基于滤波器频域过滤LDDoS攻击流量的方法
【专利摘要】基于滤波器频域过滤LDDoS攻击流量的方法,用于抵御低速率分布式拒绝服务LDDoS(Low-Rate?Distributed?Denial?of?Service)攻击。LDDoS攻击已逐渐成为全世界网络最严重的威胁之一,其攻击方式主要通过连续发送大量的数据包,耗尽网络资源,造成连接阻塞。该发明用数字信号处理的方法对LDDoS攻击进行分析,针对其因发送大量数据而具有较大能量的特点,设计参数FIR滤波器来滤除频谱中含有攻击流量的频率分量,提高LAR(Legitimate?traffic?to?Attacked?traffic?Ratio),以便有更多的网络资源为用户提供正常的服务。
【专利说明】基于滤波器频域过滤LDDoS攻击流量的方法
【技术领域】
[0001] 本发明涉及一种计算机网络安全技术,尤其是针对低速率拒绝服务(Low-rate Distributed Denial ofService,LDDoS)攻击的检测,可以有效检测和过滤分布在低频段 的LDDoS攻击流。
【背景技术】
[0002] 自从2001年LDDoS被发现以来,引起了世界上很多研究者的关注。在国际上, KUZMAN0VIC和KNIGHT最早对LDDoS的产生原理进行了比较详细的分析,并对LDDoS的周期 脉冲特性进行了深入的研究,挖掘了 LDDoS攻击产生溢出的方法,提出了基于网络的防御 思想;Gabriel Macidi-Ferndindez和Y. Zhang等比较完善的研究了在频率域检测LDDoS攻击 的方法,并在NS-2环境下做了仿真试验;CHENG首先提出了在频率域(Frequency Domain) 利用累计的归一化功率谱密度 NCPSD (Normalized Cumulative Power Spectrum Density) 检测LDDoS攻击的方法;BARF0RD. P.和KLINE. J.等提出了采用信号处理的方法检测网络 中异常流量的方法;Xiapu Luo和Rocky K. C. Chang对LDDoS攻击的性能方面进行了仿真 和试验,并采用小波(wavelet)技术在频域中检测LDDoS攻击;Aleksandar Kuzmanovic和 Edward W. Knightly对面向TCP的LDDoS攻击行为和防范策略进行了研究。目前,国际上 针对LDDoS的研究大都集中在其检测和防御上。在国内,北京邮电大学信息安全中心的杨 义先教授领导的研究团队研究了一种检测低速率拒绝服务攻击的方法及装置,钮心昕教授 领导的研究小组研究了低速率拒绝服务攻击的三级检测算法;武汉大学计算机学院的何炎 祥教授带领的研究小组开展LDDoS攻击模型等相关的研究,并提出了一种基于小波特征提 取的低速率DoS检测方法;中国科技大学的研究小组研究了 LDDoS针对快速TCP攻击的性 能;清华大学信息网络工程研究中心的段海新教授领导的研究小组研究了 DoS攻击防御实 验床;清华大学信息网络工程研究中心的刘武教授研究了 ICMPV6协议在DoS攻击下的脆弱 性;国防科技大学计算机学院的张长旺等研究了基于拥塞参与度的分布式低速率DoS攻击 检测过滤方法;浙江大学的魏蔚等研究了低速率TCP拒绝服务攻击的检测响应机制;上海 交通大学研究了基于快速重传/恢复的低速拒绝服务攻击机制;在分析LDDoS攻击的原理 和产生机制的基础上,针对其攻击的性能进行了研究,并在采用信号处理技术,基于功率谱 密度PSD的检测和频域过滤LDDoS攻击方面取得了一些进展。
[0003] 用现有的通信量分析方法,周期性LDDoS攻击脉冲很难在时间域被检测出来。这 是因为平均共享的带宽并不是非常大。在分布式的情况下,成倍的傀儡机发起的攻击会更 进一步降低单个通信量的速率,因此,就导致检测更加困难。分布式攻击发起者可以通过降 低最高速率或者延长攻击周期来降低平均通信量。所以,用时间序列检测这类攻击是毫无 效果的。目前,现有的攻击检测手段基本是基于时间序列的,对LDDoS攻击的检测是个盲 点。
[0004] 第一,目前入侵检测手段采用时序的方法,即在设定的检测时间内对攻击的包个 数进行统计,根据统计流量的大小来判定是否存在攻击。由于LDDoS攻击脉冲的持续时间 很短,远小于现有检测方法设定的平均检测时间,而且LDDoS攻击的平均流量很小,只有正 常流量的10 % -20 %。因此,现有检测手段对于LDDoS攻击无能为力;
[0005] 第二,LDDoS攻击需要的专业知识较高。一般的黑客即便掌握LDDoS攻击的产生 技术,但由于攻击时间同步和流量汇聚等关键技术不能很好的解决,所以,发起LDDoS攻击 的概率很小;
[0006] 第三,当前,大多网络攻击是以金钱为利益驱使的。高技术、大危害度的攻击都掌 握在少数技术高明的黑客手中。在有利可图的情况下,才出租攻击网络给出钱人,去破坏或 者报复选定的目标。
[0007] 在分布式拒绝服务DoS攻击的检测和防御研究上,目前,国际上流行采用信号处 理DSP (Digital Signal Processing)的方法与网络流量数据处理技术相结合,把经典的信 号检测理论和滤波器理论应用到DoS攻击流量的检测和过滤中。例如:采用归一化累计功 率谱密度NCPSD作为检测LDDoS攻击的判定依据;还有采用小波分析技术在频率分量中发 现攻击分量等。
【发明内容】
[0008] 利用混沌系统对微弱周期信号检测本质上是,利用其对参数的摄动及其敏感性, 从而使系统周期解发生本质变化,进而达到检测的目的。具体来说,就是将待测小信号作为 混沌系统的一种周期扰动,噪声虽然强烈,但对系统状态的改变没有影响,而一旦有特定的 微扰小信号,由于混沌系统对周期小信号的敏感性,即使幅值较小,也会使系统发生本质的 相变,计算机通过辨识系统状态,可判定信号是否存在,从而将强背景噪声下微弱周期信号 检测出来。
[0009] 对到达路由器的TCP和LDDoS数据包等间隔抽样,得到一个离散的时间序列X (η)。 根据Nyquist采样定理,可以得到其幅频特性。在这个过程中,取样也起到了低通滤波器的 作用,消除了高频噪声。数据包的到达数目可以按照如下随机过程模型来表示:lx (t),t = ηΛ,n eN}。其中Λ是一个常数,代表采样周期,在实验中是lms。N是全部的取样点数。 x(t)是一个随机变量,表示在(t-Λ,t)间隔内到达路由器的数据包的数目。利用离散傅 里叶变换DFT (Discrete Fourier Transform)将时域序列转换到频域:
[0010]
【权利要求】
1. 基于滤波器频域过滤LDDoS(Low_rate Distributed Denial of Service)攻击流量 的方法,是一种用数字信号处理技术防御网络攻击的新方法。LDDoS攻击具有隐蔽的特性, 在时域不容易将其检测出来。但是,LDDoS攻击流量在频域上却表现出与正常TCP流量不 同的特性,即LDDoS攻击流量更多的分布在低频段。利用这个特性,可以设计FIR滤波器, 实现对攻击流量的过滤。
2. 根据权利要求1所述的基于FIR滤波器的LDDoS攻击过滤方法,其特征在于所述过 滤方法包括以下步骤: ⑴建立一个网络流量模型T(t) =P(t)+v(t)+A(t); (2) 在受害端对网络流量进行等间隔采样,根据采样时间,构造一个离散序列|x(t),t =η Δ,n e N}; (3) 对序列x(t)做Bartlett谱估计,得出采样序列的功率谱密度; (4) 在f频点以下统计功率,以功率谱密度(PSD)的分布率为检测依据; (5) 确定一个判决门限,当低频段f以下的PSD分布超过门限值时即可判定发生LDDoS 攻击; (6) 设计一个截止频率在f的FIR高通滤波器; (7) 将FIR滤波器置于被攻击目标前端,过滤掉处于低频域的攻击流量; 其中,步骤(1)中P(t)表示正常的TCP流量,v(t)表示网络背景噪声,A(t)表示LDDoS 攻击流量; 步骤(2)中采样间隔为t,采样周期T,这样采样数据就构成了一个离散的序列; 步骤(3)对采样序列x(t)的Bartlett变换可以表示为:
其中
是Χχ (η)的PSD估计,
是X (η)的PSD估计。X (η)是一个N点的序列, χ? (1 = 1,2,…,L)是χ(η)的一个厘点无重叠序列,L = Ν/Μ 步骤(4)中LDDoS攻击流90 %能量集中在6Hz以下,正常TCP流20 %的能量分布于 6Hz以下; 步骤(5)中判决门限由所选频点决定,一般选FD = 5Hz,门限为90% ; 步骤(6)中截止频率选为5Hz ; 步骤(7)中FIR滤波器可以过滤掉90%以上的的LDDoS攻击流量。
3. 根据2所述的基于FIR滤波器的LDDoS攻击过滤方法,其特征在于: (1) 设定采样间隔lms,采样周期为6s,形成6000个点的序列; (2) 设计FIR数字滤波器,H(e>) =Η(ω),ω,其中Η(ω)是窗函数FIR滤波器的频 率响应; (3) 以5Hz为截止频率的高通滤波器能过滤掉92. 88 %的LDDoS攻击,同时过滤掉
【文档编号】H04L29/06GK104125195SQ201310143590
【公开日】2014年10月29日 申请日期:2013年4月24日 优先权日:2013年4月24日
【发明者】马兰, 吴志军, 岳猛 申请人:中国民航大学