[发明专利]一种基于队列分布的LDoS攻击检测方法

权利要求书

1.一种基于队列分布的LDoS攻击检测方法，其特征在于：所述的基于队列分布的LDoS攻击检测方法包括按顺序进行的下列步骤：

1)首先分析LDoS攻击下的队列行为，推断攻击周期，并基于分析结果建立二维队列分布模型；

2)计算上述二维队列分布模型中采样点到中心点(Q_min，Q_min)的平均欧氏距离d_AED并作为检测特征；

3)将上述平均欧氏距离d_AED与设定的阈值d_th进行比较来识别LDoS攻击；如果平均欧氏距离d_AED超过阈值d_th，则视为受到LDoS攻击，否则视为正常；

在低速率拒绝服务攻击广泛存在且难以与正常流向区分的背景下，通过瞬时队列与平均队列所组成的二维队列分布模型来提取攻击特征，将二维队列分布模型中样本点到中心点的欧氏距离作为检测特征，使用EWMA自适应阈值算法动态调整检测阈值，使得检测方法可以适应实际网路中各类流量并且可以将LDoS攻击流量与合法突发流量区分开；假设TCP发送方的窗口大小不受接收端的流控制窗口的限制，路由器缓冲区大小设置为带宽延迟乘积，B为路由器缓冲区大小，Q_min表示RED的最小阈值，Q_max表示RED的最大阈值；将一个攻击周期T分成四个子周期T₁～T₄；

第一子周期T₁：第一子周期T₁等于攻击周期T期间的攻击突发宽度L，路由器缓冲区立即被速率为R、攻击突发宽度为L的突发攻击流塞满，因此瞬时队列长度等于路由器缓冲区大小B，平均队列长度将增长到RED的最大阈值Q_max；TCP连接在连接链路塞满时进入超时；TCP发送方在RTO空时器溢出之前不会发送任何数据包；假设瞬时队列长度在第一子周期T₁期间从RED的最小阈值Q_min增长到Q₁；在攻击周期T末端的瞬时队列长度表示为：

Q₁＝B-(1-w)^k×(B-Q_min) (1)

其中w为RED的权值，k为到达队列的攻击包个数；

第二子周期T₂：第二子周期T₂等于minRTO-L，RTO表示重传超时，在第二子周期T₂期间，没有数据包到达队列，因此平均队列长度不会更新，保留其先前的值；因为先前的缓冲数据包被快速耗尽，瞬时队列立即为空；此外，瞬时队列将一直保持空的状态，直到第一个重传TCP数据包到达队列；然后平均队列长度将下降到Q₂，公式为：

Q₂＝(1-w)^m×Q₁(2)

其中m＝(minRTO-L)/t_a；t_a表示时间间隔；

第三子周期T₃：TCP发送端实现慢启动，拥塞窗口cwnd呈指数增长，直到拥塞窗口cwnd达到慢启动值S，随后，RED控制新数据的传输，拥塞窗口cwnd以线性递增的方式往返；在第三子周期T₃期间，TCP的发送速率小于链路容量，因此瞬时队列仍然为空；第三子周期T₃末端的平均队列长度Q₃表示为：

Q₃＝(1-w)^u×Q₂(3)

其中u表示到达队列的数据包数量；

T₃表示从慢启动开始，至窗口发送速率增长到链路带宽C为止，公式如下：

第四子周期T₄：第三子周期T₃结束后，拥塞窗口cwnd保持线性增长；一旦拥塞窗口cwnd超过链路容量，瞬时队列就会不断地被额外的数据包填充；平均队列缓慢返回RED的最小阈值Q_min，当平均队列长度达到RED的最小阈值Q_min，将会启动下一次爆发攻击；期间因为平均队列长度小于RED的最小阈值Q_min，所以并没有流失数据包；在第四子周期T₄期间，TCP遵循加法递增机制；对于第i个TCP连接，每次收到确认字符(ACK)时，它的拥塞窗口cwnd将增加1/cwnd_i；假设n个该类流的等效拥塞窗口cwnd大小为等于占据瓶颈链路和路由器缓冲区的数据包个数；根据上述分析，第四子周期T₄表示为：

其中C为瓶颈链路容量，d为链路单线延迟，W_max为最大拥塞窗口，n为数据流的个数，q_max为瞬时队列最大长度；

由于瞬时队列长度的初值与平均队列长度的最终值是已知的，因此瞬时队列最大长度q_max可以通过上述公式迭代求得；经分析，攻击周期T可以表示为：

T＝minRTO+T₃+T₄ (5)

结合瞬时队列长度与平均队列长度，建立了二维队列分布模型，X轴表示瞬时队列长度，Y轴表示平均队列长度；在正常情况下队列分布将集中在中心点(Q_min，Q_min)，特别是在瞬时队列方向上，LDoS攻击使队列分布点偏离中心点(Q_min，Q_min)，即使出现一个合法的突发事件，只会引起瞬时队列的较大波动，平均队列影响较小，因此二维队列分布模型可以在不受合法突发流的影响下检测出LDoS攻击；

2)计算上述二维队列分布模型中采样点到中心点(Q_min，Q_min)的平均欧氏距离d_AED并作为检测特征，计算公式为：

其中N_p表示检测窗口中采样点的个数，q_i是第i条流的瞬时队列长度，Q_i是第i条流的平均队列长度；为了尽快检测到每一个突发攻击流，检测窗口可以设置为公式(5)中给定的攻击周期T；w为RED算法的权值；

3)将上述平均欧氏距离d_AED与设定的阈值d_th进行比较来识别LDoS攻击；如果平均欧氏距离d_AED超过阈值d_th，则视为受到LDoS攻击，否则视为正常；

定义了一个长度为βT和步长为T的滑动窗口，其中β为正整数；令第i个欧氏距离d_AED(i)为第i个检测窗口中的欧氏距离d_AED，d_th(i)为第i个阈值，那么第i个阈值的公式为：

d_th(i)＝μ(i-1)+3σ(i-1) (7)

其中，μ(i-1)表示滑动窗口之前的欧氏距离，σ(i-1)表示滑动窗口之前的欧氏距离μ(i-1)的标准差，以形成一个高置信区间；阈值参数μ的更新公式为：

μ(i)＝(1-w)×μ(i-1)+w×d_AED(i) (8)

w为RED的权值；第i个阈值d_th(i)只有在正常情况下更新，若确定攻击爆发，则停止更新以防止形成过高的阈值。

2.根据权利要求1所述的基于队列分布的LDoS攻击检测方法，其特征在于：在步骤1)中，所述的首先分析LDoS攻击下的队列行为，推断攻击周期，并基于分析结果建立二维队列分布模型的方法是：先利用LDoS攻击下队列行为的分析结果推断出正常情况下的瞬时队列长度范围与平均队列的长度范围，再得出正常队列分布的集中点，之后依据长度范围和集中点建立以瞬时队列长度为横轴、平均队列长度为纵轴的二维队列分布模型。