[发明专利]一步预测卡尔曼滤波检测LDoS攻击的方法

说明书

技术领域

本发明涉及一种针对低速率拒绝服务LDoS(Low-rate Denial of Service)攻击的检测方法， 它属于计算机网络安全领域入侵检测(Intrusion Detection)技术领域。

背景技术

拒绝服务DoS(Denial of Service)攻击和分布式拒绝服务DDoS(Distributed Denial of Service)攻击是目前互联网面临的最大威胁。传统的拒绝服务攻击主要是通过攻击机器发送海 量的数据包，消耗目标服务器的网络资源或计算资源，使得用户无法使用服务器资源，以达 到拒绝服务的目的，这种方式的攻击称为泛洪式拒绝服务FDoS(Flood DoS)攻击，典型的例 子有SYN/ACK泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击等。目前已经有很多针对FDoS 攻击的检测和防御方法。然而，随着攻击技术的进一步发展，新的拒绝服务攻击层出不穷， LDoS攻击就是其中的一类。在2003年的SIGCOMM会议上，美国Rice大学的Kuzmanovic 和Knightly提出了LDoS攻击，指出只需要周期性发送短暂脉冲，就可以使得TCP流吞吐 量严重下降。2005年，在Internet2的Abilene骨干网上发现了LDoS攻击，LDoS攻击成为现 实。LDoS攻击可以使得通过被攻击链路的TCP流吞吐量严重下降。由于互联网上大量应用 都是使用TCP作为传输层协议，因此LDoS攻击对网络的损害并不逊色于传统的泛洪式拒绝 服务攻击。另一方面，由于LDoS攻击的攻击脉冲持续时间很短，攻击机器的平均流量小， 可以使用任意流量作为攻击流量，因此容易避开检测，具有较大的隐蔽性。

LDoS攻击的原理：TCP协议采用滑动窗口机制和差错控制机制实现端到端流量控制， 在实际应用中，这两种机制和其他一些措施结合使用，以达到拥塞检测、拥塞避免以及拥塞 恢复的目的。这些措施包括：RTT方差估计、指数RTO退避、Karn算法、慢启动、拥塞避 免、快速重传、快速恢复等。其中，前三者属于重传定时器(Retransmission Timer)管理机制， 其余属于窗口管理机制。TCP的拥塞控制机制使得TCP用户能充分利用带宽，是TCP应用 蓬勃发展的一个重要原因。但与其他一些机制类似，TCP的拥塞控制机制在设计的时候没有 充分考虑安全性，因而有可能成为拒绝服务攻击的目标。

第一种情况，如果瓶颈链路拥塞持续的时间足够长，合法用户在一个往返时间RTT (Round Trip Time)发送的所有数据都被丢弃，那么合法用户将无法收到服务器对其数据的确 认，认为网络中存在严重的拥塞，它将等待重传超时RTO(Retransmission Time Out)再重新传 输数据。在此期间，TCP发送端不发送任何数据，这种机制称为超时等待机制。为了获得更 好的性能，RFC298建议TCP流的RTO的最小值为1s，而且每经历一次超时就增加1倍。 在结束等待后，合法用户将使用慢启动算法传输数据，开始的拥塞窗口为一个报文段，只有 在收到接收端回应之后才成倍增加拥塞窗口。超时等待机制避免了TCP流在网络拥塞的时候 加剧网络拥塞，慢启动算法又使得TCP流在网络拥塞消失后有效增加吞吐量。但是，TCP 只根据对端返回的响应报文判断网络是否拥塞，容易被欺骗，如果攻击主机在合法用户每次 超时重传开始的时候造成瓶颈链路的拥塞，合法用户将反复进入等待超时状态，无法发送数 据。