[发明专利]一种基于队列分布的LDoS攻击检测方法

说明书

一种基于队列分布的LDoS攻击检测方法。其包括分析LDoS攻击下的队列行为，推断攻击周期，基于分析结果建立二维队列分布模型；计算二维队列分布模型中采样点到中心点的平均欧氏距离；将平均欧氏距离与设定的阈值d_th进行比较来识别LDoS攻击等步骤。本发明是在低速率拒绝服务攻击广泛存在且难以与正常流向区分的背景下，通过瞬时队列与平均队列所组成的二维队列分布模型来提取攻击特征，将二维队列分布模型中样本点到中心点的欧氏距离作为检测特征，使用EWMA自适应阈值算法动态调整检测阈值，使得检测方法可以适应实际网路中各类流量并且可以准确地将LDoS攻击流量与合法突发流量区分开，从而使网络防御更加安全有效。

技术领域

本发明属于计算机网络安全技术领域，特别是涉及一种基于队列分布的LDoS攻击检测方法。

背景技术

低速率拒绝服务(Low-rate Denial of Serice，LDoS)攻击最早是在2003年提出的，在这15年的时间里，这种攻击已经发展成为许多变种，如质量(RoQ)、欺诈性资源消耗(FRC)、慢攻击、隐身DoS。一般来说，LDoS攻击具有三个特点:1、利用网络中特定协议或系统的漏洞，在资源利用、系统稳定性或服务质量等方面造成服务的显著退化。2、成本低，单个攻击源可以发起攻击，其攻击流量远小于泛洪DoS(Flood DoS，FDoS)攻击。3、平均攻击率非常低(甚至低于合法流)，具有很强的隐蔽性，导致检测困难。在随机早期检测(RandomEarly Detection，RED)场景下，原始的面向TCP的LDoS攻击需要研究(通常采用一系列周期性的方形爆炸square burst来建模)。在这种情况下，LDoS会阻碍RED稳定其队列，从而给TCP拥塞控制带来噪声反馈信号，结果导致出现振荡引起的高抖动，以及队列排流导致的效率低下，即吞吐量下降。随着TCP+RED在当前网络中的普及，这种攻击的对策是值得研究的。RED本身及其变体已被证明不足以抵御LDoS攻击。为了防御LDos攻击，人们提出了许多策略。一开始，一些人努力致力于减轻损害，作法是通过修改现有的协议或增加额外的资源。knity提出了重传超时(Retransmission Timeout，RTO)随机化方法来防御RTO匹配的LDoS攻击。然而，他们认为LDoS攻击仍然可以过滤掉部分TCP流量。另一方面，这种方法很难推广，因为它需要修改TCP协议。Sarat等人指出，缓冲区大小的相对较小的增加足以使LDoS攻击失效。随着缓冲区大小的增加，攻击者需要以更高的速率传输以填充路由器缓冲区，此时他们处于较长的LDoS攻击中，并且可以被优先支持的RED检测到。这种工作的局限性是会增加正常数据包的排队延迟。随后，研究人员尝试先检测是否发起了LDoS攻击，然后对攻击流量进行过滤。Sun等人指出LDoS攻击可以通过匹配其高速率、短突发、周期等特征来检测，并在此基础上采用DRR算法来分配带宽，保护合法流。然而，虚检率相对较高。因此，合法流在速率限制包过滤过程中受到影响。Chen等人提取了频域攻击特征。他们使用归一化累积功率谱密度(INCPSD)来计算TCP流量分布曲线与LDoS流量之间的距离，以确定攻击是否存在。在那之后，他们使用了黑名单和白名单的方法来切断攻击流。但是，这种方法需要额外存储特性表。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于队列分布的LDoS攻击检测方法。

为了达到上述目的，本发明提供的基于队列分布的LDoS攻击检测方法包括按顺序进行的下列步骤：

1)首先分析LDoS攻击下的队列行为，推断攻击周期，并基于分析结果建立二维队列分布模型；

2)计算上述二维队列分布模型中采样点到中心点(Q_min，Q_min)的平均欧氏距离d_AED并作为检测特征；

3)将上述平均欧氏距离d_AED与设定的阈值d_th进行比较来识别LDoS攻击；如果平均欧氏距离d_AED超过阈值d_th，则视为受到LDoS攻击，否则视为正常。