低速率拒绝服务攻击一种检测方法-计算机技术专业论文.docx

华 华 中 科 技 大 学 硕 士 学 位 论 文 PAGE PAGE 10 1 绪论 1.1 课题研究背景 进入 21 世纪以来，随着信息技术的飞速发展，计算机网络技术已经应用到文化、 经济、政治、军事等社会生活的各个方面。然而，由于 Internet 的设计者最初并没有 考虑安全问题，所以留下了一系列可以被不怀好意者利用的安全漏洞。随着网络技 术应用的范围不断扩大，安全问题也变得日益尖锐和突出，出于各种目的的网络攻 击事件层出不穷，其中拒绝服务 DoS 注攻击是最让人谈虎色变的攻击手段之一[1]。同 时，在新兴的物联网中，拒绝服务也是一个非常大的威胁。 DoS 攻击最常见的形式为分布式拒绝服务 DDoS 攻击[2]，通过利用大量傀儡机对 目标主机或网络同时高速发送大量数据包，以达到迅速消耗服务资源（如带宽、缓 冲区、CPU 资源、内存资源等）的目的，从而使得目标主机无法继续提供正常的服 务。在 2003 年的 SIGCOMM 会议上，美国 Rice 大学的 Kuzmanovic 和 Knightly 提出 了一种称为 Shrew 的攻击，指出只要周期性地发送短暂脉冲数据流，就可以使 TCP [3] 数据流的吞吐率严重下降[4]。之后，Luo 等人对 Shrew 攻击进行了深入研究，提出了 一种新的 DoS 攻击方式——低速率拒绝服务 LDoS 攻击的概念[5]。2005 年，在 Internet2 的 Abilene 骨干网上发现了 LDoS 攻击，LDoS 攻击成为现实[6]。 LDoS 攻击主要针对现有网络协议中拥塞控制机制（如 TCP 拥塞控制机制、路 由器主动队列管理机制）的漏洞[7,8]。LDoS 攻击时，攻击者通过周期性地在一个特 定的短暂时间间隔内突发大量攻击数据包[9]，导致正常 TCP 流持续丢包，使得 TCP 流反复进入“拥塞避免”状态，从而降低 TCP 流的吞吐率。LDoS 周期性攻击的特 征，使得攻击流的平均速率较低，易隐藏于正常数据流中，大幅提高了攻击效率， 且能更加有效的避开现有的攻击检测和防范措施。目前，大多数针对 DoS 攻击的检 测方法都难以检测到 LDoS 攻击。 注 全文英文缩写词注释见附录 1.2 低速率拒绝服务攻击检测技术的发展现状 LDoS 攻击具有常规检测方法难以检测的特性。目前，针对 LDoS 攻击的检测方 法的研究工作尚处于起步阶段。已提出的 LDoS 攻击检测方法可以分为两类：基于 频域的检测方法和基于时域的检测方法，主要针对 LDoS 攻击所具有的周期性高速 脉冲攻击流特征[9-11]。 1.2.1 基于频域的检测方法 基于频域的 LDoS 攻击检测方法主要是从频谱分析的角度提取攻击流中的周期 性特征，并以此为依据提出检测方法[12-14]。 分布式协同检测过滤方法 Chen 等提出了分布式协同检测过滤 CDF 方法[15]，首先求出脉冲流量与正常流 量的累计归一化功率频谱密度 NCPSD，通过对比脉冲流量和正常流量的 NCPSD， 发现在低频段存在很大的差异[16-18] ，然后利用傅立叶变换方法对网络流量的频域能 量分布状况进行监测。 CDF 方法分为两部分：学习过程和测试阶段。学习过程包含一个模板生成器和 一个关键频域估计量，模板生成器用于产生起始参数为（α，β，γ）的攻击模板和包 含攻击的大流量集的高斯模板分布，其中，α 为攻击周期，β 为脉冲宽度，γ 为脉冲 速率；测试阶段包含三个算法，用以确定关键频域、检测恶意流和在合法流量中过 滤攻击流，在这个阶段，路由器的流入流量被用于测试以检测 CDF 方法的有效性。 通过比较包含和不包含 LDoS 攻击的两种流量的功率谱密度 PSD，发现对于典 型的攻击流，超过 90%的能量分布低于 20Hz，而对于无攻击的正常流，仅有 60%的 能量分布低于 20Hz，这个明显的区别可以用于判断一个采样流量中是否包含 LDoS 攻击。 此方法有较高的检测率，但当攻击者通过伪造 IP 地址进行攻击时，系统的存储 开销会很大，甚至可能会导致内存溢出错误，且只是在固定范围内的路由器之间传 递检测信息，实现协同通信，同时传递信息仅限于攻击判定结果，协同检测的程度 不深。 基于小波分析的检测方法 Luo 等根据 LDoS 攻击提出的针对 TCP 协议拥塞避免算法中加性增，乘性减 AIMD [19]核心算法的攻击，提出了一种两阶段检测方法[20]。AIMD 攻击如图 1.1 所示。 图 1.1 AIMD 攻击示意图 第一阶段，利用离散小波变换 DWT 分析路由器的流入流量与发送的 TCP 确认 报文 ACK 流量的变化。DWT 包含两个函数：度量函数 和小波函数 。 高通滤波器通过窄时间窗口计算信号差异，与之类似，小波函数能