基於互相關的LDDoS攻擊時間同步和流量匯聚方法

2023-07-06 01:05:06 2

基於互相關的LDDoS攻擊時間同步和流量匯聚方法
【專利摘要】本發明涉及一種基於互相關的LDDoS攻擊時間同步和流量匯聚方法。本發明在於LDDoS(Low-rate?Distributed?Denial?of?Service)攻擊的流量聚合和時間同步，此LDDoS攻擊是由大量有組織的LDDoS攻擊集合而成。信號互相關算法是為了保證每個分布式攻擊脈衝在受害者端聚合併準確的同步以形成一個強大的脈衝。模擬結果顯示用信號互相關算法去調整的攻擊脈衝的LDDoS攻擊效果顯著增強。
【專利說明】基於互相關的LDDoS攻擊時間同步和流量匯聚方法

【技術領域】
[0001] 本發明涉及一種低速率拒絕服務 LDDoS(Low-rate Distributed Denial of Service)攻擊的方法，它提高了 LDDoS攻擊的效果。它屬於計算機網絡安全領域入侵檢測 (Intrusion Detection)【技術領域】。

【背景技術】
[0002] 拒絕服務攻擊是一種使受攻擊的主機、伺服器、路由器等網絡設備無法正常提供 或接受服務的蠻力攻擊。攻擊者通過向受攻擊者發送大量毫無價值的數據包來佔用大量網 絡資源（如網絡帶寬或CPU周期等），以此達到使受攻擊者主機系統無法正常運轉甚至癱瘓 的目的，對於主機性能指標不高的受攻擊者來說，DoS攻擊的效果會更好、更明顯。實施DoS 攻擊不需要十分複雜的技巧，並且隨著軟體工藝的提高，開發DoS攻擊工具越來越容易，網 絡的普及也使普通人可以很容易的下載到現成易用的攻擊工具。攻擊者甚至不需要了解復 雜的網絡結構和系統漏洞，僅通過簡單的操作就可以實施一次DoS攻擊。DoS攻擊可以作為 前奏配合完成其他形式的攻擊，DoS攻擊者還可以通過偽造 IP位址隱藏自己的身份使對方 很難追蹤攻擊來源。
[0003] 隨著網絡性能不斷改進，帶寬的大幅提高使得單源DoS攻擊的效果大打折扣，於 是出現了分布式拒絕服務攻擊。DDoS攻擊就是通過大量分布在各處的主機共同實施DoS攻 擊，是DoS攻擊的集群攻擊方式。DDoS攻擊相對於傳統的DoS攻擊實施起來更複雜、攻擊源 更分散、攻擊流量更大，因此更難檢測和防範，攻擊所產生的危害也更大。自從1999年首次 發現DDoS攻擊以來，截止至今DDoS攻擊每年都給全球經濟造成上百億美元的損失，現在已 經成為Internet面臨的最嚴峻的威脅之一。2002年，作為網際網路數據傳輸的核心--13 臺根域名伺服器--遭受到DDoS攻擊，致使其中9臺伺服器徹底癱瘓，服務中斷長達1小 時。2007年2月，6臺根域名伺服器再次受到DDoS攻擊，其中兩臺受到了很明顯的影響，攻 擊時間長達8小時。這些著名的案例表明相對於傳統的DoS攻擊，DDoS攻擊是一種更加強 悍的攻擊手段。
[0004] LDDoS攻擊是DDoS攻擊的另外一種形式。與DDoS攻擊相比它具有平均流量小，隱 蔽性強的特點，產生的破壞影響比較大，容易被黑色產業鏈利用，作為盈利的手段，給經濟 造成巨大的損失。
[0005] 2001年,低速率拒絕服務攻擊首次由AstaNetworks公司在Abilene骨幹網發現。 通過6個月的流量分析，研究人員發現這種具有脈衝特徵的新型DoS攻擊能夠長時間存在 並且不能被現有的檢測機制所發現，因此具有極高的隱蔽性，這種攻擊不一定能使目標系 統癱瘓，但是可以大大降低系統的性能。從此以後，針對LDoS的攻擊、檢測防禦成為網絡 安全研究領域的新課題。2003年在計算機網絡方面的頂級會議SIGCCMM上，Rice大學的 Aleksandar Kuzmanovic首次提出了針對TCP協議的LDoS攻擊並且給出了一個數學模型和 相關測試，為後面的研究奠定了基礎。2004的ICNP(IEEE International Conference on Network Protocols)會議以及 2005 年的 INF0C0M會議上，Guirguis 提出了 RoQ(Reduction of Quality)攻擊，利用TCP協議中擁塞控制以及路由器隊列管理機制中的漏洞降低路由 器的性能。2005 年的 NDSS (Network and Distributed System Security Symposium)會議 上，Xiapu Luo又提出了 ro〇S(Pulsing DoS)攻擊，還有其他形式的LDoS攻擊但原理都是 類似的。LDDoS是LDoS的分布式攻擊形式，如同DDoS與DoS的關係一樣，LDDoS攻擊就是 LDoS的集群攻擊方式。
[0006] 針對LDDoS的檢測和防禦方法更多，對於傳統DDoS攻擊的一般檢測方法主要有基 於網絡的入侵檢測系統和基於主機的入侵檢測系統這兩種。但這兩種檢測方法都是基於 DDoS長時間、高強度的網絡流量異常統計特性，而LDDoS並沒有這樣的特徵，所以傳統的檢 測方式並不能檢測出LDDoS。針對LDDoS，YU CHEN，KAI HWANG等提出了基於數位訊號處理 的檢測方法，主要思想是提取流量的頻域特性來進行分析，開創了基於信號處理方法的檢 測。之後Yu-KwongKwok等又提出了基於"隨機丟包模式"的算法等。
[0007] 目前國內外的研究主要集中在檢測和防禦上，而針對LDDoS流量同步和匯聚的研 究還較少，主要是Ying Zhang提出了利用ICMP時間戳報文對各攻擊流量進行時間同步的 方法。LDDoS目前沒有在網絡中大規模爆發，大多數對它的研究還停留在理論和仿真方面， 沒有在實際網絡中進行測試，因此缺乏真實的實際數據。儘管如此，作為一種新型的、更具 威脅、更隱敝的DDoS攻擊方式，LDDoS正受到越來越多學者的關注，通過細緻研究它的攻擊 行為，分析攻擊原理，有利於今後提出更有效的檢測和防禦方法。


【發明內容】

[0008] 在LDDoS攻擊中，攻擊脈衝被分割成好多小振幅脈衝。這些小脈衝由不同攻擊者 發送並在目標端完成聚合。攻擊脈衝的形成主要是通過以下幾種分割大脈衝的方法。
[0009] (1)脈衝幅度成倍減少，攻擊周期沒變如附圖1所示。假設攻擊目標的吞吐量是 C，攻擊者命名為1到n，LDDoS攻擊周期為T，每個攻擊峰值為C/n，每個攻擊脈衝可以在受 害者端疊加形成一個高速率攻擊脈衝。
[0010] (2)脈衝峰值不變但是攻擊周期成倍增加，如附圖2所示。N個攻擊者，攻擊周期 為η攻擊峰值R。每個攻擊脈衝可以在受害者端疊加，形成一個高速攻擊脈衝周期為T。
[0011] 每個攻擊脈衝必須嚴格遵守時間序列才能形成理想的LDDoS攻擊。然而每個攻擊 者都分布在不同的網絡中，攻擊者到目標間的距離不確定。所以要確保每個攻擊脈衝可以 在經過不同網絡傳輸後匯聚形成一個強攻擊脈衝是一項非常困難的技術。如果，每個攻擊 脈衝都不能同步和匯聚，LDDoS攻擊將會失去它們的攻擊特性，攻擊效果會被嚴重削弱。
[0012] 附圖1和附圖2說明LDDoS攻擊的時間同步和流量匯聚，在參與攻擊的每個脈衝 需要嚴格的時間關係。每個脈衝都與其它密切相關。因此，互相關函數被看作是實現時間 同步和流量匯聚的關鍵技術。
[0013] 互相關是估計兩個序列相關程度的標準方法。考慮兩個LDDoS攻擊序列x(i)， y(i)，i = l，2，"·，Ν-1。兩個延遲為d的LDDoS攻擊序列的互相關r定義為
[0014]

【權利要求】
1. 一種基於互相關的LDDoS(Low-rate Distributed Denial of Service)攻擊的時間 同步和流量匯聚的方法，其特徵在於：是通過以下步驟實現的： (1) 估計各處鏈路的RTT ; (2) 設計攻擊波形； (3) 發送攻擊波形參數到各攻擊端，各攻擊端產生攻擊脈衝； (4) 對各攻擊脈衝進行採樣，用互相關算法計算各攻擊脈衝之間的相對延時； (5) 調整攻擊時間以達到時間同步； (6) 在檢測點採集數據，判斷匯聚後的攻擊是否達到最佳。
2. 根據權利要求1所述的基於互相關的LDDoS攻擊的時間同步和流量匯聚方法，其特 徵在於： 其中：步驟（1)要分別估算攻擊者到各攻擊端的RTT，各攻擊端到各攻擊目標的RTT，和 經過攻擊目標處的TCP連接的RTT。 步驟（2)所設計的波形要求為周期方波脈衝，攻擊周期為T，脈衝幅度為R，脈衝長度為 L。其中脈衝幅度R要足夠大以保證攻擊流量能夠堵塞鏈路，脈衝長度要足夠長以保證正常 流量大量丟失，而過大的攻擊脈衝長度同樣會使LDDoS成為DDoS。 步驟（3)攻擊者首先將攻擊脈衝分割成較小的攻擊脈衝，然後由各攻擊端發送這種較 小的脈衝，最後在攻擊目標處重新匯聚成攻擊脈衝。 步驟（4)是在受害端的上一跳路由監測流量，每隔t秒的間隔對流量進行取樣，一個取 樣周期為T秒。每個抽樣數據就成為一個離散的序列xn(i)。 以Xi⑴為基準，分別計算每個序列與Xi⑴的相關序列r (d)，
(1) 再分別統計rn(d)取最大值所對應的dn的值。 步驟（5)根據步驟（4)計算出的< 的值，分別調整各攻擊端發送攻擊脈衝的時間。 步驟（6)採樣匯聚後的流量，判斷攻擊波形是否以達到最佳，如不是重複步驟（4) (5) 直到達到最佳。
3. 根據2所述的基於互相關的LDDoS攻擊的時間同步和流量匯聚方法，可以用以下兩 種分割方式產生攻擊脈衝： (1)脈衝幅度減倍，攻擊周期不變 假設攻擊目標處的吞吐能力為C，使用η個攻擊端實施LDDoS攻擊，設定的攻擊周期為 T。各個攻擊端同步發送峰值為R = C/n、周期為T的攻擊脈衝到目標處，最終疊加形成峰值 為C、周期為T的攻擊脈衝， ⑵脈衝幅度不變，攻擊周期增倍 參數同上，各個攻擊端按照時間序列為〇，T，2T，3T，…，（n-l)T，依次發送峰值為R = C、周期為T*n的攻擊脈衝到目標處，最終置加形成峰值為C、周期為T的攻擊脈衝。流量完 好的匯聚之後，LDDoS就形成了類似於LDDoS的攻擊流量，因此攻擊原理與LDDoS -樣。
【文檔編號】H04L12/891GK104125194SQ201310143580
【公開日】2014年10月29日 申請日期:2013年4月24日 優先權日:2013年4月24日
【發明者】吳志軍, 馬蘭, 嶽猛 申請人:中國民航大學