技術(shù)領(lǐng)域

本發(fā)明涉及一種計算機網(wǎng)絡(luò)安全技術(shù)，尤其是針對低速率分布式拒絕服務(wù)(Low-rate?Distributed?Denialof?Service，LDDoS)攻擊的檢測，可以有效檢測出隱藏在TCP背景噪聲下的小LDDoS攻擊流。

背景技術(shù)

LDDoS攻擊，由于其巨大的危害和隱蔽性，已經(jīng)為研究的熱點問題。由于傳統(tǒng)的檢測防御DDoS攻擊的手段不再適合LDDoS攻擊，因此需要尋找新的途徑。

經(jīng)過深入探索，研究人員以攻擊流的時頻域特征提取作為突破點，利用數(shù)字信號處理的方法來解決LDDoS的檢測問題，已經(jīng)提出了一些檢測防御方法。如Habin?Sun提出通過對數(shù)據(jù)流進行取樣和特征提取，使用在語音識別中常用的動態(tài)時間環(huán)繞方法(Dynamic?Time?Warping，DTW)將數(shù)據(jù)與樣本進行匹配，當(dāng)攻擊流被識別出來以后，采用差額循環(huán)算法(Deficit?Round?Robin，DRR)，進行帶寬分配和資源保護，從而消除LDDoS攻擊流的影響。Cheng在文獻中，介紹了其利用累計的歸一化功率譜密度檢測LDDoS方法。該方法利用正常流量和攻擊流量在累計功率譜的固定頻率點上的差異作為是否存在攻擊的判據(jù)。中國民航大學(xué)吳志軍教授在文獻中，提出了漏值多點數(shù)字平均方法檢測LDDoS攻擊。該方法將一段時間的峰谷差值作為特征值與設(shè)定的判決特征值門限比較，進而進行攻擊檢測。Yu?Chen提出了一種基于光譜分析的協(xié)同檢測過濾(Collaborative?Detectionand?Filtering，CDF)算法，將路由器的包到達速率作為時域采樣序列，對其進行預(yù)處理，盡量放大攻擊流與正常流在頻譜上的區(qū)別，然后進行傅立葉變換得到頻域序列，對得到的頻域序列進行頻譜分析，將其與預(yù)先通過學(xué)習(xí)生成的攻擊頻譜特征模板庫進行匹配，從而判定是否存在LDDoS攻擊。Y.K.Kwok提出了一種路由器隊列管理方法HAWK，其在傳統(tǒng)AQM算法的基礎(chǔ)上又加入了一種數(shù)據(jù)流檢測算法，主要基于LDDoS脈沖速率強度、持續(xù)時間和發(fā)送周期等特征，對到來的數(shù)據(jù)流分別對其短時間間隔內(nèi)峰值速率以及長時間間隔峰值速率超過所設(shè)門限值的次數(shù)進行檢測，如果符合設(shè)定攻擊特征，則丟棄此數(shù)據(jù)流的所有數(shù)據(jù)包。武漢大學(xué)的何炎祥教授提出了一種基于小波特征提取的LDDoS檢測方法，該方法通過對數(shù)據(jù)流量的小波多尺度分析，得到5個特征值，再結(jié)合BP神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)流量進行綜合判決。

目前，無論在國內(nèi)還是國際，DDoS攻擊工具及其性能，攻擊檢測，以及后期防御和追蹤取證，都已成為研究熱點。但由于LDDoS不同于傳統(tǒng)Flooding-DDoS攻擊，它具有流量小、出現(xiàn)時間晚等特點，因此對這種攻擊方式的研究還相對較少。針對LDDoS攻擊防范方法的研究工作尚處于起步階段，資料非常有限。前面提出的檢測方法，在檢測率、誤警率、算法復(fù)雜度和硬件實現(xiàn)等方面或多或少存在有不足。

發(fā)明內(nèi)容

LDDoS攻擊檢測的實質(zhì)是，在以RTT為周期的強TCP背景噪聲下提取周期為RTO_min的“微弱”方波信號的問題。但是傳統(tǒng)的混沌檢測工作還僅限于檢測頻率已知的微弱信號，并且背景噪聲一般是高斯白噪聲。本發(fā)明給出了一種基于間歇混沌的復(fù)雜背景下的LDDoS檢測方法，并通過系統(tǒng)輸出的時域波形估計攻擊參數(shù)。

間歇混沌(又稱陣發(fā)混沌)是非線性系統(tǒng)在時間和空間上表現(xiàn)出的有序和無序交替出現(xiàn)的特殊動力學(xué)形態(tài)。在某些時空段，運動十分接近規(guī)則的周期運動；而在規(guī)則的運動段落之間，又夾雜著看起來很隨機的跳躍。

間歇混沌現(xiàn)象的出現(xiàn)，是由于Duffing振子的周期策動力幅值在系統(tǒng)相圖進入大尺度周期狀態(tài)的閾值附近周期性消長而引起的。一般通過間歇混沌現(xiàn)象來檢測周期信號的方式，基本上可以分為兩類：一類是將待測信號作為系統(tǒng)阻尼比的乘性擾動因子；再一類是將待測信號以系統(tǒng)非線性項的乘性擾動因子加入系統(tǒng)。

針對LDDoS攻擊檢測的問題，通過對正常網(wǎng)絡(luò)流量和異常流量分析得出LDDoS攻擊實質(zhì)上是，隱藏在以RTT為周期的TCP背景噪聲下周期的“微弱”方波信號。結(jié)合LDDoS攻擊模型及原理，LDDoS在2～3*RTT時間內(nèi)，以接近瓶頸鏈路帶寬的速率，向目標(biāo)主機發(fā)送UDP包，由于UDP包通常非常小，因此導(dǎo)致在攻擊時刻鏈路流量峰值遠高于正常情況，通過比較峰值大小可以證實這種情況的存在。因此，通過預(yù)先設(shè)定合理門限值，來消除TCP背景噪聲(正常網(wǎng)絡(luò)流量)對系統(tǒng)的影響，再將處理后的流量作為Duffing振子非線性項擾動，通過觀測系統(tǒng)的相變，來達到LDDoS攻擊檢測的目的。