内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置与流程
本发明涉及网络安全领域,具体涉及一种内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置。
背景技术:
TCP/IP网络架构在互联网几十年的发展中表现出了它的实用性,尤其是在面对诸多上、下层的新技术和新应用时显得比较稳定。然而随着互联网的发展,用户对网络的移动性、内容分发以及安全性等服务的需求不断增长,并逐渐暴露出现有网络对移动性、内容分发以及安全性支持的问题。为了应对这些新型的服务,学术界提出了一种新型的网络架构——内容中心网络(Information Centric Network,ICN)。作为ICN的一个实例化模型,命名数据网络(Named Data Networking,NDN)适用于内容分发,并在未来网络架构中极具竞争力。NDN在设计之初已经考虑了安全性的需求,再加上它使用内容取缔了主机标识,可以避免现有网络中多种类型的攻击。NDN可以减小当今流行的多种分布式拒绝服务(DistributedDenial of Service,DDoS)攻击,比如带宽耗尽型、反射型攻击以及前缀劫持型黑洞等攻击。然而它也引发了新型的NDN特有的DDoS攻击,叫做兴趣包洪泛攻击(InterestFlooding Attacks,IFA)。由于在NDN网络中,兴趣包在得到数据包满足之前会被记录在中间路由器的待定兴趣表(Pending Interest Table,PIT)中,攻击者可以发送大量虚假的兴趣包来耗尽中间路由器的存储资源,这种攻击的发起者不需要知道整个内容的分布,却能严重的影响NDN网络的性能,对应的检测防御方法也得到了学术界的广泛研究;然而,我们认为在合谋服务器的帮助下,攻击者也可以轻易的发起兴趣包洪泛攻击,轻易的躲避利用PIT超时类的检测方法,并且攻击者可以通过调节攻击参数,使得攻击流量淹没在网络自身的流量中,从而躲避基于流量变化的检测方法,我们称这种攻击为低速率兴趣包洪泛攻击(LowInterestFlooding Attacks,LIFA)。从攻击效果方面来讲,低速率兴趣包洪泛攻击产生的危害和传统虚假类兴趣包洪泛攻击类似,然而,从危害性方面来讲,这种低速率的洪泛攻击检测难度更高,危害性更大,因此需要提出一种有效的检测方法来检测此种攻击。
如图1所示,A、B、C均为ICN路由器,正常用户发出的兴趣包请求通过路由器A和C到达内容服务器,此过程中路由器A和C会分别为转发过的不同名字的兴趣包创建一个PIT入口记录;当路由器收到正常兴趣包请求后,立即返回对应的数据包,当路由器C收到对应的数据包后,根据PIT入口记录,查得该数据包对应的兴趣包是从A转发得到,然后将数据包转发给A,同样路由器A也根据类似的查询最终将数据包转发给正常用户,路由器在转发过数据包或者PIT入口的生存时间到达时,该PIT入口会被系统销毁,因此在没有攻击的情况下,路由器的PIT资源处于一个动态的占用和释放过程。
如图1(a)所示,在传统的虚假类IFA攻击中,IFA攻击者以一定速率发送与内容服务器具有相同前缀但是名字是随意伪造的兴趣包,这样可以保证当这些兴趣包可以被路由器B和C转发,当路由器C将这些兴趣包转发出去后,由于收不到对应的内容包,路由器C上的PIT资源就被大量的占用而得不到释放,无法为后续到达的兴趣包提供转发服务而主动丢弃收到的兴趣包(包括正常用户和攻击者发送的兴趣包),从而降低网络的性能;当这些被恶意兴趣包占用的PIT资源发生超时后,PIT资源得到释放,可以为正常用户提供服务,然而传统的IFA是一种持续性的洪泛方式,新得到释放的PIT资源会被持续到达的攻击兴趣包占用,因此受攻击路由器的PIT空间一直处于满的状态。
如图1(b)所示,在低速兴趣包泛洪攻击LIFA中,攻击者发出真实的兴趣包去请求位于合谋服务器上的内容,而当合谋服务器收到兴趣包请求后,并不是立即响应数据包,而是当路由器C的上对应的PIT入口记录即将发生超时的时候才返回数据包,以此长时间占用路由器PIT资源,使路由器无法为正常用户提供高速、快捷的上网服务,严重者可以危及到网络的可用性。由于此类攻击有真实的内容返回,所以在直接被攻击的路由器上基本上没有超时的PIT记录,而路由器A上有超时的PIT记录,但并非直接接入攻击者。此外,由于在路由器C的PIT资源被占满之后,继续发送攻击兴趣包已经没太大意义,LIFA攻击者可以停止攻击,等路由器C的PIT资源即将被释放时再发起攻击,这样使得攻击的效率更高,同时给网络引入的攻击流量也比较小,使得基于流量统计类的检测方法失效。
NDN网络中现有的IFA缓解方法主要基于PIT异常状态的统计(在本提案中我们简称为PIT-based方法)以及基于流量统计特性的异常检测(本提案中我们简称为CUSUM方法),NDN中关于LIFA的检测方法主要依据也是PIT的异常状态,本提案中也简称为PIT-based方法。
PIT-based方法:即NDN中的路由器根据PIT的异常状态,包括PIT大小的变化,PIT超时条目的速率,基于端口的兴趣包满足率等。由于网络存在正常的波动,仅仅根据PIT的大小变化很难判定攻击的存在,因此往往是综合多种指标进行检测,比如分别用了分布式和集中式的检测方法,都是当PIT的统计指标超出设定阈值时对攻击进行预警。
CUSUM方法:该方法是基于网络中用户请求分布基本稳定的前提,在一定的时间或者空间范围内,在NDN路由器上对收到的兴趣包的名字进行统计,计算出对应的熵值并与给定的阈值(一般该阈值也是根据经验设定)做差得出熵的增量,对熵增量进行累加,若超出设定的阈值,则判定攻击的存在,反之,则没有攻击存在。
PIT-based方法的缺点主要有两方面:1)该方法主要依赖于PIT异常状态的统计,而导致PIT异常的因素比较多,比如正常的网络波动、网络拥塞、链路失效以及受到攻击等等,仅仅从PIT的异常统计很难判定是否遭受攻击,更不用说如何防御攻击。如果对攻击产生误报,将正常用户的请求也视为攻击请求而采取限制措施,会对用户造成不可估量的损失;2)对于LIFA攻击,在首个被攻击的路由器上,并没有超时的PIT条目,因此基于PIT超时的检测方法就会失效,而对于下游连接正常用户的路由器,由于转发的兴趣包被上游的路由器主动丢弃,因此即便是下游路由器连接的全部是正常用户,也会表现出PIT明显异常的统计特征。
CUSUM方法由于是对路由器接收请求分布的统计并进行累计和算法来判定攻击的存在与否,因此可以从一定程度上避免上述的误判情况。主要有两方面,1)累计和算法本身就可以从一定程度上避免网络波动对检测结果的影响;2)CUSUM主要是对路由器收到的内容请求的分布进行统计,如果路由器连接的用户都是正常用户,而且正常用户的请求都有固定的分布,那么即便上游路由器收到了攻击,短时间内,由于用户请求的内容分布没发生改变,下游的路由器也不会做出攻击的预警,因此可以从这一方面避免对合法用户的伤害。然而,这种CUSUM方法需要一个固定的时间或者空间窗口来计算收到的请求的统计特征,当网络受到LIFA时,由于LIFA的攻击请求平均速率很低,从流量的整体统计特上未必体现的出来,因此也存在较高的漏检率。
技术实现要素:
针对现有技术存在的不足和缺陷,本发明提供一种内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置。
一方面,本发明实施例提出一种内容中心网络中低速率兴趣包洪泛攻击的检测方法,包括:
S1、利用内容中心网络中流量采样信号和小波母函数计算选定尺度集合中每个尺度的小波系数dj,k,并利用所述小波系数dj,k重构出所述流量采样信号的低频部分,其中,小波分解层数为J,J为正整数,所述尺度集合为满足不小于且小于J条件的整数的集合,dj,k表示尺度j、平移k上的细节信息;
S2、将所述低频部分的模与预设的检测阈值进行比较,若所述模不小于所述检测阈值,则确定出存在低速率兴趣包洪泛攻击。
优选地,所述S1,包括:
计算所述小波系数dj,k,计算公式为其中,X(n)为流量采样信号,ψj,k(n)为对所述小波母函数进行j倍的压缩,k个单位的平移得到;
利用所述小波系数dj,k计算所述流量采样信号在每个尺度j上的细节分量fj(n),计算公式为
将计算出的所有尺度上的细节分量叠加得到所述低频部分。
优选地,所述方法还包括:
在确定出所述模不小于所述检测阈值时,更新预设的预警时间talarm为所述低频部分对应的时刻,其中,在所述预警时间talarm到达时进行预警;
在第一时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S0,在第二时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S1,取S0和S1的交集,提取交集的兴趣包名字,其中,所述第一时刻为所述预警时间talarm,所述第二时刻为所述预警时间talarm与往返时延RTT之和;
在第三时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S2,取S2中待定兴趣表PIT记录的兴趣包名字与所述交集的兴趣包名字的交集,得到攻击源特征集合AttackSet,其中,所述第三时刻为所述预警时间talarm与默认的待定兴趣表PIT记录超时时间PET之和。
另一方面,本发明实施例提出一种内容中心网络中低速率兴趣包洪泛攻击的检测装置,包括:
重构单元,用于利用内容中心网络中流量采样信号和小波母函数计算选定尺度集合中每个尺度的小波系数dj,k,并利用所述小波系数dj,k重构出所述流量采样信号的低频部分,其中,小波分解层数为J,J为正整数,所述尺度集合为满足不小于且小于J条件的整数的集合,dj,k表示尺度j、平移k上的细节信息;
检测单元,用于将所述低频部分的模与预设的检测阈值进行比较,若所述模不小于所述检测阈值,则确定出存在低速率兴趣包洪泛攻击。
优选地,所述重构单元,具体用于:
计算所述小波系数dj,k,计算公式为其中,X(n)为流量采样信号,ψj,k(n)为对所述小波母函数进行j倍的压缩,k个单位的平移得到;
利用所述小波系数dj,k计算所述流量采样信号在每个尺度j上的细节分量fj(n),计算公式为
将计算出的所有尺度上的细节分量叠加得到所述低频部分。
优选地,所述装置还包括:
更新单元,用于在确定出所述模不小于所述检测阈值时,更新预设的预警时间talarm为所述低频部分对应的时刻,其中,在所述预警时间talarm到达时进行预警;
第一处理单元,用于在第一时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S0,在第二时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S1,取S0和S1的交集,提取交集的兴趣包名字,其中,所述第一时刻为所述预警时间talarm,所述第二时刻为所述预警时间talarm与往返时延RTT之和;
第二处理单元,用于在第三时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S2,取S2中待定兴趣表PIT记录的兴趣包名字与所述交集的兴趣包名字的交集,得到攻击源特征集合AttackSet,其中,所述第三时刻为所述预警时间talarm与默认的待定兴趣表PIT记录超时时间PET之和。
本发明实施例提供的内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置,利用小波分析这一工具,对路由器收到的兴趣包进行分析,提取出含有攻击信号的低频分量,并通过将低频分量的模与检测阈值进行比较来检测低速率兴趣包洪泛攻击,与现有技术相比,该方法可以提取淹没在正常网络中的低速率的攻击流量,避免了基于流量均值统计方法无法检测小流量攻击的不足,同时该方法避免了基于PIT检测方法带来的误判问题,提高了LIFA攻击检测的准确度。
附图说明
图1为攻击图示,图1(a)为IFA攻击图示;图1(b)为LIFA攻击图示;
图2为核心路由器上接收到的兴趣包速率变化示意图;
图3为正常流量和攻击流量频谱能量分布对比图;
图4为本发明内容中心网络中低速率兴趣包洪泛攻击的检测方法一实施例的流程示意图;
图5为本发明内容中心网络中低速率兴趣包洪泛攻击的检测装置一实施例的结构示意图;
图6为中国电信骨干网拓扑(2010年8月);
图7为不同类型攻击下节点“Beijing”上PIT大小的变化示意图;
图8为LIFA攻击情况下节点“Beijing”吞吐量的变化示意图;
图9为低频信号Xa(n)模值变化示意图;
图10为LIFA前后统计到的熵值和PIT记录的超时数目变化示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于网络流量易受网络环境、时间尺度等诸多因素的影响而表现出不同的特性,如在大时间尺度下的长相关,对应的包过程为一个广义的平稳过程。在NDN网络中,由于受到缓存、PIT汇聚等影响,流量也会呈现出新的稳态特性,然而LIFA攻击者发起的周期性脉冲攻击,会严重破坏这种特性,极大的抑制相对稳定的合法用户的流量成分。因此在LIFA情况下,攻击流量和合法用户的流量叠加后很难再维持原来的平稳状态。我们通过ndnSIM平台模拟一次典型的LIFA攻击,同时在核心路由器上每隔100ms对收到的兴趣包和内容包数目进行采样,其中从50s发起LIFA,统计结果如图2所示。
在攻击发起前,网络收到的兴趣包请求速率在一个小范围内波动,各个统计值(均值、方差和自相关函数等)基本满足广义平稳的过程,当LIFA攻击发起后,路由器收到的兴趣包数目在短时间内有明显的增加,随后降至正常水平以下,并成一定周期性,网络的性能也处于周期的震荡当中。
从时域角度分析网络收到的兴趣包数目,很难区分这种小幅的变动是受网络波动的影响还是遭受了攻击。考虑到LIFA是一种周期性的脉冲攻击,我们通过频域来分析网络的流量成分。如图3所示,在正常情况下,用户随机发送其感兴趣内容的请求,并能在一个往返时延(Round Trip Time,RTT)内接收对应内容,因此网络流量频谱在每个频带中应具有相似的功率谱密度(PSD);而当网络受到LIFA时,受害者路由器周期性地、间歇地转发兴趣包(无法转发兴趣包是由于PIT资源在每个周期几乎被耗尽)。因此,LIFA流量的PSD主要集中在低频(攻击周期T一般为PIT entry的最大生存时间4s,频率为0.25Hz)和对应的高次谐波(4Hz,8Hz…)部分。尽管LIFA的平均流量与正常的流量没有显著差异,但我们可以通过小波分析技术来提取这种频域特征来检测LIFA。
参看图4,本实施例公开一种内容中心网络中低速率兴趣包洪泛攻击的检测方法,包括:
S1、利用内容中心网络中流量采样信号和小波母函数计算选定尺度集合中每个尺度的小波系数dj,k,并利用所述小波系数dj,k重构出所述流量采样信号的低频部分,其中,小波分解层数为J,J为正整数,所述尺度集合为满足不小于且小于J条件的整数的集合,dj,k表示尺度j、平移k上的细节信息;
S2、将所述低频部分的模与预设的检测阈值进行比较,若所述模不小于所述检测阈值,则确定出存在低速率兴趣包洪泛攻击。
下面对本发明内容中心网络中低速率兴趣包洪泛攻击的检测方法进行详细说明。
小波是一种有限长、快速衰减的波形。小波母函数ψ(t)(motherwavelet,也叫waveletbasefunction)有严格的数学定义,必须满足时域积分为0,频域能量有限等条件。小波分析主要是通过对已有信号进行小波变换以进行多分辨率分析的方法,主要有连续小波变换和离散小波变换,而实际时间序列分析过程中,常使用二进离散小波变换,即以2的倍数为尺度进行伸缩来得到不同的小波函数。
假定预处理的信号函数为f(t),给定小波母函数为ψ(t),我们可以将信号作J层分解:
其中ψj,k(t)和分别为小波函数和尺度函数,而dj,k为小波系数,表示尺度j、平移k上的细节信息;aJ,k为近似系数,表示尺度J、平移k上的逼近信息。其中小波系数dj,k可以通过如下公式得到:
公式(1)中的小波分解过程是可逆的,我们可以根据小波系数重构出原始信号在某个尺度j上的细节分量:
由前文可知,低频信号流量可以用作检验LIFA存在的重要指标。我们在特定尺度上选取小波系数,重建原始信号的特定频率分量。例如,我们可以对流量采样信号X(n)进行J层的小波分解,从而可以得到从1到J上每个尺度的小波系数以及尺度系数。通过选择较高尺度的小波系数,我们可以重构出原始信号的低频部分Xa(n)。如果LIFA攻击发生,会直接影响分离的低频流量分量|Xa(n)|,具体如算法1所示。
给定采样到的流量数据包X(n),小波分解层数J,小波母函数ψ(t)以及设定的攻击检测阈值Th,首先,我们初始化警报时间talarm,并对X(n)进行J层小波分解;其次,我们在选定尺度集合上重构信号分量Xj(n),并将所有j对应的分量叠加得到整个低频的分量Xa(n);最后,我们将Xa(n)的模|Xa(n)|与预设的检测阈值Th进行比较,以检测LIFA的存在,若存在更新talarm为Xa(n)对应的时刻,阈值Th是基于经验设定,通常比正常水平高出1倍。
当LIFA攻击检测算法检测到LIFA攻击时,假设预警时间是talarm,由于基于小波分析的时延极短,一般在毫秒级以下,所以路由器上收到攻击兴趣包后检测算法立马可以检测出来,但是在收到的大量兴趣包中,如何有效地区分出攻击兴趣包是比较困难的事情。本提案中,我们提出一种攻击源特征提取的方法,来对攻击兴趣包进行鉴别,为进一步的防御策略提供帮助。
由于NDN中,默认的PIT记录超时时间是4秒,当PIT记录发生超时后再根据超时的记录提供攻击数据包的特征已经为时已晚,此时已有大量正常的用户请求遭到丢弃,同时,根据第4节的分析,仅仅依据PIT超时的记录也极易将合法用户判定为攻击者。由于LIFA中,合谋的服务器一般会在PIT记录即将超时的时候返回对应的数据包,我们可以将攻击源特征的提取分为两个阶段。第一阶段,在talarm时刻保存PIT中所有记录的兴趣包名字S0,然后在talarm+RTT时刻,保存此时PIT中所有记录的兴趣包名字S1,取S0和S1交集,提取它们的兴趣包名字,即可初步加入到攻击源的特征集合AttackSet中;第二阶段,假设默认的PIT记录超时时间为PET,在talarm+PET/2时刻,保存PIT中所有记录的兴趣包名字S2,取S2中PIT记录的兴趣包名字与AttackSet的交集,得到最终的攻击源特征集合AttackSet。
参看图5,本实施例公开一种内容中心网络中低速率兴趣包洪泛攻击的检测装置,包括:
重构单元1,用于利用内容中心网络中流量采样信号和小波母函数计算选定尺度集合中每个尺度的小波系数dj,k,并利用所述小波系数dj,k重构出所述流量采样信号的低频部分,其中,小波分解层数为J,J为正整数,所述尺度集合为满足不小于且小于J条件的整数的集合,dj,k表示尺度j、平移k上的细节信息;
本实施例中,所述重构单元,具体可以用于:
计算所述小波系数dj,k,计算公式为其中,X(n)为流量采样信号,ψj,k(n)为对所述小波母函数进行j倍的压缩,k个单位的平移得到;
利用所述小波系数dj,k计算所述流量采样信号在每个尺度j上的细节分量fj(n),计算公式为
将计算出的所有尺度上的细节分量叠加得到所述低频部分。
检测单元2,用于将所述低频部分的模与预设的检测阈值进行比较,若所述模不小于所述检测阈值,则确定出存在低速率兴趣包洪泛攻击。
在前述装置实施例的基础上,所述装置还可以包括如下的图中未示出的结构:
更新单元,用于在确定出所述模不小于所述检测阈值时,更新预设的预警时间talarm为所述低频部分对应的时刻,其中,在所述预警时间talarm到达时进行预警;
第一处理单元,用于在第一时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S0,在第二时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S1,取S0和S1的交集,提取交集的兴趣包名字,其中,所述第一时刻为所述预警时间talarm,所述第二时刻为所述预警时间talarm与往返时延RTT之和;
第二处理单元,用于在第三时刻,保存此时待定兴趣表PIT中所有记录的兴趣包名字S2,取S2中待定兴趣表PIT记录的兴趣包名字与所述交集的兴趣包名字的交集,得到攻击源特征集合AttackSet,其中,所述第三时刻为所述预警时间talarm与默认的待定兴趣表PIT记录超时时间PET之和。
本发明实施例中,在攻击预警之后,根据PIT中记录的兴趣包信息,采用两段式的方法提取出攻击源的特征,降低了对正常用户的误判概率。
为验证本方案的具体效果,本提案通过仿真进行说明。仿真拓扑如图6所示,正常用户请求的内容前缀为“/root/good”,总体的请求分布服从zipf分布,对应的内容服务器位于“Beijing”节点,而LIFA攻击者请求的内容前缀为“/root/collusive”,对应的合谋服务器位于“Shenyang”。每个节点都安装一个用户程序,正常用户发出请求的速率为50个/秒,我们随机选取15%的节点作为LIFA攻击者,每个攻击者的请求模型为(δ,τ,T),其中攻击速率为δ=10个/秒,攻击持续时间为τ=0.5秒,攻击周期为T=5秒。每个路由器节点PIT的大小设为200,整体仿真时间为0~500秒,攻击持续时间为250~500秒。
图7对比了IFA和LIFA攻击对NDN节点“Beijing”PIT的影响,在t=250秒以前,网络处于正常的工作状态,“Beijing”节点的PIT大小维持150左右,并小幅度的波动,当t=250秒时,攻击者开始发起攻击。在LIFA攻击的情况下,NDN节点的PIT呈周期性的变化,最大值几乎到达200,由于攻击的周期为5秒,而PIT默认的超时时间为4秒,因此,在PIT发生超时的时候,下一轮的LIFA攻击包还未到达,因此PIT资源得到释放,PIT的大小会周期性的回落。作为对比,我们同样在t=250秒的时候发起IFA攻击,观测到的PIT大小与LIFA攻击时相差不大,因此从攻击效果来看,LIFA也可以对网络造成类似IFA攻击的效果。同样,这点也反映在网络吞吐量的变化上面,如图8所示,当网络受到LIFA攻击时,受攻击的路由器节点吞吐量也会成周期性的下降,严重影响网络的性能。
图9给出了在240秒到270秒之间路由器节点“Beijing”上统计的低频信号Xa(n)的模值变化,可以看到在LIFA攻击发生前,Xa(n)的模值处于小范围的动态变化当中,在第一个攻击周期[250,255]秒内,攻击脉冲发生在250秒到250.5秒之间,节点检测到Xa(n)的模值开始增加,超过规定的阈值Th,在第二轮攻击周期发起时,节点检测到的Xa(n)模值远超于设定的阈值。在250秒到270秒之间,共5次LIFA的攻击脉冲,均可在Xa(n)的模值上直接反映出来,因此,基于小波分析的LIFA检测方案可以很好的检测低速率的兴趣包洪泛攻击。作为对比,我们采用基于熵的CUSUM和基于PIT超时条目的检测方案,如图10所示,被攻击节点统计的熵值随着LIFA周期性的脉冲影响,呈现出了较小的波动,和正常网络波动没有明显差别,主要是因为LIFA只在较短的时间段内发送攻击兴趣包,从平均速率上不会引起网络流量的明显增加,此种情况下,熵值的累积和也一直为0,检测不到攻击的发生;由于在直接受攻击的路由器上,即便是攻击的兴趣包也会在PIT条目超时之前收到对应的内容包,因此统计的PIT超时条目也一直为0,基于PIT超时的检测方法也无法检测出LIFA。
我们分别提取出攻击检测到的时刻talarm,以及talarm+RTT、talarm+PET/2时刻PIT中所有记录的兴趣包名字集合S0,S1和S2。由于PIT最多可以容纳200个PIT入口记录,在此我们截取部分S0,S1和S2集合中的数据,用来说明攻击源的特征:
根据S0和S1,我们得到第一阶段的攻击特征AttackSet=S0∩S1,继而得到第二阶段的攻击特征AttackSet=AttackSet∩S2。由于PIT中正常请求的记录会在一个RTT内被满足,因此S0和S1取交集得到的是未在一个RTT内得到满足的兴趣包记录,也就是攻击兴趣包,这也在S2的记录中得到了验证。根据AttackSet中兴趣包的名字,我们可以进一步的提取它们的共同前缀“/root/collusive”等特征。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!