[发明专利]基于突变平衡态理论的BGP-LDoS攻击检测方法

说明书

本发明公开了一种基于突变平衡态理论的BGP‑LDoS攻击检测方法，通过对正常和异常情况下的系统状态样本进行学习，利用流量周期性特征、路由会话特征和报文转发量三类强表征特征，刻画系统正常和失效状态平衡曲面。利用训练后的尖点突变模型对系统运行状态进行监控，根据分歧集函数判断系统是否出现由正常态平衡曲面向失效态平衡曲面的跳变，从而实现对攻击的检测。实验结果表明，ESCT方法仅需要监控系统中少量的关键链路和节点就能够具备较强的BGP‑LDoS检测能力，为及时发现和提早应对攻击提供可靠参考。

技术领域：

本发明涉及一种计算机网络安全领域，特别是涉及一种基于突变平衡态理论的BGP-LDoS攻击检测方法。

背景技术：

域间路由系统作为互联网的关键基础设施，其安全性对互联网健康稳定运行具有重要意义。然而，域间路由系统主要采用的BGP(Border Gateway Protocol)协议在设计之初就存在严重的安全隐患，导致域间路由系统面临严峻安全威胁。近年来，针对域间路由系统的攻击手段不断更新，其造成的危害也愈加严重。Zhang等在低速率拒绝服务攻击(Low-rate denial of service,LDoS)的基础上提出了针对BGP会话的ZMW攻击方式。该攻击通过不断阻塞路由器之间KeepAlive报文的传递，重置路由器之间的正常会话，影响路由系统功能。以ZMW攻击为基础，Schuhard等进一步提出了基于BGP数据平面的跨平面攻击方式CXPST(Coordinated Cross Plane Session Termination)。CXPST利用大规模僵尸节点在系统多条关键路径上同时发起攻击，通过反复中断路由会话诱发大量路由更新，耗尽系统中路由器的存储和计算资源，导致整个系统陷入瘫痪。实验证明：仅250,000个僵尸节点发起的CXPST攻击就可以瘫痪互联网域间路由系统达数个小时，且尚无有效的解决方法。与CXPST类似的攻击方式还有DNP、LAAEM等，这些攻击均能够导致系统整体瘫痪。下文统称这类攻击为BGP-LDoS攻击。

为应对域间路由系统面临的安全威胁，现有的域间路由系统安全增强机制主要有协议扩展和安全监测两类。协议扩展是对现有的BGP协议进行修改，主要采用认证技术解决BGP协议安全性不足的问题。典型的有S-BGP(Secure BGP)、soBGP(secure origin BGP)、psBGP(pretty security BGP)和ListenWhisper等。由于需要修改现有BGP协议，协议扩展部署成本较高，且主要防范前缀劫持、路径伪造等针对域间路由系统控制层面的攻击，难以有效防范针对数据平面的BGP-LDoS攻击；安全监测技术不需改变现有BGP协议，而是通过检查、识别域间路由系统各自治域(Autonomous System,AS)间交换的路由信息，发现异常路由。典型的有MyASN服务、PHAS、IRV等。现有的安全监测技术能够确保路由信息传播过程中真实性和完整性，防范前缀劫持、路由泄漏以及路径伪造等安全问题的发生，但其监测重点仍在域间路由系统的控制平面，难以有效应对BGP-LDoS攻击。

BGP-LDoS攻击与LDoS攻击具有一定的相似性。现有的LDoS攻击的检测方法主要有两类，一类是特征检测。由于LDoS攻击流量具备周期性和短时高脉冲的特点，特征检测技术通过分析LDoS攻击周期、脉冲强度和持续时间等特征，能够有效检测出LDoS攻击的存在，典型的有动态时间封装方法(Dynamic Time Wraping,DTW)，HAWK方法等；另一类是异常检测，通过分析当前网络中流量偏离正常状态的时间变化序列信息检测出攻击的存在。典型的有小波变换分析，频谱分析，统计分析，信息度量分析，小信号检测分析等技术。

然而，与传统的LDoS攻击相比，BGP-LDoS攻击有三个方面明显不同：

1.攻击目标不同。LDoS主要针对单个节点或链路，在攻击过程中，攻击目标是明确和固定的。而BGP-LDoS是针对系统多条关键路径的攻击，选择攻击目标时，由于资源和流量限制，为保证攻击路径互不干扰，BGP-LDoS攻击目标是非固定的，根据攻击资源、流量和路径的变化而不断调整。