[发明专利]一种基于物理层属性的抵抗DDoS攻击方法

说明书

本发明公开了一种基于物理层属性的抵抗DDoS攻击方法，利用用户特有的物理层属性(通信信道属性TA以及硬件属性CFO在理想情况下的唯一性)，通过两个不同粒度的物理层设备指纹，提出级联和联合检测的两种不同的方案，使得不同计算能力的基站可以采用不同的模式，利用非法用户想要利用大量的随机接入请求中断合法的服务的目的，在保证低成本的情况下，通过聚类算法来区分合法和非法用户，计算复杂度低，实现在5G NR网络随机接入阶段的DDoS攻击检测，从根本上填补了在RRC连接请求发送之前检测非法用户DDoS攻击的空白，同时由于计算复杂度低、计算开销小、成本低，实现计算开销与安全级别之间令人满意的平衡，适用于5G海量连接场景下的非法用户DDoS攻击检测。

技术领域

本发明涉及数据传输技术领域，尤其涉及一种基于物理层属性的抵抗DDoS攻击方法。

背景技术

海量机器类通信是5G(fifth-generation)网络设计的三大场景之一，旨在为数百亿机器设备提供广泛的无线连接，但是在实现万物互联的同时，对大量连接设备的支持也为攻击者提供了巨大的机会，特别是在分布式拒绝服务(Distributed Denial-of-Service，DDoS)攻击中。目前5G网络中存在的DDoS攻击的安全威胁主要有：

1)在无线资源控制协议(Radio Resource Control，RRC)连接请求发送之前，在随机接入的初始阶段，恶意用户在短时间内向基站发送的大量的随机接入前导码序列(RAPreamble，即Msg1)，使得基站不断为恶意用户预留出资源等待恶意用户的接入，占用前导码，导致其他合法用户无法访问。

2)在RRC连接请求发送之后，在接入层(AS)安全激活之前，在这个期间交换的RRC恶意信令可用于对5G基站(gNB)造成DDoS攻击。例如，攻击者可能破坏大量物联网设备，反复发送接入请求消息，在短时间内向gNB发送大量随机接入，占用前导码，导致其他正常物联网设备无法访问。攻击还可能构建恶意RRC信令来攻击gNB。

3)在AS安全激活之后，物联网设备可以被恶意利用向gNB发送大量信令或用户数据包，例如，发送海量的RRC信令或UP数据如RRC重新建立/RRC恢复/用户面数据包等，导致gNB耗尽进程资源，使gNB拒绝服务。

现有技术中，5G网络抗DDOS攻击的方案主要有两种，分别为：

第一种主要是利用了两个阈值，gNB能够检测RRC resume/RRC re-establishment，在SRB1上发送的RRC消息和通过SRB2传输的NAS消息，然后如果基站在一段时间内收到的消息总数超过了阈值1，基站就开始跟踪每个UE，如果收到同一个UE临时标识符发出到消息也超过了阈值2，则这个UE就被标记为攻击或行为异常用户，并向5GC报告攻击UE的信息。

第二种主要是RAN可以通过流量检测机制自行识别行为异常的用户，同时由于现在的终端用户支持移动性，所以为了保护邻近RAN并尝试缩短邻近RAN的检测时间，原始RAN会向其邻近的RAN报告行为异常的UE ID列表。

现有的DDoS攻击检测方案只是解决了在AS安全激活之后以及RRC连接请求发送之后AS安全激活之前发生的DDoS攻击，即主要都是针对2)、3)中存在的安全威胁，其中，第一种方案都是针对上述安全威胁中的第三点，第二种方案主要是针对上述安全威胁中的第二点和第三点。而在RRC连接请求发送之前如何预防检测DDoS攻击仍然是一个悬而未决的问题。如果恶意用户在随机接入阶段就向基站大量的发送随机接入前导码序列，让基站预留出资源，那么现有的方案就无法解决。此外，第一种方案的阈值还有待实现，第二种方案中如何在RAN中同步列表还有待商榷。因此，需要针对第一种安全威胁开发出切实可行的解决方案。

发明内容

本发明针对上述技术问题，提供一种基于物理层属性的抵抗DDoS攻击方法，本方案是在RRC连接请求发送之前，随机接入第一步发送Msg1消息的阶段进行的DDoS攻击检测，填补了实际应用中这个部分的空白。