量值。如果运些物理带宽测量值的标准差大于检测阔值,则认为测量受到了攻击;否则用 所有物理带宽测量值的平均值作为最终的测量结果。该方法与现有的网络物理带宽测量方 法相比,其主要优点在于可W在准确测量网络物理带宽的同时有效防止膨胀攻击。.
[0041] 本发明可W通过测量端按一定时间间隔发送长度随机的测量包链同时接收被测 量端的响应包;每次测量完成后计算每个位置上的测量-响应包对的往返时延,如果新的时 延比旧结果小,则用新的时延更新旧结果,否则保持不变;重复上述步骤直到满足终止条件 后停止测量,此时根据测量结果检测是否受到物理带宽膨胀攻击,具体技术内容如下:
[0042] (1)周期性随机测量包链构造:
[0043] 1. 1、本发明在测量端调用原始套接字(RAW socket)生成测量包链,从而摆脱TCP/ IP协议找的限制,对测量包链的长短W及测试包链中网络包的大小与协议信息进行完全控 制。
[0044] 1.2、本发明按一定的时间间隔T在测量端生成长度和包信息完全随机的测量包链 (本发明建议取Τ=10分钟),同时在发送完测量包链后,调用LibPcap接收从被测量端返回 的响应包。
[0045] 1.3、本发明将利用TCP协议opt ion选项中的TCP时间戳将测量数据包与其相应的 响应包进行关联。运样做可W防止测量过程中由于网络丢包现象引起的测量包和响应包在 丢包后无法正确关联的问题。
[0046] 1.4、本发明将使用计算机中的伪随机数生成函数来确定测量端每次生成测量包 链时候包链的随机长度R。同时本发明指定测量包链长度的最小值为i (即包链中含有的测 量包数目最少为1)。在本发明配套实验中发现,针对lOOMbpsW下物理带宽的网络环境,i 取值为10能得到比较好的攻击检测结果。
[0047] 1.5、本发明同时需要调用伪随机数生成函数来生成测量包链中所有测量数据包 的身份信息(包括TCP序列号和IPID等),从而防止恶意的被测量端提前伪造响应包。
[0048] (2)测量包-响应包最小往返时延提取:
[0049] 2.1、测量端将建立一个长度为£(注意,运个长度?要大于等于长度随机的测量 包链中最长包链的长度)的数组来记录每次测量包-响应包最小往返时延。在起始阶段,该 数组的每一个数值都将被初始化为一个极大的数值。参照本发明进行具体实现时,可W根 据实际情况选取运个极大值,运个选取的值必须保证比测量过程中得到的任何测量包-响 应包往返时延的最大值更大。
[0050] 2.2、每进行一次测量后(即测量端发送长度为随机数及<?的测量包链并完成响 应包的接收),测量端将计算本次测量所有R个位置上测量包-响应包的往返时延,并将对应 位置上的时延值与记录数组中相应位置上的记录值一一进行比较,如果某一位置上本次结 果小于数组中的记录结果,则用本次结果更新数组中的记录,否则保持数组中记录的结果 不变(为方便起见,本发明将此方法记为往返时延下降法)。按时间间隔Τ重复本步骤直到 满足2.3所描述的结束条件。附图1给出了一个测量过程中不断选取测量包-响应包最小往 返时延的例子。附图2给出了在50次测量过程中包链中前6对测量-响应包往返延迟不断收 敛到最小值的过程。
[0051] 2.3、本发明建议结束周期性测量条件是,当连续N(本发明实验表明N取值为10时, 可W达到不错的效果)次测量都没有造成记录数组的更新,则认为物理带宽的测量已经收 敛(此时被测量端没有发动攻击),整个测量过程可W停止;或者整个测量超过Μ(本发明实 验表明Μ=10000时,可W达到不错的效果)次依然没有收敛时(此时被测量端很有可能在发 动攻击,但是需要利用后面的检测算法最终确定),整个测量过程也可W停止
[0052] (3)检测物理带宽膨胀攻击的方法:
[005引3.1、当测量停止后,现慢端根据记录数组中相邻位置上的最小测量-响应包往返 时延计算网络物理带宽。每一对相邻的最小往返时延都能够计算出一个物理带宽值。本发 明用ti表示记录数组中第i个位置上的测量-响应包往返时延,Ati(w)表示第i个位置及其 相邻的第i+1个位置上的往返时延的差值。利用A ti(W)可W计算出一个物理带宽值Ci,即
其中IpI表示测量包的大小。通过运个方法,可W用记录数组的的数据计算出 £_1个物理带宽值,即:种碱.,辟玉,也,。为方便起见,本发明将运种物理带宽值的计算方法 称为相邻时延计算法。
[0054] 3.2、本发明提出了一种统计检测算法来检测物理带宽膨胀攻击,其具体步骤是: 计算(,,^*2,与,:1,(1_1的标准差*^站也与玉,气1)和平均值/"化"如,,(:山,气1),如果标准差 和平均值满足条件《W(c,,C2,L,Cw) ,Cw).则认为被测量端在发动物理 带宽膨胀攻击,否则将平均值《ec城c,,《2:,L,〇£_,)作为物理带宽的最终测量值输出。运里,也 是检测阔值。本发明的实验表明,取出= 0.08可W达到不错的攻击检测率和较低的误报率。 图3(a)至图3(d)给出了本发明的实验结果。同时,在具体应用时,用户也可W根据实际网络 情况选取He。本发明在实验室搭建的网络测试环境中检测物理带宽膨胀攻击的效果图。本 网络测试环境中,测量端到被测量端的往返时延为50毫秒,网络丢包率和网络包错序率均 为5%,同时旁路网络流均为真实网络物理带宽的80%。实验中考虑两种膨胀攻击,一种为 滞后回应攻击,即恶意测量端单纯的通过滞后回应前一个测量包来进行物理带宽的膨胀; 另一种为混合攻击,即指恶意测量端W等概率的方式通过滞后回应前一个测量包和提前回 应后一个测量包来进行物理带宽的膨胀,攻击的目的均是希望将真实的网络带宽向上膨胀 十倍。
[0055] 本发明按一定时间间隔构造长度随机的测量包链进行测量。通过TCP时间戳关联 测量数据包和其对应的响应包。构造记录数组,数组的大小为测量包链可能的最大长度。每 次测量后,用更小的测量包-响应包往返时延更新记录数组中相应位置上的值。结束测量的 条件包括连续多次测量均未对记录数组进行更新或达到预设的最大测量次数。用测量数据 包的大小除W记录数组中各个相邻位置上的测量包-响应包往返时延差值计算一组物理带 宽计算值。利用计算出的运组物理带宽计算值的标准差和平均值来判断是否遭受物理带宽 膨胀攻击。具体的判断准则是,如果平均值的H。倍小于标准差,则认为存在膨胀攻击,否则 将平均值作为最终的物理带宽测量值输出。He需要根据实际网络情况决定,一般取值为出= 0.08。
[0056] W上所述的具体实施例,对本发明的解决的技术问题、技术方案和有益效果进行 了进一步详细说明,所应理解的是,W上所述仅为本发明的具体实施例而已,并不用于限制 本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本 发明的保护范围之内。
【主权项】
1. 一种可抵御膨胀攻击的网络物理带宽测量方法,其特征在于,其包括以下步骤: 步骤一,测量端预先设定测量参数,并初始化记录数组; 步骤二,测量端调用原始套接字生成测量包链并将其发送给被测量端; 步骤三,测量端发送完测量包链后调用IibPcap函数包接收被测量端发送回来的响应 包,并根据TCP时间戳将测量包与其相应的响应包进行关联; 步骤四,测量端将根据往返时延下降法将对应位置上更小的测量-响应往返时延更新 到记录数组中; 步骤五,判断测量的结束条件;首先,本次测量是否需要更新记录数组,如果不需要,则 表示测量结果已经收敛,在这个情况下,判断本次测量是收敛后的第几次测量,如果这个次 数超过M,则测量结束并执行步骤六;如果不满足前一条件,则判断测量的总次数,如果超 过減,则测量结束; 步骤六,测量端利用相邻时延计算法,根据记录数组中的每对相邻的最小往返时延计 算一个物理带宽值,这样总共可以得到的物理带宽计算值的个数是记录数组长度减一; 步骤七,测量端计算出所有物理带宽计算值的平均值和标准差; 步骤八,应用本发明提出的统计检测算法,根据物理带宽计算值的标准差是否大于其 平均值的^4倍来判断被测量端是否在发动物理带宽膨胀攻击,如果大于则执行步骤九,否 则执行步骤十; 步骤九,测量端检测到被测量端在进行物理带宽膨胀攻击; 步骤十,测量端确认被测量端不在进行物理带宽膨胀攻击,并以所有物理带宽计算值 的平均值作为物理带宽的测量值输出。2. 根据权利要求1所述的可抵御膨胀攻击的网络物理带宽测量方法,其特征在于,所述 测量包链包含的测量包个数是Ir和.£之间的一个随机数,同时每个测量包的身份信息都 是随机数,i是随机生成测量包链长度的最小值,是随机生成测量包链长度的最大值。
【专利摘要】本发明提供了一种可抵御膨胀攻击的网络物理带宽测量方法。其主要步骤有:(1)在测量端生成长度随机的测量包链;(2)测量端根据测量数据包的发送时间和其响应包的接收时间计算每一测量-响应包对的往返时间延迟;(3)每次测量完成后,如果得到的相应位置上新的测量-响应包对往返时间延迟比旧结果更小,则用新结果替换旧结果,否则保持旧结果不变;(4)按一定的时间间隔重复执行步骤(1)(2)和(3),直到包链所有位置上往返时间延迟的旧结果都比新结果小则停止测量。(5)根据相邻延迟差值计算出多个物理带宽值。如果这些值的标准差大于检测阈值,则认为测量受到了攻击。该方法可以在准确测量网络物理带宽的同时有效防止膨胀攻击。
【IPC分类】H04L12/26, H04L12/911, H04L29/06
【公开号】CN105490882
【申请号】CN201510924145
【发明人】周鹏, 马世伟
【申请人】上海大学
【公开日】2016年4月13日
【申请日】2015年12月11日