[发明专利]基于混沌Dufing振子的LDDoS攻击检测方法

说明书

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率分布式拒绝服务(Low-rate Distributed Denialof Service，LDDoS)攻击的检测，可以有效检测出隐藏在TCP背景噪声下的小LDDoS攻击流。

背景技术

LDDoS攻击，由于其巨大的危害和隐蔽性，已经为研究的热点问题。由于传统的检测防御DDoS攻击的手段不再适合LDDoS攻击，因此需要寻找新的途径。

经过深入探索，研究人员以攻击流的时频域特征提取作为突破点，利用数字信号处理的方法来解决LDDoS的检测问题，已经提出了一些检测防御方法。如Habin Sun提出通过对数据流进行取样和特征提取，使用在语音识别中常用的动态时间环绕方法(Dynamic Time Warping，DTW)将数据与样本进行匹配，当攻击流被识别出来以后，采用差额循环算法(Deficit Round Robin，DRR)，进行带宽分配和资源保护，从而消除LDDoS攻击流的影响。Cheng在文献中，介绍了其利用累计的归一化功率谱密度检测LDDoS方法。该方法利用正常流量和攻击流量在累计功率谱的固定频率点上的差异作为是否存在攻击的判据。中国民航大学吴志军教授在文献中，提出了漏值多点数字平均方法检测LDDoS攻击。该方法将一段时间的峰谷差值作为特征值与设定的判决特征值门限比较，进而进行攻击检测。Yu Chen提出了一种基于光谱分析的协同检测过滤(Collaborative Detectionand Filtering，CDF)算法，将路由器的包到达速率作为时域采样序列，对其进行预处理，尽量放大攻击流与正常流在频谱上的区别，然后进行傅立叶变换得到频域序列，对得到的频域序列进行频谱分析，将其与预先通过学习生成的攻击频谱特征模板库进行匹配，从而判定是否存在LDDoS攻击。Y.K.Kwok提出了一种路由器队列管理方法HAWK，其在传统AQM算法的基础上又加入了一种数据流检测算法，主要基于LDDoS脉冲速率强度、持续时间和发送周期等特征，对到来的数据流分别对其短时间间隔内峰值速率以及长时间间隔峰值速率超过所设门限值的次数进行检测，如果符合设定攻击特征，则丢弃此数据流的所有数据包。武汉大学的何炎祥教授提出了一种基于小波特征提取的LDDoS检测方法，该方法通过对数据流量的小波多尺度分析，得到5个特征值，再结合BP神经网络对数据流量进行综合判决。

目前，无论在国内还是国际，DDoS攻击工具及其性能，攻击检测，以及后期防御和追踪取证，都已成为研究热点。但由于LDDoS不同于传统Flooding-DDoS攻击，它具有流量小、出现时间晚等特点，因此对这种攻击方式的研究还相对较少。针对LDDoS攻击防范方法的研究工作尚处于起步阶段，资料非常有限。前面提出的检测方法，在检测率、误警率、算法复杂度和硬件实现等方面或多或少存在有不足。

发明内容

LDDoS攻击检测的实质是，在以RTT为周期的强TCP背景噪声下提取周期为RTO_min的“微弱”方波信号的问题。但是传统的混沌检测工作还仅限于检测频率已知的微弱信号，并且背景噪声一般是高斯白噪声。本发明给出了一种基于间歇混沌的复杂背景下的LDDoS检测方法，并通过系统输出的时域波形估计攻击参数。

间歇混沌(又称阵发混沌)是非线性系统在时间和空间上表现出的有序和无序交替出现的特殊动力学形态。在某些时空段，运动十分接近规则的周期运动；而在规则的运动段落之间，又夹杂着看起来很随机的跳跃。

间歇混沌现象的出现，是由于Duffing振子的周期策动力幅值在系统相图进入大尺度周期状态的阈值附近周期性消长而引起的。一般通过间歇混沌现象来检测周期信号的方式，基本上可以分为两类：一类是将待测信号作为系统阻尼比的乘性扰动因子；再一类是将待测信号以系统非线性项的乘性扰动因子加入系统。

针对LDDoS攻击检测的问题，通过对正常网络流量和异常流量分析得出LDDoS攻击实质上是，隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号。结合LDDoS攻击模型及原理，LDDoS在2～3*RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，由于UDP包通常非常小，因此导致在攻击时刻链路流量峰值远高于正常情况，通过比较峰值大小可以证实这种情况的存在。因此，通过预先设定合理门限值，来消除TCP背景噪声(正常网络流量)对系统的影响，再将处理后的流量作为Duffing振子非线性项扰动，通过观测系统的相变，来达到LDDoS攻击检测的目的。