基於突變平衡態理論的BGP‑LDoS攻擊檢測方法與流程
2023-05-31 12:09:02 1
技術領域:
本發明涉及一種計算機網絡安全領域,特別是涉及一種基於突變平衡態理論的bgp-ldos攻擊檢測方法。
背景技術:
:
域間路由系統作為網際網路的關鍵基礎設施,其安全性對網際網路健康穩定運行具有重要意義。然而,域間路由系統主要採用的bgp(bordergatewayprotocol)協議在設計之初就存在嚴重的安全隱患,導致域間路由系統面臨嚴峻安全威脅。近年來,針對域間路由系統的攻擊手段不斷更新,其造成的危害也愈加嚴重。zhang等在低速率拒絕服務攻擊(low-ratedenialofservice,ldos)的基礎上提出了針對bgp會話的zmw攻擊方式。該攻擊通過不斷阻塞路由器之間keepalive報文的傳遞,重置路由器之間的正常會話,影響路由系統功能。以zmw攻擊為基礎,schuhard等進一步提出了基於bgp數據平面的跨平面攻擊方式cxpst(coordinatedcrossplanesessiontermination)。cxpst利用大規模殭屍節點在系統多條關鍵路徑上同時發起攻擊,通過反覆中斷路由會話誘發大量路由更新,耗盡系統中路由器的存儲和計算資源,導致整個系統陷入癱瘓。實驗證明:僅250,000個殭屍節點發起的cxpst攻擊就可以癱瘓網際網路域間路由系統達數個小時,且尚無有效的解決方法。與cxpst類似的攻擊方式還有dnp、laaem等,這些攻擊均能夠導致系統整體癱瘓。下文統稱這類攻擊為bgp-ldos攻擊。
為應對域間路由系統面臨的安全威脅,現有的域間路由系統安全增強機制主要有協議擴展和安全監測兩類。協議擴展是對現有的bgp協議進行修改,主要採用認證技術解決bgp協議安全性不足的問題。典型的有s-bgp(securebgp)、sobgp(secureoriginbgp)、psbgp(prettysecuritybgp)和listen&whisper等。由於需要修改現有bgp協議,協議擴展部署成本較高,且主要防範前綴劫持、路徑偽造等針對域間路由系統控制層面的攻擊,難以有效防範針對數據平面的bgp-ldos攻擊;安全監測技術不需改變現有bgp協議,而是通過檢查、識別域間路由系統各自治域(autonomoussystem,as)間交換的路由信息,發現異常路由。典型的有myasn服務、phas、irv等。現有的安全監測技術能夠確保路由信息傳播過程中真實性和完整性,防範前綴劫持、路由洩漏以及路徑偽造等安全問題的發生,但其監測重點仍在域間路由系統的控制平面,難以有效應對bgp-ldos攻擊。
bgp-ldos攻擊與ldos攻擊具有一定的相似性。現有的ldos攻擊的檢測方法主要有兩類,一類是特徵檢測。由於ldos攻擊流量具備周期性和短時高脈衝的特點,特徵檢測技術通過分析ldos攻擊周期、脈衝強度和持續時間等特徵,能夠有效檢測出ldos攻擊的存在,典型的有動態時間封裝方法(dynamictimewraping,dtw),hawk方法等;另一類是異常檢測,通過分析當前網絡中流量偏離正常狀態的時間變化序列信息檢測出攻擊的存在。典型的有小波變換分析,頻譜分析,統計分析,信息度量分析,小信號檢測分析等技術。
然而,與傳統的ldos攻擊相比,bgp-ldos攻擊有三個方面明顯不同:
1.攻擊目標不同。ldos主要針對單個節點或鏈路,在攻擊過程中,攻擊目標是明確和固定的。而bgp-ldos是針對系統多條關鍵路徑的攻擊,選擇攻擊目標時,由於資源和流量限制,為保證攻擊路徑互不幹擾,bgp-ldos攻擊目標是非固定的,根據攻擊資源、流量和路徑的變化而不斷調整。
2.破壞機制不同。ldos主要針對tcp協議的擁塞控制機制進行攻擊。而bgp-ldos雖然也利用了tcp協議擁塞控制機制的不足,但更主要的是利用bgp路由更新機制存在的缺陷放大攻擊效果。
3.攻擊後果不同。ldos攻擊後會導致以tcp作為傳輸層協議的有效通信流量明顯下降。而bgp-ldos攻擊效果主要表現是鏈路兩端的路由器處於反覆通斷的震蕩狀態,整個域間路由系統的路由節點因計算、存儲資源耗盡而癱瘓。
以上三個方面的不同導致利用ldos檢測技術檢測bgp-ldos時存在嚴重缺陷,即現有ldos檢測技術僅能檢測出系統局部存在的ldos攻擊,但僅憑局部的信息難以判定這些攻擊行為是否構成bgp-ldos攻擊,可能會導致大量的誤判和漏判。
技術實現要素:
:
本發明所要解決的技術問題是:克服現有技術的不足,提供一種通過分析bgp-ldos攻擊前後域間路由系統突變特性,以三類強表徵性的流量統計特徵、路由會話特徵、系統報文轉發量為狀態和控制變量,選取尖點突變模型建立起系統正常狀態和異常狀態的平衡曲面,對系統狀態進行監控,根據分歧集函數判斷系統狀態是否由正常向失效狀態跳變,實現對bgp-ldos攻擊的檢測的基於突變平衡態理論的bgp-ldos攻擊檢測方法。
本發明的技術方案是:一種基於突變平衡態理論的bgp-ldos攻擊檢測方法,其步驟是:
ⅰ、通過對正常和異常情況下的系統狀態樣本進行學習,實現訓練後的尖點突變模型的建立;
ⅱ、通過尖點突變模型建立系統正常狀態和失效狀態的平衡曲面,其正常狀態和失效狀態的平衡曲面臨界點形成分歧集bs,並在u-v平面投影形成bs曲線;
ⅲ、選取待測系統中流量統計特徵、路由會話特徵、系統報文轉發量三個特徵作為變量,按照時間順序對待測數據進行標準化和平移處理,處理所得數據集為
ⅳ、根據分歧集函數判斷數據集在u-v平面的投影與bs曲線的位置關係;
ⅴ、數據集在u-v平面的投影是否落在bs曲線的左側,若成立則說明當前系統處於正常狀態;數據集在u-v平面的投影落在bs曲線的右側,判斷系統遭遇攻擊,處於失效狀態;
ⅵ、數據集在u-v平面的投影落在bs曲線上或者在曲線內部,這時需要結合系統前一單位時間內的數據進行判斷,若則該時刻系統狀態正常,否則判斷系統遭遇攻擊;
ⅶ、將系統的狀態按照時間序列存入系統狀態庫,便於後續檢測的判斷;
其中步驟a中訓練後的尖點突變模型建立的步驟為:
①、對狀態樣本中流量統計特徵、路由會話特徵、系統報文轉發量三個特徵作為變量,根據突變理論中的突變級數評價方法,在對特徵進行標準化處理,得到控制變量和狀態變量;
②、採用數據擬合方式進行分析,確定與尖點突變模型中控制變量和狀態變量的對應關係;
③、並採用最小化平衡曲面和分歧集方程求得尖點突變模型參數。
所述採集正常和異常情況下系統中具有強表徵性的流量周期性特徵、路由會話特徵和報文轉發量作為狀態樣本。
所述根據突變理論中的突變級數評價方法,在對特徵進行標準化處理時,狀態變量和控制變量要求隸屬度最大。
所述分歧集bs的表達式,它由平衡曲面臨界點組成並且屬於系統的控制空間,系統的突然跳變都是發生在這個空間中。
檢測攻擊的時間複雜度與所監控的節點數量n和鏈路數量e有關,為o(elog(e)+n)。
本發明的有益效果是:
1、本發明通過對正常和異常情況下的系統狀態樣本進行學習,利用流量周期性特徵、路由會話特徵和報文轉發量三類強表徵特徵,能夠較好的刻畫系統正常和失效狀態平衡曲面。
2、本發明利用訓練後的尖點突變模型對系統運行狀態進行監控,根據分歧集函數判斷系統是否出現由正常態平衡曲面向失效態平衡曲面的跳變,從而實現對攻擊的實時在線檢測。
3、本發明僅需要監控系統中少量的關鍵鏈路(20%)和節點(30%)就能夠具備較強的bgp-ldos檢測能力,為及時發現和提早應對攻擊提供可靠依據。
4、本發明實現對正常和異常情況下的系統狀態樣本進行學習,其學習數據源於實際網際網路環境,數據真實可靠,有助於逐步提高檢測精度。
附圖說明:
圖1為本申請的bgp-ldos攻擊檢測流程;
圖2待測數據的具體檢測流程;
圖3狀態樣本中變量對照表;
圖4尖點突變的幾何結構;
圖5尖點突變流形在平面u-x上的投影;
圖6尖點突變流形在平面v-x上的投影;
圖7本申請檢測方法示意圖;
圖8狀態樣本數據中b1-b2之間的關係;
圖9狀態樣本數據中b1-p之間的關係;
具體實施方式:
實施例:參見附圖對本申請進行詳細說明。
ⅰ、對正常和異常情況下系統中的流量統計特徵、路由會話特徵、系統報文轉發量三個特徵進行採集(參見附圖3),並作為變量,選取變量後,由於所選變量取值範圍和單位量綱不同,需要消除不同計量單位對評價結果的影響,對變量進行標準化處理。根據突變理論中的突變級數評價方法,在對特徵進行標準化處理時,狀態變量和控制變量要求隸屬度越大越好,隸屬度越大。對於bgp-ldos攻擊檢測,變量值越大,表示系統面臨的bgp-ldos攻擊威脅度也越高。例如對於流量周期t,t=0表示未檢測到周期性攻擊脈衝,t=1表示檢測到周期性攻擊脈衝,且該周期性顯著。按此原則,下面對各變量進行標準化處理。
定義1單位時間t內,鏈路i中檢測到的周期性流量的脈衝長度為li,則標準化處理後所得的長度l'i為l'i=li/lref(li<lref)或l'i=1(li≥lref)其中lref為設定的參考脈衝長度,設置為lref=max(li);若未檢測到周期性流量,則li=0。
定義2單位時間t內,鏈路i中檢測到周期性流量的周期為ti,標準化後所得的周期ti'為ti'=ti/tref(ti<tref)或ti'=tref/ti(ti'≥tref)其中tref為設定的參考脈衝長度,設置為tref=max(ti);若未檢測到周期性流量,則ti=0。
定義3單位時間t內,鏈路i中檢測到周期性流量的脈衝強度為ri,標準化後所得的脈衝強度ri'為ri'=ri/rref(ri<rref)或ri'=1(ri≥rref)其中rref為設定的參考脈衝強度,設置為rref=max(ri);若未檢測到周期性流量,則ri=0。
定義4為降低計算複雜度,流量周期性特徵ti',l'i,ri'視為互不相關的三個變量,根據突變級數評價法,鏈路i在單位時間t內的流量周期性特徵為系統總體的流量周期性特徵為其中m為所監測的鏈路的個數。
定義5單位時間t內,節點j中收到的upj個其他節點路由更新報文,則標準化後所得的up'j為up'j=upj/upref(upj<upref)或up'j=1(upj≥upref)其中upref為設定的路由器更新數量,設置為upref=max(upj)。
定義6單位時間t內,節點j中路由器重置的次數為sj,則標準化後所得的s'j為s'j=sj/sref(sj<sref)或s'j=1(sj≥sref)其中sref為設定的路由器重置次數,設置為sref=max(sj)。
定義7由於大量節點重置和路由更新均是bgp-ldos攻擊存在的顯著標誌,將節點重置和路由更新視為互不相關變量,根據突變級數評價法,節點j中路由狀態特徵為單位時間t內,系統總體的路由特徵為其中n為所監測節點的個數。
定義8單位時間t內,節點j中的報文轉發量為pj,標準化後所得pj'為pj'=1-pj/pref(pj<pref)或pj'=0(pj≥pref),其中pref為設定的報文轉發量,設置為pref=max(pj)。系統總體報文轉發量為其中n為所監測節點的個數。
尖點突變模型的勢函數f(x)=x4+aux2+bvx,其中x表示狀態變量,u,v分別表示控制變量,a,b是係數。根據突變理論對描述系統行為的勢函數f(x,b)、f(x,b)的臨界點u、平衡曲面(equilibriumsurface)m、奇點集s、分歧集bs的數學描述,尖點突變模型的平衡曲面m為:
m:f'(x)=4x3+2aux+bv=0(1)
奇點集s的曲面方程為:
s:f″(x)=6x2+au=0(2)
聯立(1)、(2)消去x,得到分歧集bs的表達式。它由平衡曲面臨界點組成並且屬於系統的控制空間,系統的突然跳變都是發生在這個空間中。從圖5可以看出,分歧集實質也是尖點突變流形在u-v平面投影。
bs:8a3u3+27b2v2=0(3)
對於一種穩定的平衡態,其臨界點位於突變模型平衡曲面的邊界點上,控制變量的波動也位於該集合中。當部分因素受到外力發生改變時,穩定的平衡態會被破壞,當偏離到達一定的閾值時,系統將變得非常不穩定,脫離平衡態的控制,這樣就產生了跳變,系統從一個舊的平衡態進入一個新的平衡態。
為確定p,b1,b2和x,u,v之間的關係,採用數據擬合方式進行分析。在尖點突變模型中,尖點突變流形在平面u-x,v-x上的投影如圖5和圖6所示。在實際的bgp-ldos攻擊數據中,b1,b2,p的相互關係如圖8和圖9所示。
對比圖5和圖6,選取b1作為狀態變量x,b2作為控制變量u,p作為控制變量v。
定義9按照時間段t的順序,標準化後的狀態變量序列和控制變量序列分別為這裡n表示系統樣本數據的長度。
由於對樣本的狀態變量、控制變量進行標準化處理之後全部為正。根據圖5、圖6、圖8和圖9,為更好的區分系統正常狀態和受攻擊後的癱瘓狀態,需對樣本坐標進行平移變換處理。
定義10在樣本中,樣本中x′的均值為x′坐標變換為中的最大值為u′坐標變換為{pk}中的均值為對v′的坐標變換為v={(pk-vavg)|k=1,2,...,n}。對x′,u′,v′進行坐標變換後得到的樣本集為
系統處於穩定狀態時,系統的勢能最小。尖點突變模型中,突變平衡曲面m是勢函數f(x)極值點的集合,系統變化狀態位於平衡曲面臨界點組成的分歧集bs中。採用最小化平衡曲面和分歧集方程(3)的函數j(a,b)使得系統處於最穩定的狀態,對於樣本集q,參數a,b能滿足系統穩定性需求時,需要使得j(a,b)的值最小。
根據最小平方擬和,有:
公式(6)為二元非線性方程組,將訓練樣本q中的數據代入公式(6),求得尖點突變模型參數a,b值有9組,其中6組解為複數解。根據公式(2),均為實數,因此,a,b均不為複數,排除6個複數解。之後,將剩餘3個解代入j(a,b),使j(a,b)值最小的即為最優解。
ⅱ、在選定尖點突變模型的狀態變量、控制變量及參數a,b後,建立了系統正常狀態和失效狀態的平衡曲面。根據圖4,域間路由系統狀態正常時,系統(x,u,v)值位於突變流形的上葉平衡曲面。該(x,u,v)投影到u-v平面時,位於尖點突變模型分歧集bs的左側;當系統遭遇bgp-ldos攻擊失效時,此時系統(x,u,v)位於突變流形的下葉平衡曲面,該(x,u,v)值投影到u-v平面時,位於尖點突變模型分歧集bs的右側。對系統連續兩個時刻的狀態進行考察,即可實現bgp-ldos攻擊的檢測。如圖7所示,從c→m表示系統的10個樣本點在u-v平面上的投影,其中c→d,e→f,h→i,j→k,l→m分別表示系統連續兩個單位時間內的樣本點。l→m軌跡不經過分歧集bs曲線,且在曲線左側,表明這兩個樣本點的系統狀態均為正常狀態。c→d的軌跡經過bs曲線,這表明系統由正常狀態向失效狀態突變,遭遇到bgp-ldos攻擊。j→k軌跡位於bs曲線右側,表明系統連續兩個時刻一直處於失效狀態。e→f,h→i軌跡經過bs曲線,且樣本點f,i位於bs曲線內部,根據圖5尖點突變流形,需要結合i,f前一時刻e,h進行判斷。由於h處於正常狀態,判斷i處於正常狀態;e處於失效狀態,判斷樣本點f處於失效狀態。
ⅲ、選取待測系統中流量統計特徵、路由會話特徵、系統報文轉發量三個特徵作為變量,按照時間順序對待測數據進行標準化和平移處理,處理所得數據集為
ⅳ、根據分歧集函數判斷數據集在u-v平面的投影與bs曲線的位置關係;
ⅴ、數據集在u-v平面的投影是否落在bs曲線的左側,若成立則說明當前系統處於正常狀態;數據集在u-v平面的投影落在bs曲線的右側,判斷系統遭遇攻擊,處於失效狀態;
ⅵ、數據集在u-v平面的投影落在bs曲線上或者在曲線內部,這時需要結合系統前一單位時間內的數據進行判斷,若則該時刻系統狀態正常,否則判斷系統遭遇攻擊;
ⅶ、將系統的狀態按照時間序列存入系統狀態庫,便於後續檢測的判斷;
以上所述,僅是本發明的較佳實施例而已,並非對本發明作任何形式上的限制,凡是依據本發明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬於本發明技術方案的範圍內。