可抵御膨胀攻击的可用网络带宽测量方法
【技术领域】
[0001] 本发明设及一种可抵御膨胀攻击的可用网络带宽测量方法,尤其是设及一种可W 有效防止被测量端恶意膨胀其与测量端之间可用网络带宽的测量方法。
【背景技术】
[0002] 网络带宽作为一种重要的网络资源,长期W来被互联网的各参与方所争夺。虽然 近年来互联网所能提供的平均物理带宽在网络软硬件技术飞速发展的背景下得到了极大 的提升(由最初仅能提供给终端用户的千比特级化bps)到如今的吉比特网络(Gbps)),其可 用带宽在互联网用户群体急速膨胀的前提下依然十分稀缺。为了实现互联网资源的平衡和 优化配置,许多应用在互联网中的分布式系统都设计了基于网络可用带宽的负载均衡和服 务优化机制。比如,迅雷下载等点对点文件分享系统将根据用户贡献的可用带宽分配其能 得到的资源。另外,很多开放式匿名系统也是根据匿名路由器所能提供的带宽决定其被选 中的概率。因此,某些互联网参与者为了在基于带宽的竞争中处于优势,往往会针对网络带 宽测量方法的缺陷恶意膨胀自身的可用带宽,从而误导网络资源的调度与分配。
[0003] 现有的非合作式可用网络带宽测量方法一般是基于包对或包链设计的。测量端发 送一对或一批网络数据包给被测量端,被测量端收到运些包后自动回送响应包,测量端用 发送的数据包的大小除W收到响应包的时间间隔来计算其到被测量端的可用网络带宽。恶 意的被测量端可W通过调整回应响应包的时间将带宽的测量结果膨胀到其期望的数值。如 针对测量包对,膨胀带宽的方法可W是延迟第一个响应包的会送时间或者提前第二个响应 包的回送时间。由于测量端很难区分接收响应包的时间间隔是由正常的网络时延而导致的 还是由被测量端恶意修改,可用带宽的膨胀攻击具有极大的隐蔽性。
[0004] 已有的可检测可用网络带宽膨胀攻击的测量方法可大致可W分为两类。一类属于 机会主义带宽测量算法,即利用多个测量端对同一个被测量端同时进行带宽测量,如果不 同的测量端得到的测量结果不同,则有很大的可能性被测量端在发动带宽攻击。运类方法 有一个根本假设,即被测量端不能很好的将测量网络流从业务网络流中识别出来,同时不 能使膨胀后的可用网络带宽超过物理带宽。然而,运一假设在实际攻击中并不能得到很好 的满足。用于测量的包对或包链往往含有某些填充数据或不能很好的兼容某些协议标准, 将很容易被识别出来。另外,只要被测量端能精确控制时间,其可用带宽可W被膨胀到任何 数值。另一类抗攻击测量方法通过判别多次带宽测量结果的积累概率分布函数(CDF)的对 称性来推测被测量端是否发动带宽攻击。虽然运类方法规避了前一种方法中不切实际的假 设要求,但其用来做攻击检测的线索很容易被伪造。具体而言,多次结果CDF之所W异常对 称,是由于攻击中被测量端在控制回应时间时将测量包在来路中受到旁路带宽影响而产生 的随机时间扰动抹去了。恶意测量端可W很容易的在发动攻击时通过模拟运个扰动来规避 检测。
[000引综上所述,当前尚无方法可W在实际应用中很好的防止可用网络带宽膨胀攻击, 从而导致互联网中大量基于可用带宽的服务优化和负载均衡系统面临潜在的安全风险。
【发明内容】
[0006] 本发明所要解决的技术问题是提供一种可抵御膨胀攻击的可用网络带宽测量方 法,其主要目的是为了在进行非合作式可用网络带宽测量时防止被测量端恶意膨胀其带 宽,提高安全性。
[0007] 本发明是通过下述技术方案来解决上述技术问题的:一种可抵御膨胀攻击的可用 网络带宽测量方法,其特征在于,其包括W下步骤:
[0008] 步骤一,测量端预先设定需要生产的测量包链的个数M;
[0009] 步骤二,测量端依次生产Μ个长度随机的测量包链;
[0010] 步骤Ξ,测量端根据每个测量包链的长度生成相应数量的测量数据包;
[0011] 步骤四,当一个测量包链发送完成后,测量端开始等待接收从被测量端发送回来 的响应包,直到所有的响应包都被接收到或者等待超时;
[0012] 步骤五,测量端将接收到的响应包与测量数据包通过关联方法进行关联,从而确 定哪些测量数据包得到了响应,哪些没有得到响应;重复步骤Ξ、步骤四W及步骤五直到Μ 个测量包链的测量都完成;
[0013] 步骤六,依据每个包链计算一个可用带宽值,共可得到Μ可用带宽值;如果运Μ个值 的标准差大于运Μ个值的平均值的Ημ倍,则认为测量端受到可用带宽膨胀攻击并结束;否则 执行步骤屯;
[0014] 步骤屯,测量端先通过与被测量端相近的网络节点估计出测量端与被测量端真实 往返时延,然后检测每个测量包链中发送第一个测量数据包到接收第一个响应包的时间间 隔;如果运个间隔大于Ht,则认为测量端受到可用带宽膨胀攻击并结束;否则执行步骤八;
[0015] 步骤八,检测所有接收到的响应包,判断是否存在不能关联到测量端发送的测量 数据包的响应包,如果存在,则认为测量端受到可用带宽膨胀攻击并结束;否则执行步骤 九;
[0016] 步骤九,将测量数据包和接收到的响应包进行对比,看是否有连续Hd个测量数据 包未得到响应,如果是,则认为测量端受到可用带宽膨胀攻击并结束;否则执行步骤十;
[0017] 步骤十,如果测量能顺利通过步骤六到步骤九的检测,则认为测量端未受到可用 带宽膨胀攻击。
[0018] 优选地,所述测量包链的长度是属于区间[L,(l+a) -L]内的随机整数,从第二个 包链开始,随机区间的下限L将根据前面包链测量的平均带宽结果B按照W下条件式进行调 整:
[0019]
[0020] 其中,出为多测量包链第一响应包时延异常偏差检测法指定的检测阔值,I P I是测 量数据包的大小。
[0021] 优选地,所述测量数据包的种类是TCP流外数据包、TCP流外SYN包或者TCP流内时 间包Ξ种中的一种。
[0022] 优选地,所述步骤十将Μ个测量结果的平均值作为最终的可用带宽测量值。
[0023] 本发明的积极进步效果在于:本发明可W在攻击者能正确识别测量网络流并能将 可用带宽膨胀到任意数值的情况下抵御膨胀攻击,同时保证攻击者很难伪造检测线索w躲 避检测。
【附图说明】
[0024] 图1(a)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在澳大 利亚时的实验结果图。
[0025] 图1(b)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在中国 时的实验结果图。
[0026] 图1(c)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在日本 时的实验结果图。
[0027] 图1(d)为本发明中多测量包链带宽测量值异常标准差检测法当被测量端在韩国 时的实验结果图。
[0028] 图2(a)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在澳 大利亚时的实验结果图。
[0029] 图2(b)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在中 国时的实验结果图。
[0030] 图2(c)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在日 本时的实验结果图。
[0031] 图2(d)为本发明中多测量包链第一响应包时延异常偏差检测法当被测量端在韩 国时的实验结果图。
[0032] 图3(a)为本发明中异常丢包检测法当被测量端在澳大利亚时的实验结果图。
[0033] 图3(b)为本发明中异常丢包检测法当被测量端在中国时的实验结果图。
[0034] 图3(c)为本发明中异常丢包检测法当被测量端在日本时的实验结果图。
[0035] 图3(d)为本发明中异常丢包检测法当被测量端在韩国时的实验结果图。
[0036] 图4为本发明可抵御膨胀攻击的可用网络带宽测量方法的流程图。
【具体实施方式】
[0037] 下面结合附图给出本发明较佳实施例,W详细说明本发明