,2,一, n。其中,m表示每个取值的序号。假设两条链路的总带宽都为Cl。两条链路的可用带宽序 列的欧氏距离cKBi,B,)定义为:
[0018] 其中,Bi和B,是两条链路可用带宽序列,i和j表示链路标号。考虑到一个路由 域下会有多条链路,对(2)中得到的各个欧氏距离取平均,定义平均欧氏距离兩为:
[0020] 其中,k表示链路总数。
[0021] 按照可用带宽相似度的理论分析,可W做出W下的假设检验:
[0023]在(4)中,如果兩大于口限值y,则H。接受,判定为正常情况。否则有小于等于口 限值y,则H浪受,判定为发生LDoS攻击。
【附图说明】
[0024] 图1为LDoS攻击模型。
[00对图2是服务器的分布架构,其中(a)是传统数据中屯、基础架构,化)是云数据基础 架构。
[0026] 图3是DCNs中的LDoS攻击。
[0027] 图4是可用带宽-时间的理论分析,其中(a)无LDoS攻击,化)有LDoS攻击。
[0028] 图5是本发明所应用的实验环境,模拟LDoS的攻击场景。
[0029] 图6是本发明改进的实验环境,检测LDoS攻击。
【具体实施方式】
[0030] 1.首先对比抑OS和LDoS在DCNs内部的攻击效果,在图5所模拟的场景下,采用 化doop平台验证LDoS攻击效果。化doop是一种成熟的云框架,大部分的云计算提供商均使 用化doop(例如:Google,IBM,Mic;rosoft)。化doop框架中,Slave节点对客户端提供数据 服务,Master负责监控和管理Slave。每一个Salve节点不断地向Master节点发送屯、跳通 告其生存性。实验环境中,配置一个Master节点和两个Salve节点。正常情况下,Client 从两个Slave节点下载一个文件的不同片段,册'DS(HadoopDistributedFileSystem)提 供基于TCP的传输。然后分别进行抑OS攻击和LDoS攻击,对比攻击效果。在抑OS攻击下, 瓶颈链路被完全拥塞,Master无法收到Slavel的屯、跳。一段时间后,Master便会监控到只 有Slave2存活;在LDoS攻击下,由于LDoS攻击平均速率低,给瓶颈链路留有一定的可用带 宽。此时,別avel的屯、跳仍然能到达Master,因此Master仍然认为有两个別ave存活,从而 说明了LDoS攻击的隐蔽性。当抑OS发生后,瓶颈链路被完全拥塞,Client无法从Slavel 下载当前的资源片段。Client需等待Master发现Slavel下线后,将服务漂移到Slave2上 后,Client才能继续下载。总下载时间136s。LDoS攻击并没有导致Slavel岩机,Master 也没有将服务漂移到Slave2上。但是,下载时间却大大增加,总计240s。可见,LDoS达到 了降低服务质量的目的,效果比抑OS更好。
[0031] 2.在图6所模拟的实验环境下,进行LDoS攻击检测。搭建一个包含3个服务 器(Server),1个攻击端(Attacker),1个接收端巧ecever)和1个客户端(Client)。3 个Server是物理主机,每个上面运行3个虚拟机,它们通过各自的链路连接到路由器 (Routerl),链路带宽1抓ps。Routerl由一台多网卡服务器实现路由功能,通过iproute和 tc来配置。Routerl和Router2之间是带宽为1抓PS的瓶颈链路。
[0032] 云计算平台仍然使用化doop,按照皿FS分布式存储的特点,配置Server上虚拟机 的角色,Client对化taNode上存储的文件进行读操作。在正常情况和有LDoS攻击的情况 下,分别探测LinkULink2和Link3S条链路的可用带宽,探测包间隔At取100yS,负载 为10个ISOOByte的UDP包。统计500s的实验结果。进行100次实验,可W得到一个序列 长度为100的平均欧氏距离值。
[0033] 不同口限下得到的检测性能不同。需要在检测率、漏警率和虚警率之间进行折中。 根据下表数据:
[0034]
[0035] 经过大量实验,选取1.8运个口限,与其他口限值相比,它使得正确判决率足够 高,误判率足够低。因此,该口限下的LDoS攻击检测性能最好,达到了 98%的检测率。
[0036] 如果有大于口限值1. 8则认为H。接受,判定为正常情况;否则兩小于口限值1. 8, 则Hi接受,判定为LDoS攻击发生。
【主权项】
1.云计算中基于可用宽带欧氏距离的低速率拒绝服务攻击化ow-rateDenialof Service,LDo巧攻击检测方法,其特征在于: (1) 云计算数据中屯、内部的LDoS攻击利用云计算数据中屯、网络架构的漏桐; (2) 通过改进的探测间隔模型(ProbeGapModel,PGM)对网络可用带宽进行准确测 量; (3) 基于可用带宽欧式距离检测LDoS攻击,该方法专口用于检测云计算数据中屯、内部 的LDoS攻击;通过假设检验,将可用带宽欧氏距离的计算值与设定的口限值进行比较作为 最终判据。2. 根据权利要求1所述的云计算中基于可用宽带欧氏距离的LDoS攻击检测方法,其特 征在于: 其中:特征(1)中的LDoS攻击利用云计算数据中屯、内部共享带宽不足的漏桐,通过拥 塞瓶颈链路,导致与攻击者处于同一路由域的其他TCP端成为受害者,受害者对云外部提 供的服务质量降低; 特征(2)改进的PGM可用带宽测量方法适用于云计算中高速传输的特性,具体改进措 施是:1)W较长的时间间隔A1发送两个探测包,保证两个探测包会同时出现在队列中;在 接收端测量收到运两个探测包的时间间隔A";2)增加一段先于探测包发送的负载流量,保 证两个探测包会同时出现在队列中;即有背景流量传输,两个探测包之间路由器队列不为 空,背景流量的传输速率夫其中,C为瓶颈链路带宽;进而,可用带宽A可W按W 下公式计算:设计探测包大小为P字节,负载流量由N个大小为S字节的数据包构成;则第一个负载 包与第二个探测包之间的时间间隔为Te=NXSX8/C+A1;假设背景流量的数据包到达速 率为r,则在时间T。内总共进入路由器队列的流量为NXSX8+rXT。,为了使路由器队列不 为空,需要满足进入路由器队列的流量大于路由器能够处理的流量,即: NXSX8+rXT〇>CXT。 进一步推导可得A1的取值范围:上式说明了Ai与N的关系,合理的设置Δ1和N便可W更准确的测量可用带宽,为LDoS攻击检测算法提供输入; 特征(3)对链路可用带宽欧式距离的计算是通过W下方式实现的:测量所有链路的可 用带宽,将测量结果看作一个随机过程:{B(t),t=nA},其中Δ是测量时间间隔。对于每 一个时间t,B(t)对应着一个随机变量巧(t)构成一个测量序列,表示该链路可用带宽的所 有测量值;从而,得到第i条链路的可用带宽序列为Bi(m),m= 1,2,. ..,n;其中,m表示每 个取值的序号。假设两条链路的总带宽都为Cl;两条链路的可用带宽序列的欧氏距离cKBi, Bj)定义为:其中,Bi和Bi是两条链路可用带宽序列,i和j表示链路标号;考虑到一个路由域下会 有多条链路,对各个欧氏距离取平均,定义平均欧氏距离?为:其中,k表示链路总数; 按照可用带宽相似度的理论分析,进行如下的假设检验:如果否大于口限值μ,则H。接受,判定为正常情况。否则否小于等于口限值μ,则Hi接受,判定为发生LDoS攻击。3.根据权利要求2的所述的云计算中基于可用宽带欧氏距离的LDoS攻击检测方法,其 特征在于:选取1. 8为口限值,此时LDoS攻击检测性能最好,如果大于口限值1. 8则认 为H。接受,判定为正常情况;否则兩小于口限值1. 8,则Hi接受,判定为LDoS攻击发生。
【专利摘要】根据云计算数据中心网络(Data?Center?Networks,DCNs)特点,其更容易受低速率拒绝服务攻击(Low-rate?Denial?of?Service,LDoS),攻击者利用其共享带宽以及虚拟机的漏洞拥塞虚拟机之间瓶颈链路降低系统服务质量。本发明针对DCNs中LDoS攻击进行两方面研究:LDoS攻击:分析DCNs内部LDoS攻击的网络模型,验证DCNs中的LDoS攻击较FDoS攻击有更好效果;LDoS检测:根据云计算平台分布式存储特点,提取LDoS攻击导致链路可用带宽同时增大的新特征,据此提出一种基于可用带宽平均欧氏距离检测方法。设计一种改进的探测间隔模型方法来提高可用带宽测量的准确性。
【IPC分类】H04L29/06
【公开号】CN105323241
【申请号】CN201510570179
【发明人】岳猛, 刘亮
【申请人】中国民航大学
【公开日】2016年2月10日
【申请日】2015年9月8日