[发明专利]一种检测低速率拒绝服务攻击的方法及装置

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及网络通信系统中检测低速率拒绝 服务攻击的方法及装置。

背景技术

低速率拒绝服务攻击(Low-rate Denial of Service或Distributed Denial of Service)，指的是一种针对于自适应系统的攻击，尤其是针对TCP(传输 控制协议，Transmission Control Protocol)拥塞控制的攻击。TCP拥塞控制本 身是一种有效的避免链路拥塞的方法，其原理是发送端根据链路的拥塞情况动 态的调整发送报文的速率：在链路畅通的时候，发送端增大报文发送速率；反 之，当链路拥塞的时候，发送端急剧降低报文发送速率，以此来避免和缓解链 路的拥塞。上述拥塞控制是一种非常有效的提高系统性能的机制，但是却也给 攻击提供了可能。低速率拒绝服务攻击就是利用了发送端在链路拥塞时降低发 送报文速率的特点，周期性的发送瞬时高速报文流，迫使系统的发送端反复处 于急剧降低报文发送速率，再缓慢增加报文发送速率的过程，从而造成系统性 能的急剧下降。

由于目前基本上都是通过检测链路的平均速率来发现拒绝服务攻击，而低 速率拒绝服务攻击的高速报文流持续时间很短，但是平均速率却很低，因此就 很容易逃避现有的拒绝服务攻击检测；并且由于低速率拒绝服务攻击可以由单 一的攻击源发送很少的报文达到或接近Flood攻击的效果，因此攻击成本很低， 很容易被黑客采用；此外，由于低速率拒绝服务攻击不易被发现，受害者常常 会在长期被攻击的情况下还不知情，因此会遭受经济以及信誉上的损失。

为解决上述问题，目前提出了一种用频域变换的方法实现联合检测低速率 拒绝服务攻击的方案。该方案是利用Internet报文流的自相关函数的频域特性进 行低速率拒绝服务攻击的检测，并结合多个路由器之间相互侦听，交互信息， 实现联合检测。

发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：

1、由于采用频域变换的方法检测低速率攻击，因此需要采样大量的数据， 进行计算、比较，而这就需要消耗大量的系统资源。

2、该方案在检测低速率拒绝服务攻击有很大存在可能的情况下是很有效 的，但对于网络而言，毕竟多数时候是处于正常或其他攻击状态之下的，所以 若持续用此检测方法检测，会造成不必要的资源浪费。

3、该方案需要采集多个路由器的信息，路由器之间需要交互，信息需要 综合，同时需要在多个路由器设置检测设备，这显然会增加检测的时间和资源 消耗。

发明内容

本发明的实施例提供了一种检测低速率拒绝服务攻击的方法及装置，能够 以很低的检测成本进行低速率拒绝服务攻击检测。

一种检测低速率拒绝服务攻击的方法，包括：

对网络链路的参数进行周期性的第一级检测，当所述参数的检测值低于设 定的下限值时进入第二级检测；

在第二级检测中，在设定时间长度内对网络链路的参数进行设定次数的采 样，当统计得出的采样结果超出设定的正常值范围时，进入第三级检测；

在第三级检测中，对网络链路的参数进行采样，计算采样数据的功率谱密 度，比较所述功率谱密度和低速率拒绝服务攻击的频域特征，输出检测结果。

一种检测低速率拒绝服务攻击的装置，包括：

第一级检测单元，用于对网络链路的参数进行周期性检测，当所述参数的 检测值低于设定的下限值时触发第二级检测单元；

所述第二级检测单元，用于在设定时间长度内对网络链路的参数进行设定 次数的采样，当统计得出的采样结果超出设定的正常值范围时，触发第三级检 测单元；

所述第三级检测单元，用于对网络链路的参数进行采样，计算采样数据的 功率谱密度，比较所述功率谱密度和低速率拒绝服务攻击的频域特征，输出检 测结果。

由上述本发明的实施例提供的技术方案可以看出，由于本发明实施例采用 分级结构进行低速率拒绝服务攻击的检测，因此可以通过第一级检测及时发现 网络链路异常，又能够通过第二级检测对异常进行初步确认，从而避免了过早 进行随机采样、计算的处理过程。因此，本发明实施例可以在及时发现网络链 路异常的同时，降低检测低速率拒绝服务攻击的成本。

附图说明

图1为本发明实施例提供的一种实现方案的方法流程示意图；

图2为本发明实施例提供的一种实现方案的处理流程图；