基于互相关的LDDoS攻击时间同步和流量汇聚方法
【专利摘要】本发明涉及一种基于互相关的LDDoS攻击时间同步和流量汇聚方法。本发明在于LDDoS(Low-rate?Distributed?Denial?of?Service)攻击的流量聚合和时间同步,此LDDoS攻击是由大量有组织的LDDoS攻击集合而成。信号互相关算法是为了保证每个分布式攻击脉冲在受害者端聚合并准确的同步以形成一个强大的脉冲。模拟结果显示用信号互相关算法去调整的攻击脉冲的LDDoS攻击效果显著增强。
【专利说明】基于互相关的LDDoS攻击时间同步和流量汇聚方法
【技术领域】
[0001] 本发明涉及一种低速率拒绝服务 LDDoS(Low-rate Distributed Denial of Service)攻击的方法,它提高了 LDDoS攻击的效果。它属于计算机网络安全领域入侵检测 (Intrusion Detection)【技术领域】。
【背景技术】
[0002] 拒绝服务攻击是一种使受攻击的主机、服务器、路由器等网络设备无法正常提供 或接受服务的蛮力攻击。攻击者通过向受攻击者发送大量毫无价值的数据包来占用大量网 络资源(如网络带宽或CPU周期等),以此达到使受攻击者主机系统无法正常运转甚至瘫痪 的目的,对于主机性能指标不高的受攻击者来说,DoS攻击的效果会更好、更明显。实施DoS 攻击不需要十分复杂的技巧,并且随着软件工艺的提高,开发DoS攻击工具越来越容易,网 络的普及也使普通人可以很容易的下载到现成易用的攻击工具。攻击者甚至不需要了解复 杂的网络结构和系统漏洞,仅通过简单的操作就可以实施一次DoS攻击。DoS攻击可以作为 前奏配合完成其他形式的攻击,DoS攻击者还可以通过伪造 IP地址隐藏自己的身份使对方 很难追踪攻击来源。
[0003] 随着网络性能不断改进,带宽的大幅提高使得单源DoS攻击的效果大打折扣,于 是出现了分布式拒绝服务攻击。DDoS攻击就是通过大量分布在各处的主机共同实施DoS攻 击,是DoS攻击的集群攻击方式。DDoS攻击相对于传统的DoS攻击实施起来更复杂、攻击源 更分散、攻击流量更大,因此更难检测和防范,攻击所产生的危害也更大。自从1999年首次 发现DDoS攻击以来,截止至今DDoS攻击每年都给全球经济造成上百亿美元的损失,现在已 经成为Internet面临的最严峻的威胁之一。2002年,作为互联网数据传输的核心--13 台根域名服务器--遭受到DDoS攻击,致使其中9台服务器彻底瘫痪,服务中断长达1小 时。2007年2月,6台根域名服务器再次受到DDoS攻击,其中两台受到了很明显的影响,攻 击时间长达8小时。这些著名的案例表明相对于传统的DoS攻击,DDoS攻击是一种更加强 悍的攻击手段。
[0004] LDDoS攻击是DDoS攻击的另外一种形式。与DDoS攻击相比它具有平均流量小,隐 蔽性强的特点,产生的破坏影响比较大,容易被黑色产业链利用,作为盈利的手段,给经济 造成巨大的损失。
[0005] 2001年,低速率拒绝服务攻击首次由AstaNetworks公司在Abilene骨干网发现。 通过6个月的流量分析,研究人员发现这种具有脉冲特征的新型DoS攻击能够长时间存在 并且不能被现有的检测机制所发现,因此具有极高的隐蔽性,这种攻击不一定能使目标系 统瘫痪,但是可以大大降低系统的性能。从此以后,针对LDoS的攻击、检测防御成为网络 安全研究领域的新课题。2003年在计算机网络方面的顶级会议SIGCCMM上,Rice大学的 Aleksandar Kuzmanovic首次提出了针对TCP协议的LDoS攻击并且给出了一个数学模型和 相关测试,为后面的研究奠定了基础。2004的ICNP(IEEE International Conference on Network Protocols)会议以及 2005 年的 INF0C0M会议上,Guirguis 提出了 RoQ(Reduction of Quality)攻击,利用TCP协议中拥塞控制以及路由器队列管理机制中的漏洞降低路由 器的性能。2005 年的 NDSS (Network and Distributed System Security Symposium)会议 上,Xiapu Luo又提出了 ro〇S(Pulsing DoS)攻击,还有其他形式的LDoS攻击但原理都是 类似的。LDDoS是LDoS的分布式攻击形式,如同DDoS与DoS的关系一样,LDDoS攻击就是 LDoS的集群攻击方式。
[0006] 针对LDDoS的检测和防御方法更多,对于传统DDoS攻击的一般检测方法主要有基 于网络的入侵检测系统和基于主机的入侵检测系统这两种。但这两种检测方法都是基于 DDoS长时间、高强度的网络流量异常统计特性,而LDDoS并没有这样的特征,所以传统的检 测方式并不能检测出LDDoS。针对LDDoS,YU CHEN,KAI HWANG等提出了基于数字信号处理 的检测方法,主要思想是提取流量的频域特性来进行分析,开创了基于信号处理方法的检 测。之后Yu-KwongKwok等又提出了基于"随机丢包模式"的算法等。
[0007] 目前国内外的研究主要集中在检测和防御上,而针对LDDoS流量同步和汇聚的研 究还较少,主要是Ying Zhang提出了利用ICMP时间戳报文对各攻击流量进行时间同步的 方法。LDDoS目前没有在网络中大规模爆发,大多数对它的研究还停留在理论和仿真方面, 没有在实际网络中进行测试,因此缺乏真实的实际数据。尽管如此,作为一种新型的、更具 威胁、更隐敝的DDoS攻击方式,LDDoS正受到越来越多学者的关注,通过细致研究它的攻击 行为,分析攻击原理,有利于今后提出更有效的检测和防御方法。
【发明内容】
[0008] 在LDDoS攻击中,攻击脉冲被分割成好多小振幅脉冲。这些小脉冲由不同攻击者 发送并在目标端完成聚合。攻击脉冲的形成主要是通过以下几种分割大脉冲的方法。
[0009] (1)脉冲幅度成倍减少,攻击周期没变如附图1所示。假设攻击目标的吞吐量是 C,攻击者命名为1到n,LDDoS攻击周期为T,每个攻击峰值为C/n,每个攻击脉冲可以在受 害者端叠加形成一个高速率攻击脉冲。
[0010] (2)脉冲峰值不变但是攻击周期成倍增加,如附图2所示。N个攻击者,攻击周期 为η攻击峰值R。每个攻击脉冲可以在受害者端叠加,形成一个高速攻击脉冲周期为T。
[0011] 每个攻击脉冲必须严格遵守时间序列才能形成理想的LDDoS攻击。然而每个攻击 者都分布在不同的网络中,攻击者到目标间的距离不确定。所以要确保每个攻击脉冲可以 在经过不同网络传输后汇聚形成一个强攻击脉冲是一项非常困难的技术。如果,每个攻击 脉冲都不能同步和汇聚,LDDoS攻击将会失去它们的攻击特性,攻击效果会被严重削弱。
[0012] 附图1和附图2说明LDDoS攻击的时间同步和流量汇聚,在参与攻击的每个脉冲 需要严格的时间关系。每个脉冲都与其它密切相关。因此,互相关函数被看作是实现时间 同步和流量汇聚的关键技术。
[0013] 互相关是估计两个序列相关程度的标准方法。考虑两个LDDoS攻击序列x(i), y(i),i = l,2,"·,Ν-1。两个延迟为d的LDDoS攻击序列的互相关r定义为
[0014]
【权利要求】
1. 一种基于互相关的LDDoS(Low-rate Distributed Denial of Service)攻击的时间 同步和流量汇聚的方法,其特征在于:是通过以下步骤实现的: (1) 估计各处链路的RTT ; (2) 设计攻击波形; (3) 发送攻击波形参数到各攻击端,各攻击端产生攻击脉冲; (4) 对各攻击脉冲进行采样,用互相关算法计算各攻击脉冲之间的相对延时; (5) 调整攻击时间以达到时间同步; (6) 在检测点采集数据,判断汇聚后的攻击是否达到最佳。
2. 根据权利要求1所述的基于互相关的LDDoS攻击的时间同步和流量汇聚方法,其特 征在于: 其中:步骤(1)要分别估算攻击者到各攻击端的RTT,各攻击端到各攻击目标的RTT,和 经过攻击目标处的TCP连接的RTT。 步骤(2)所设计的波形要求为周期方波脉冲,攻击周期为T,脉冲幅度为R,脉冲长度为 L。其中脉冲幅度R要足够大以保证攻击流量能够堵塞链路,脉冲长度要足够长以保证正常 流量大量丢失,而过大的攻击脉冲长度同样会使LDDoS成为DDoS。 步骤(3)攻击者首先将攻击脉冲分割成较小的攻击脉冲,然后由各攻击端发送这种较 小的脉冲,最后在攻击目标处重新汇聚成攻击脉冲。 步骤(4)是在受害端的上一跳路由监测流量,每隔t秒的间隔对流量进行取样,一个取 样周期为T秒。每个抽样数据就成为一个离散的序列xn(i)。 以Xi⑴为基准,分别计算每个序列与Xi⑴的相关序列r (d),
(1) 再分别统计rn(d)取最大值所对应的dn的值。 步骤(5)根据步骤(4)计算出的< 的值,分别调整各攻击端发送攻击脉冲的时间。 步骤(6)采样汇聚后的流量,判断攻击波形是否以达到最佳,如不是重复步骤(4) (5) 直到达到最佳。
3. 根据2所述的基于互相关的LDDoS攻击的时间同步和流量汇聚方法,可以用以下两 种分割方式产生攻击脉冲: (1)脉冲幅度减倍,攻击周期不变 假设攻击目标处的吞吐能力为C,使用η个攻击端实施LDDoS攻击,设定的攻击周期为 T。各个攻击端同步发送峰值为R = C/n、周期为T的攻击脉冲到目标处,最终叠加形成峰值 为C、周期为T的攻击脉冲, ⑵脉冲幅度不变,攻击周期增倍 参数同上,各个攻击端按照时间序列为〇,T,2T,3T,…,(n-l)T,依次发送峰值为R = C、周期为T*n的攻击脉冲到目标处,最终置加形成峰值为C、周期为T的攻击脉冲。流量完 好的汇聚之后,LDDoS就形成了类似于LDDoS的攻击流量,因此攻击原理与LDDoS -样。
【文档编号】H04L12/891GK104125194SQ201310143580
【公开日】2014年10月29日 申请日期:2013年4月24日 优先权日:2013年4月24日
【发明者】吴志军, 马兰, 岳猛 申请人:中国民航大学