[发明专利]基于信号互相关的LDoS攻击检测方法

说明书

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(LDoS)攻击的检测，可以高准确率的检测出攻击。

背景技术

进入2013年以来，网络安全的国际形势风起云涌，包括中国在内的多国政府和重要企业的网站均受到境外网络犯罪组织的攻击，国家互联网应急中心在2013年5月6日-13日一周内处理的网络安全事件就多达309起，其中有跨境网络安全事件190起。攻击者采用的攻击手段中最常见，也是最有效的就是拒绝服务DoS(DenialofService)攻击。根据流量大小，DoS攻击分为高速率洪水(Flood)攻击和低速率地鼠(Shrew)攻击。也有学者根据单位时间内平均发包量的多少来区分低速率和高速率，比如澳大利亚迪肯大学的YangXiang将1000packet/s定位为区分高速率和低速率的标准。“地鼠”类型的低速率DoS攻击，又称为LDoS(Low-rateDenialofService)，它的流量仅占正常流量的10-20％。由于该攻击在时域(TimeDomain)上平均速率很低，流量占用的带宽小，很难被现有检测手段发现。所以，它被形象地将其称为“地鼠”分布式拒绝服务(ShrewDDoS)攻击；LDoS攻击的信号形式为周期性的脉冲，又被称为“脉冲调制”(Pulsing)攻击；LDoS攻击的最终表现形式是降低被攻击目标的服务质量，所以又被称为“降质”RoQ(ReductionofQuality)攻击。LDoS攻击具有出色的躲避检测能力，是网络犯罪者最钟爱的攻击方式，也是网络安全的主要威胁之一。

一个LDoS攻击可以用一个三元参数组(T，L，R)来描述。其中：T为攻击周期，它是两次连续的攻击脉冲之间的时间间隔，是通过来自可信赖源端估计的TCPRTO计时器执行情况来计算的；L为脉冲宽度，它描述了攻击者持续发包的时间段；R为脉冲幅度，它显示了攻击流的最高速率。

为了获得更高的吞吐量，TCP协议使用带固定增量的预定义的RTO值。在单一的TCP流中，如果攻击流量在往返时间RTT(Round-tripTime)时刻内足够导致数据包(Packet)丢失时，这个TCP流将进入超时状态，并且尝试在RTO时间后再发送一个新的数据包。如果LDoS攻击的周期大致等于这个TCP流的RTO时，这个TCP流将持续丢失数据包而不能够退出超时状态，以至于其吞吐量大幅度下降^[3]。

一个成功的LDDoS攻击在保证不被检测的情况下必须具有：a.以最小RTO时间或者其整数倍为脉冲间隔为周期；b.足够大的R诱使合法的TCP流丢包；c.足够长的L引起重传。LDDoS攻击可以估计RTO时间来调整其攻击周期，周期性地发送攻击脉冲当脉冲达到最高速率R时，使得合法的TCP流试图发送数据包到目的主机的网络链路被严重的阻塞，导致合法的TCP流量被迫启动拥塞控制。极大的降低它们的发包速率，影响正常的服务请求的响应时间，从而达到LDDoS的攻击的目的。如果R和L超过一定的值就存在被检测机制发现的可能。因此攻击采用分布式的方式，来自不同信道的小攻击脉冲在特定位置汇聚成一个大的攻击脉冲。这就需要精确的时间控制，这些小脉冲必然在周期T和脉冲长度L上具有某种必然关系。也就是说这些小脉冲相互之间有很高的相关性。针对这一特点，本文提出了基于信号互相关的检测算法。预先构造攻击模型，计算攻击模型与采集的网络流量间的相关性，从相关序列中提取攻击的各种特征以达到检测的目的。

自从2001年LDDoS被发现以来，引起了世界上很多研究者的关注。国内外学者针对LDoS攻击的研究取得很多成果但也存在一定问题。