技術領域

本發明涉及一種計算機網絡安全技術，尤其是針對低速率拒絕服務(LDoS)攻擊的檢測，可以高準確率的檢測出攻擊。

背景技術

進入2013年以來，網絡安全的國際形勢風起云涌，包括中國在內的多國政府和重要企業的網站均受到境外網絡犯罪組織的攻擊，國家互聯網應急中心在2013年5月6日-13日一周內處理的網絡安全事件就多達309起，其中有跨境網絡安全事件190起。攻擊者采用的攻擊手段中最常見，也是最有效的就是拒絕服務DoS(DenialofService)攻擊。根據流量大小，DoS攻擊分為高速率洪水(Flood)攻擊和低速率地鼠(Shrew)攻擊。也有學者根據單位時間內平均發包量的多少來區分低速率和高速率，比如澳大利亞迪肯大學的YangXiang將1000packet/s定位為區分高速率和低速率的標準。“地鼠”類型的低速率DoS攻擊，又稱為LDoS(Low-rateDenialofService)，它的流量僅占正常流量的10-20％。由于該攻擊在時域(TimeDomain)上平均速率很低，流量占用的帶寬小，很難被現有檢測手段發現。所以，它被形象地將其稱為“地鼠”分布式拒絕服務(ShrewDDoS)攻擊；LDoS攻擊的信號形式為周期性的脈沖，又被稱為“脈沖調制”(Pulsing)攻擊；LDoS攻擊的最終表現形式是降低被攻擊目標的服務質量，所以又被稱為“降質”RoQ(ReductionofQuality)攻擊。LDoS攻擊具有出色的躲避檢測能力，是網絡犯罪者最鐘愛的攻擊方式，也是網絡安全的主要威脅之一。

一個LDoS攻擊可以用一個三元參數組(T，L，R)來描述。其中：T為攻擊周期，它是兩次連續的攻擊脈沖之間的時間間隔，是通過來自可信賴源端估計的TCPRTO計時器執行情況來計算的；L為脈沖寬度，它描述了攻擊者持續發包的時間段；R為脈沖幅度，它顯示了攻擊流的最高速率。

為了獲得更高的吞吐量，TCP協議使用帶固定增量的預定義的RTO值。在單一的TCP流中，如果攻擊流量在往返時間RTT(Round-tripTime)時刻內足夠導致數據包(Packet)丟失時，這個TCP流將進入超時狀態，并且嘗試在RTO時間后再發送一個新的數據包。如果LDoS攻擊的周期大致等于這個TCP流的RTO時，這個TCP流將持續丟失數據包而不能夠退出超時狀態，以至于其吞吐量大幅度下降^[3]。

一個成功的LDDoS攻擊在保證不被檢測的情況下必須具有：a.以最小RTO時間或者其整數倍為脈沖間隔為周期；b.足夠大的R誘使合法的TCP流丟包；c.足夠長的L引起重傳。LDDoS攻擊可以估計RTO時間來調整其攻擊周期，周期性地發送攻擊脈沖當脈沖達到最高速率R時，使得合法的TCP流試圖發送數據包到目的主機的網絡鏈路被嚴重的阻塞，導致合法的TCP流量被迫啟動擁塞控制。極大的降低它們的發包速率，影響正常的服務請求的響應時間，從而達到LDDoS的攻擊的目的。如果R和L超過一定的值就存在被檢測機制發現的可能。因此攻擊采用分布式的方式，來自不同信道的小攻擊脈沖在特定位置匯聚成一個大的攻擊脈沖。這就需要精確的時間控制，這些小脈沖必然在周期T和脈沖長度L上具有某種必然關系。也就是說這些小脈沖相互之間有很高的相關性。針對這一特點，本文提出了基于信號互相關的檢測算法。預先構造攻擊模型，計算攻擊模型與采集的網絡流量間的相關性，從相關序列中提取攻擊的各種特征以達到檢測的目的。

自從2001年LDDoS被發現以來，引起了世界上很多研究者的關注。國內外學者針對LDoS攻擊的研究取得很多成果但也存在一定問題。