nc[i]为第i个接入时隙冲突的移动终端数。
进一步地,步骤4中,所述流量到达模型为3GPP流量模型。
进一步地,步骤5中,所述估计成功接入的设备数Ns具体如下:
Figure BDA0003052799280000043
其中,
Figure BDA0003052799280000044
表示仅一个移动终端选择第j个前导码的概率。
进一步地,步骤7中,所述构建检验统计量具体如下:
将劫持DDoS攻击检测方法表述为二元假设检验问题:
Figure BDA0003052799280000051
T≤θ
Figure BDA0003052799280000052
T>θ
其中,T表示所构建的统计量,由接入流量特性决定,θ表示检验阈值;假设
Figure BDA0003052799280000053
代表当统计量的值小于阈值时,认为网络中不存在DDoS攻击;假设
Figure BDA0003052799280000054
代表当统计量的值超过阈值时,认为存在被劫持设备发起的DDoS攻击。
与现有技术相比,本发明至少具有以下有益效果:
第一:本发明基于机器类型通信网络的空口接入流量检测是否存在流量异常,仅对通信建立连接时必要的接入过程进行处理记录,无需依赖传输层及以上的协议,无需对上层数据包进行分类处理,且不需要对数据进行线下训练,是一种轻量级的DDoS检测方法,非常适用于有低时延、低能耗需求的机器类型通信网络;
第二:本发明针对机器类型通信网络内部被攻击者劫持的合法终端发起的DDoS攻击,与其他方案中仅考虑非法移动终端网络入侵不同,即使攻击者利用被劫持移动终端的合法身份对随机接入信道实施DDoS攻击,本发明也可通过空口流量及时进行异常检测,并对发起攻击的被劫持移动终端进行定位,从而为后续的防御手段提供先行条件;
第三:本发明基于机器类型通信网络的流量到达模型分析随机接入流量,并可以根据实际应用场景进行灵活扩展,且本发明基于标准协议规定的随机接入以及退避机制,不需要修改现有移动通信系统的接入流程,与现有的移动通信系统兼容,方便部署。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式中的技术方案,下面将对具体实施方式描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为移动终端执行的基于竞争模式的随机接入过程示意图;
图2为蜂窝移动网络无线帧结构图;
图3为成功接入的设备数的估计方法流程图;
图4为本发明面向5G大规模机器通信的终端劫持DDoS检测方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
作为本发明的某一具体实施方式,如图4所示,一种面向5G大规模机器通信的终端劫持DDoS检测方法,包括以下步骤:
步骤1:基站在每个接入时隙后,获取每个接入时隙对应的前导码状态信息。
具体的说,每个接入时隙对应的前导码状态信息包括:每个接入时隙成功、冲突和空闲的前导码数量,且三者之和为定值M。
步骤2:基站根据移动终端执行的基于竞争模式的随机接入过程,指示竞争胜出的移动终端,并获取被指示移动终端反馈的ACK,从而将该终端使用的前导码标记为“成功”状态,并确认该终端已完成随机接入过程。竞争未胜出说明有两个及以上的移动终端选择了同一前导码指示的资源块进行传输而产生冲突,导致基站无法正确解码接入请求。
具体的说,如图2所示,移动终端首先根据下行广播系统信息块(SIB),在允许接入的时隙内执行基于竞争模式的随机接入过程。SIB包含随机接入必需的系统信息,移动终端获取系统信息后,需等待在随机接入子帧(RAS)处进行随机接入。
如图1所示,所述基于竞争模式的随机接入过程包括移动终端与基站的四次握手过程,具体如下:
移动终端在随机接入信道上发送接入请求Msg1,基站返回随机接入响应Msg2,移动终端发送自身身份信息并请求无线资源锁定(Msg3),基站处理所有的请求并进行竞争解决,最终向竞争胜出的移动终端发送反馈Msg4。
步骤3:基站根据每个历史接入时隙i产生冲突的接入移动终端数Nc[i],估计当前接入时隙再次请求接入的移动终端数Nb
具体的说,估计当前接入时隙再次请求接入的移动终端数Nb具体包括:
假设两个相邻的随机接入时隙时间间隔为TR,则第i个接入时隙中的Nb[i]可表示为:
Figure BDA0003052799280000071
其中,
Figure BDA0003052799280000072
Nc[i]为第i个接入时隙冲突的移动终端数。
当前接入时隙再次请求接入的移动终端数Nb为:
竞争未胜出的移动终端根据退避机制随机等待一段时间后,在当前接入时隙重新接入的移动终端数,退避机制包括:
竞争未胜出的移动终端需随机等待时间T1,T1表示为:
T1=(p+q×rand)×T0
其中,p和q为常参数,rand为[0,1]间均匀分布随机数,T0为单位退避时间,此后移动终端可等待随机接入时隙并再次请求接入。
步骤4:基站根据步骤3得到的当前接入时隙再次请求接入的移动终端数Nb,并利用流量到达模型估计当前接入时隙新请求接入的移动终端数N,再根据当前接入时隙新请求接入的移动终端数N和当前接入时隙再次请求接入的移动终端数Nb计算当前接入时隙请求接入的移动终端总数Nt,Nt=Nb+N。
作为本发明优选的实施方式,流量到达模型采用3GPP流量模型,具体如下:
在给定观测时间T内,各移动终端在t时刻请求接入的概率g(t)服从Beta分布,其概率密度可表示为:
Figure BDA0003052799280000081
其中α,β为Beta分布的形状参数,以此流量到达模型表示机器类型通信流量的高度同步性及突发性,则可估计当前接入时隙新请求接入的移动终端数N,具体如下:
当前接入时隙中新请求接入的移动终端数N可表示为:
Figure BDA0003052799280000082
其中Z表示网络中所有已注册的合法移动终端数量;t表示当前接入时隙的开始,t+表示当前接入时隙的结束。
步骤5:基站根据步骤4得到的当前接入时隙请求接入的移动终端总数Nt,估计成功接入的移动终端数Ns
具体的说,估计成功接入的移动终端数Ns具体如下:
Figure BDA0003052799280000083
其中,
Figure BDA0003052799280000084
表示仅一个移动终端选择第j个前导码的概率。由于移动终端随机选取前导码,且各前导码之间相互独立,故可根据上述方法估计成功接入的移动终端数Ns
步骤6:基站根据当前接入时隙对应的前导码状态信息和步骤4得到的当前接入时隙请求接入的移动终端总数Nt,计算当前接入时隙产生冲突的移动终端数Nc,Nc=Nt-Ms,其中,Ms为实际成功接入的移动终端数;
在步骤3至步骤6中,为如图3所示的成功接入移动终端数Ns的实时估计流程,即不断根据当前接入时隙前导码的使用状态信息以及各历史接入时隙的产生冲突的移动终端数Nc估计当前成功接入的移动终端数Ns
步骤7:基站根据当前接入时隙对应的前导码状态信息、步骤5得到的成功接入的移动终端数Ns和步骤6计算得到的当前接入时隙产生冲突的移动终端数Nc,构建检验统计量,将检验统计量与预设的阈值进行比较,根据比较结果判断当前是否存在流量异常。
具体的说,将所述劫持DDoS攻击检测方法表述为二元假设检验问题:
Figure BDA0003052799280000091
T≤θ
Figure BDA0003052799280000092
T>θ
其中,T表示所构建的统计量,θ表示检验阈值。假设
Figure BDA0003052799280000093
代表当统计量的值小于阈值时,认为网络中不存在DDoS攻击;假设
Figure BDA0003052799280000094
代表当统计量的值超过阈值时,认为存在被劫持移动终端发起的DDoS攻击。以误警率(FAR)与检测时间(DT)作为性能衡量标准,FAR表示攻击未发生而检测出异常的概率;DT表示从攻击发起时起到检测出攻击的时间。故本发明所述异常流量检测方法特征在于根据接入流量特征构建检验统计量及选取检验阈值。
具体来说,所述接入流量特征与攻击方式有关,本发明所考虑的劫持DDoS攻击包含下述两种攻击方式:
(1)攻击者占用无线资源:攻击者竞争胜出后成功解码Msg4,随即将向基站反馈ACK以锁定物理上行共享信道(PUSCH)资源,致使大量资源被无效占用;
(2)攻击者仅造成接入冲突:攻击者发送Msg3后将停止监听物理下行控制信道(PDCCH),即无论竞争是否胜出均不反馈ACK。故攻击者的行为仅造成合法移动终端冲突而不占用共享资源。
本实施方式采用序贯检测CUSUM算法对上述两种攻击模式分别进行讨论,并根据不同的攻击模式选取相应的统计量及检测阈值进行异常检测,具体如下:
针对攻击模式(1),此模式下接入时隙i中实际接入成功的移动终端数量Ms[i]将明显大于步骤5中的估计值Ns[i],令X1[i]=Ns[i]-Ms[i],并构建统计量Y1[i]满足:
Y1[i]=Y1[i-1]+X1[i]-a1,Y1[i]>0
Y1[i]=0,其它
其中a1为偏置参数,以保证正常流量时统计量将会不断归零而不会随时间累计。而当攻击发起时则会突变成为正值,值越大表示攻击越强。阈值的选取与流量特征相关,其反映了最小化FAR与最小化DT间的折中。在此模式中应根据成功接入移动终端数的估计均方误差选取,并满足FAR在所要求的范围之内;
针对攻击模式(2),此模式下攻击者占用了大量前导码却并未真正接入,故第i个接入时隙中冲突状态的前导码数Mc[i]与成功数Ms[i]将差异更大,令X2[i]=Mc[i]-Ms[i],并构建统计量Y2[i]满足:
Y2[i]=Y2[i-1]+X2[i]-a2,Y2[i]>0
Y2[i]=0,其它
其中a2同样为偏置参数。此模式下应根据网络中流量正常的情况下碰撞前导码与成功前导码的平均差值选择阈值,并需要满足系统的FAR要求。
步骤8:基站需在每个接入时隙记录竞争胜出的移动终端身份标识,并在一定时间窗内检查同一身份标识是否出现多次;
步骤9:若步骤7中存在流量异常,则步骤8中出现多次的身份标识被判定为被劫持的可疑终端,作为优选的实施方式,当判定出被劫持的可疑终端后,对可疑终端定位并采取防御措施。
本发明中提到的设备指的是移动终端。
最后应说明的是:以上实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,包括以下步骤:
步骤1:基站在每个接入时隙后,获取每个接入时隙对应的前导码状态信息;
步骤2:基站根据移动终端执行的基于竞争模式的随机接入过程,指示竞争胜出的移动终端,并获取被指示移动终端反馈的ACK;
步骤3:基站根据每个历史接入时隙i产生冲突的接入设备数Nc[i],估计当前接入时隙再次请求接入的设备数Nb
所述当前接入时隙再次请求接入的设备数Nb为:
竞争未胜出的移动终端根据退避机制随机等待一段时间后,在当前接入时隙重新接入的设备数;
步骤4:基站根据步骤3得到的当前接入时隙再次请求接入的设备数Nb,并利用流量到达模型估计当前接入时隙新请求接入的设备数N,根据当前接入时隙新请求接入的设备数N和当前接入时隙再次请求接入的设备数Nb计算当前接入时隙请求接入的设备总数Nt,Nt=Nb+N;
步骤5:基站根据步骤4得到的当前接入时隙请求接入的设备总数Nt,估计成功接入的设备数Ns
步骤6:基站根据当前接入时隙对应的前导码状态信息和步骤4得到的当前接入时隙请求接入的设备总数Nt,计算当前接入时隙产生冲突的接入设备数Nc,Nc=Nt-Ms,其中,Ms为实际成功接入的设备数;
步骤7:基站根据当前接入时隙对应的前导码状态信息、步骤5得到的成功接入的设备数Ns和步骤6计算得到的当前接入时隙产生冲突的接入设备数Nc,构建检验统计量,将检验统计量与预设的阈值进行比较,根据比较结果判断当前是否存在流量异常;
步骤8:基站获取竞争胜出的移动终端身份标识,并在一定时间窗内检查同一身份标识是否出现多次;
步骤9:若步骤7中存在流量异常,则步骤8中出现多次的身份标识被判定为被劫持的可疑终端。
2.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,当判定出被劫持的可疑终端后,还包括:
对所述可疑终端定位并防御。
3.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤1中,所述每个接入时隙对应的前导码状态信息包括:每个接入时隙成功、冲突和空闲的前导码数量,且三者之和为定值M。
4.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤2中,所述基于竞争模式的随机接入过程包括:
移动终端在随机接入信道上发送接入请求;基站返回随机接入响应;移动终端发送自身身份信息并请求无线资源锁定;基站处理所有的请求并进行竞争解决,最终向竞争胜出的移动终端发送指示。
5.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤3中,所述退避机制包括:
竞争未胜出的移动终端需随机等待时间T1,T1表示为:
T1=(p+q×rand)×T0
其中,p和q为常参数,rand为[0,1]间均匀分布随机数,T0为单位退避时间,此后移动终端可等待随机接入时隙并再次请求接入。
6.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤3中,所述估计当前接入时隙请求接入的设备数Nb具体包括:
假设两个相邻的随机接入时隙时间间隔为TR,则第i个接入时隙中的Nb[i]可表示为:
Figure FDA0003052799270000031
其中,
Figure FDA0003052799270000032
Nc[i]为第i个接入时隙冲突的移动终端数。
7.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤4中,所述流量到达模型为3GPP流量模型。
8.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤5中,所述估计成功接入的设备数Ns具体如下:
Figure FDA0003052799270000033
其中,
Figure FDA0003052799270000034
表示仅一个移动终端选择第j个前导码的概率。
9.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法,其特征在于,步骤7中,所述构建检验统计量具体如下:
将劫持DDoS攻击检测方法表述为二元假设检验问题:
Figure FDA0003052799270000035
Figure FDA0003052799270000036
其中,T表示所构建的统计量,由接入流量特性决定,θ表示检验阈值;假设
Figure FDA0003052799270000041
代表当统计量的值小于阈值时,认为网络中不存在DDoS攻击;假设
Figure FDA0003052799270000042
代表当统计量的值超过阈值时,认为存在被劫持设备发起的DDoS攻击。
CN202110491982.9A 2021-05-06 2021-05-06 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法 Active CN113365249B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110491982.9A CN113365249B (zh) 2021-05-06 2021-05-06 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110491982.9A CN113365249B (zh) 2021-05-06 2021-05-06 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN113365249A true CN113365249A (zh) 2021-09-07
CN113365249B CN113365249B (zh) 2023-01-03

Family

ID=77525732

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110491982.9A Active CN113365249B (zh) 2021-05-06 2021-05-06 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN113365249B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102447707A (zh) * 2011-12-30 2012-05-09 北京交通大学 一种基于映射请求的DDoS检测与响应方法
US20120216282A1 (en) * 2011-02-17 2012-08-23 Sable Networks, Inc. METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK
US20120307774A1 (en) * 2010-02-12 2012-12-06 Qun Zhao Network access method and system for machine type communications
US20160050574A1 (en) * 2013-10-21 2016-02-18 At&T Intellectual Property I, Lp Detection and mitigation of denial-of-service attacks in wireless communication networks
US20180042051A1 (en) * 2016-08-04 2018-02-08 Xg Technology, Inc. Channel access and fairness protocol for contention-based-access networks with biased detection
CN108882301A (zh) * 2018-07-25 2018-11-23 西安交通大学 大规模m2m网络中基于最优功率退避的非正交随机接入方法
CN109644497A (zh) * 2016-06-24 2019-04-16 阿尔卡特朗讯美国公司 使用前导码检测和随机接入信道参数的自动优化来控制网络流量的系统和方法
CN111294775A (zh) * 2020-02-10 2020-06-16 西安交通大学 一种大规模mtc与h2h共存场景中基于h2h动态特性的资源分配方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120307774A1 (en) * 2010-02-12 2012-12-06 Qun Zhao Network access method and system for machine type communications
US20120216282A1 (en) * 2011-02-17 2012-08-23 Sable Networks, Inc. METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK
CN102447707A (zh) * 2011-12-30 2012-05-09 北京交通大学 一种基于映射请求的DDoS检测与响应方法
US20160050574A1 (en) * 2013-10-21 2016-02-18 At&T Intellectual Property I, Lp Detection and mitigation of denial-of-service attacks in wireless communication networks
CN109644497A (zh) * 2016-06-24 2019-04-16 阿尔卡特朗讯美国公司 使用前导码检测和随机接入信道参数的自动优化来控制网络流量的系统和方法
US20180042051A1 (en) * 2016-08-04 2018-02-08 Xg Technology, Inc. Channel access and fairness protocol for contention-based-access networks with biased detection
CN108882301A (zh) * 2018-07-25 2018-11-23 西安交通大学 大规模m2m网络中基于最优功率退避的非正交随机接入方法
CN111294775A (zh) * 2020-02-10 2020-06-16 西安交通大学 一种大规模mtc与h2h共存场景中基于h2h动态特性的资源分配方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JIAWEI LYU: "Physical layer security in D2D underlay cellular networks with poisson cluster process", 《IEEE TRANS.COMMUN.》 *
刘松: "基于OCSVM和主动学习的DDOS攻击分布式检测方法", 《信息科技辑》 *
卢楠等: "mMTC网络中基于空口流量的入侵检测", 《中兴通讯技术》 *

Also Published As

Publication number Publication date
CN113365249B (zh) 2023-01-03

Similar Documents

Publication Publication Date Title
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
US20230099706A1 (en) Wireless intrusion prevention system, wireless network system comprising same, and method for operating wireless network system
EP3313045B1 (en) Limiting the efficacy of a denial of service attack by increasing client resource demands
CN115189927B (zh) 一种基于零信任的电力网络安全防护方法
EP2643985B1 (en) Method and device for fingerprinting of wireless communication devices
CN108521408B (zh) 抵抗网络攻击方法、装置、计算机设备及存储介质
EP2677793A1 (en) Method and device for countering fingerprint forgery attacks in a communication system
Radosavac et al. Detecting IEEE 802.11 MAC layer misbehavior in ad hoc networks: Robust strategies against individual and colluding attackers
CN108353283B (zh) 防止来自伪基站的攻击的方法和装置
Yin et al. FASUS: A fast association mechanism for 802.11 ah networks
US20220256608A1 (en) Contention based random access procedure for mobile communications
CN112087756A (zh) 阻止恶意用户接入的通信方法及装置
CN113365249B (zh) 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法
CN113242260A (zh) 攻击检测方法、装置、电子设备及存储介质
Kim et al. Covert jamming using fake ACK frame injection on IEEE 802.11 wireless LANs
CN110753349B (zh) 一种识别伪基站的方法及设备
Laishun et al. A client puzzle based defense mechanism to resist DoS attacks in WLAN
Amin et al. Classification and analysis of IEEE 802.15. 4 MAC layer attacks
Fu et al. Detection of hijacking DDoS attack based on air Interface traffic
CN114567884A (zh) 一种基于物理层属性的抵抗DDoS攻击方法
Lu et al. Traffic-driven intrusion detection for massive MTC towards 5G networks
Yin et al. Jamming attacks and defenses for fast association in IEEE 802.11 ah networks
EP3577875B1 (en) Method for enhanced detection of a user equipment type.
WO2016184505A1 (en) Identifying a misbehaving ue initiating a random access procedure
CN117278993A (zh) 对网络连接请求的调控方法、控制器、基站及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant