沙特国王大学学报基于自相似性Gagandeep Kaura, J.P.,Vikas Saxenaa,古普塔湾aJIIT,Noida,UP,印度b印度北方邦沙尔达大学阿提奇莱因福奥文章历史记录:2017年3月3日收到2017年5月8日修订2017年5月9日接受2017年5月13日在线发布关键词:网络攻击异常DDoS基于速率检测A B S T R A C T在本文中,作者试图衡量脉动分布式拒绝服务攻击的不同变种对网络流量的自相似性的影响,并看看H指数的变化是否可以用于区分它们与正常的网络流量。©2017作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍在网络安全领域,重点一直是检测和缓解拒绝服务(DoS)(Alfantookh,2006)和分布式拒绝服务(DDoS)(Bhuyan等人,2014年)袭击。基于洪泛的DDoS攻击是臭名昭著的品种,通常用于通过用大量的假分组机器人淹没缓冲区来降低服务器的服务(Kandula等人, 2005年)。如今,自动机器人被用来发动高强度的洪水攻击。为了使检测机器人更加困难,这些机器人攻击以大量分布式数量发起相反,攻击者已经开发了一种非常新的基于速率的攻击,基于低速率的拒绝服务或LDoS攻击这些攻击可以通过使用少量的假数据包和资源造成与传统的基于洪泛的攻击相同程度的损害LDoS 攻 击 最 早 是 由 A. 2003 年 , Kuzbovic ( Kuzbovic andKazbovly,2003)。这些攻击在DDoS攻击领域引入了一个新的层面LDoS攻击利用TCP/IP协议栈中面向连接的传输层协议(TCP)的特性在短时间内向目标TCP服务器发送大量假数据包*通讯作者。电子邮件地址:gmail.com(G. Kaur)。沙特国王大学负责同行审查槽,并重复该过程。LDoS攻击在两个方面是致命的,首先,这些攻击使用持续时间非常小的脉冲,因此难以在异构网络流量中检测到,其次,大多数高质量的互联网服务都依赖于TCP。TCP服务的任何降级都会影响服务提供商的信誉。A. Kuzalovic使用微小的假数据包(称为脉冲 数 据 包 ) 填 充 TCP 服 务 器 的 缓 冲 区 , 导 致 TCP 拥 塞 控 制 窗 口(CCW)的重复超时阶段。因此,基于TCP的流的总吞吐量几乎下降到零水平。LDoS也被称为Shrew攻击。自2003年首次推出以来,在其生成和发射机制方面进行了大量修改Luo和Chang(2005)对A. Kuzalovic版本的Shrew攻击,并提出了一种新的脉冲拒绝服务攻击或PDoS。PDoS的方法更先进,因为它们改变了假数据包的长度、持续时间和脉冲强度来发起攻击。因此,PDoS比LDoS对TCP服务器造成更大的损害他们能够战胜传统的洪水攻击,主要是因为:PDoS攻击者利用TCP的拥塞控制窗口漏洞。即使在网络中没有拥塞的情况下,假数据包脉冲的大小和持续时间也可以如此定时,以便每当TCP试图从慢启动阶段改变为附加增加阶段时,它会遭受沉重的流量,因此会丢弃数据包。由于这些攻击脉冲非常小,平均网络流量保持较低,因此PDoS脉冲无法检测到。http://dx.doi.org/10.1016/j.jksuci.2017.05.0041319-1578/©2017作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.com●36G. Kaur等人/沙特国王大学学报此外,PDoS攻击者需要较少的资源(机器人)来发起攻击。只有通过仔细计算TCP定时器的重传超时(RTO)定时器值,假分组才能被悄悄地发射以缩小TCP协调跨平面会话终止(CXPST)就是这样一种攻击,它使用250,000个机器人来破坏网络中核心路由器的服务(Schuchard等人, 2010年)。因此,这些攻击能够破坏TCP服务器的服务,而不会被雷达注意到,因此用于检测DDoS攻击的传统技术无法为其用户提供救济由于攻击行为没有固定的模式或特征,使得传统的入侵检测机制在追踪攻击时显得力不从心 它已被显示在布杨等人的作品。(2014);Ansari和Shevtekar(2011)认为,用于分析传统DDoS攻击的方法并不适合应对LDOS或PDOS攻击的威胁。此外,攻击的低平均脉冲流率的存在需要使用除了仅限于时域分析的技术之外的技术。信号处理技术由于其在点变化检测和数据变换中的能力而已经成功地应用于网络异常检测(Bhuyan等人,2014年; Sun等人,2004年)。网络流量的自相似性它测量在不同聚合级别上的模式Wavelet是计算不同尺度聚合的优秀工具。结合网络流量中的熵变化,我们因此可以在流量中寻找DoS攻击的存在 作者在该领域也做了大量的工作(Kaur等人,2010 a,b,2013,2012,2014,2013; Kaur,2015),并使用网络流的信号分析来检测网络中的PDoS异常流量。在本文中,我们解决两个问题,即探索可能性,提出了一种一步检测和分类DDoS攻击的方法,并对利用自相似性作为流量特征来检测异常流量进行了深入研究。本文介绍了我们的检测方法,并展示了如何基于小波多分辨率分析(MRA)的网络流量的痕迹在独立的尺度上,并且单个尺度不变性参数Hurst指数(H)可以用于检测PDoS攻击。2. 相关工作在异常检测领域工作的兄弟会已经提供了许多防御机制,以开发用于检测和缓解LDoS或PDoS渗透的工具。我们的工作重点是找到一个单一的参数,可以用来检测异常流量的网络流量通过测量的自相似度(SS)。因此,我们的相关工作侧重于审查这一领域的工作。低速拒绝服务攻击被A. Kiz-Bogovic et. Kuzbovic and Schlettly(2003).他们使用队列管理技术来跟踪网络流中虚假攻击脉冲的存在。DDoS攻击也被称为质量降低(RoQ)Ansari和Shevtekar(2011)。已知RoQ攻击通过操纵系统动态来破坏基于TCP的服务,即,一个系统的过境性质的特点,而不是其受约束的稳态容量。Sun等人(2004)使用动态时间缠绕(DTW)分析了LDoS脉冲的周期性模式。为了保护系统,他们观察到了实时流量与聚合流量的类似行为。然而,该方法不适合将LDoS攻击与聚合流量流分离。在Luo和Chang(2005)的开创性工作中,脉冲攻击是通过操纵Conges产生的,TCP的控制窗口的加性增加乘性减少(AIMD)阶段。利用精确定时的伪脉冲来阻止TCP的CCW从慢启动阶段向拥塞避免(CA)阶段增长。在Luo等人(2009)中,讨论了基于小波变换(WT)的解决方案,用于构建这些攻击的轮廓。设计了一个检测系统Vanguard,该系统构造了LDoS脉冲相对于正常的TCP数据包流的传入TCP数据包和传出TCPACK的轮廓。该方案具有较高的误检测可能性,并且需要大量的输入参数来分析攻击。Chen et al.(2005)也依赖于小波的尺度行为来从常规流量流中筛选Shrew攻击包。该方案无法检测所有可能的攻击情况。关于实际交通痕迹的工作也尚未完成。达伊诺蒂等人(2006)还在使用信号处理技术检测DDoS攻击的领域中工作。他们开发了一个两阶段的系统,以跟踪输入流量的连续小波变换(CWT)上的变点检测。CWT被用来建立入口流量计算系数的轮廓,以进行更精细的分析。将这些系数与存储的系数进行比较,并且使用高于阈值的偏差分数来追踪信号中的异常。该方法滞后于存储的CWT系数的不适应性,以描绘网络流量的动态特性。Hamdi和Boudriga(2007)也在基于小波的信号处理领域工作,用于分析DDoS攻击。他们使用Lipschitz正则性来区分异常交通行为和正常交通行为。然而,他们的方法是基于选择不同类型的母小波来分析各种DDoS攻击。因此,系统无法适应存在多种类型DDoS攻击的流量,同时还研究与讨论Lu和Ghorbani(2009)使用著名的公开可用的KDD他们的工作受到的帐户,他们没有使用一个单一的母小波分析的攻击。我们认为,使用不同的小波分析的目的,poses使系统不必要的复杂。使用不同类型的小波也成为一个障碍,使一个自动系统。其次,作者使用了15种不同的输入特征来构建攻击轮廓。大量的变量增加了自动化系统的时间复杂性。巴特利特等人(2009年)一直致力于信号处理领域也他们的研究工作是基于使用低通和高通过滤器对DDoS攻击进行分析的流量跟踪的完全分解。在他们的开创性工作中,独立的能量已经在独立的尺度上计算,超过阈值的能量值的偏差已经被用于在流量跟踪中建立异常流量行为的配置文件。这项工作仅限于小规模的周期性。Sheng等人(2010)通过应用重新缩放分析算法计算了赫斯特评分的变化。得分是根据输入参数计算的,如传入的互联网协议(IP)数据包、输入端口、传出的IP数据包、输出端口和分析LDoS攻击的协议类型。他们的工作受到使用的旧方法的基础上重新缩放分析,这是非常缓慢的计算聚合规模系数,因此是低效的,在处理实时数据包流量捕获和分析。张另一方面,等人(2007)使用了一种完全不同的方法,通过计算拥塞参与率(CPR)来过滤导致网络拥塞的跟踪分组流,并找出LDoS攻击分组。作者在一个非常不同的假设上工作,认为攻击者无法准确计算拥塞发生的时间。因此,当拥塞发生时,交通流将由规则流和异常流组成。由于拥塞,TCP服务器将迫使合法用户减少他们的数据包流量。但异常交通●G. Kaur等人/沙特国王大学学报37R;ÞÞ;;2;X1¼jj2xj¼ð Þ¼ðÞXX21;j=2-jj<$0k<$4- 1将保持不变。因此,可以使用CPR技术检测LDoS脉冲。然而,该方法高度依赖于假LDoS分组的高度存在,这可能并不总是这种情况。X. Jiang等人在Jiang et al.(2013)的工作中使用了可扩展的随机早期检测(RED)方案来检测基于流的DDoS(FDoS)和LDoS攻击。然而,他们的工作并不涉及对现场捕获的实际交通轨迹进行任何测试因此,RED方案处理大量网络数据包流入的可扩展性是值得怀疑的尽管在大多数作品中我们发现用于处理一般DDoS攻击和LDoS小波:小波可以被定义为函数wft;t2R,使得Rwft;dt0。因此,小波函数的伸缩和平移可以定义为:wjkt 2-j=2w02-jt-k 2-j=2w02-jt- 2-jk;j;k2Z2例如,函数wt2- 1t是小波函数w的2倍膨胀,函数wt2-k是小波函数w向右平移k个单位。因此,离散小波变换(DWT)可以针对过程fXt;t2Rg定义为:特别是在边缘网络上实现,这是Luo等人的一项有趣工作。(2014)被发现在路由器上完成。的dj;k¼ZXtwj;ktdtj;k2Z3算法在阻止Shrew攻击方面非常有效,但安装路由器特定算法的成本很高,因为在整个网络中升级路由器硬件所涉及的高昂成本。Lee et al.(2014)和Li(2006)的工作也被研究,以发展关于网络模拟和赫斯特参数的想法。在阅读了不同研究人员的作品后,我们能够确定PDoSn LDoS攻击与传统DDoS攻击之间的一些重要区别:首先,由于LDoS和PDoS攻击其次,攻击行为是隐蔽的,因此需要结合信号处理和统计分析的混合或分层技术。第三,互联网数据包流入和流出的速度呈指数级增长,因此基于流的聚合分析算法更适合于满足需求因此,DWT使用基于2的幂的平移和膨胀,并因此将时间序列x的信息映射到小波域中的近似(ax)和细节(dx)系数,即,xtXaxj;ktXdxj;kwj;ktj;k;j;k2Z4KK哪里/j k1/2-j=2/0k2-jt-k1;k2Z1/ 5wj k<$2-j=2w0<$2-jt-k<$;k2Z<$6<$近似系数被定义为信号x <$t <$$>与2-j=2/0<$2-jt-k<$的内积。类似地,细节系数被定义为信号xt与2-j=2w02-jt-k的内积。即axj;kxj/j;kt7因此应该调查一下dxj;kxjwj;k2018年10月28日因此,我们决定使用自相似性作为不同尺度下的聚合流量的属性,使用单参数赫斯特来检测不同变种的分布式拒绝服务攻击。本文的其余部分将在第4节介绍检测方法,在第5节介绍PDDoS攻击生成。TCP工作的细节和PDDoS攻击的建模,其次是PDDoS攻击的特征模拟框架。最后,第6节讨论了结果。3. 理论背景自相似性:自相似性是与标度不变性密切相关的术语.尺度不变性(Scale-Invariance)一词在数学中用于描述不随尺度变化的物体的某些特征。自相似性的本质是相同的模式在不同的聚集水平上按时间序列重复因此,如果一个物体是自相似的,那么它的部分在放大后就像整个物体的形状。一个过程fX<$t<$;t2Rg是自相似的当且仅当8C>0;fC-HXX=0;t2Rg=0;t 2R g =0;t2Rg=1其中_表示分配平等。这意味着过程X t服从标度律(Abry and Veitch,1998)。Leland等人(1993)首先发现了以太网业务流中存在自相似性.自相似性的程度用赫斯特参数H(Stoev等人,2005年)。虽然有各种类型的工具可用于计算尺度不变性,但小波是最适合执行这项工作,因为一个固有的性质,小波中也存在类似的性质(Abry和Veitch,1998)。小波分析因此定义了一个集合的嵌套子空间V j满足f. V-2V-1V0V1V2. .其中f[j2V j]Lg和{\j2V j}。从数学上讲,网络流量捕获信号现在可以在DWT中写为作为小波的加权和,其中其中,d∈j;k∈ Z是在倍频程j和时间k处的小波系数,并且w∈ k∈2-w0∈2t-k∈ Z;k ∈2Z是由母小波w获得的小波。 在我们的实验中,小波wj;k已被缩放(by因子2-j和母小波Db 6的移位(k个能量标度行为:Abry和Veitch(1998)引入了能量函数图,用于确定自相似过程的标度范围。用赫斯特指数H度量了这一过程的自相似性。统计能量函数Ej表示尺度j处包含的信号的平均能量,并定义为2j-1E d j;k2;j; kZ92jj0对于长度为n(n= 2m,meN)的时间序列,上述等式中的2j变为尺度j处的系数的数目Nj。因此,我们可以通过使用信号的细节系数dxj;k来计算在独立尺度j处长度为n的网络流量的平均能量(Ej)。此外,自相似过程在有限的频率范围内服从标度律的性质,因此可以通过谱估计来计算标度指数(如Hurst指数H)。根据比例定律,Ejdj;kjq<$Ejd0;kjq:2jqH110R●●如果●38G. Kaur等人/沙特国王大学学报¼公司简介2ð Þ¼ ð Þþ ð ÞX轴2X取q 2为二阶自相似过程,我们可以重写Eq。(10)作为Ejdxj;kj2~C2jc;其中cgamma函数 ^2H 1; 0H6 1<ð11Þ如果我们取方程两边的对数(11)我们得到log2Ejdxj;kj2~cjC;其中c< $2H<$1<$12<$小波变换,如等式所示。(2)和(3)遵循标度律,因此其如果过程Xt是自相似的,自相似度为H,H是赫斯特参数,则小波细节系数与H之间存在以下关系:选择做计算。读者可以参考(Kaur,2015)了解选择Db6的选择过程。对过滤后的网络流量数据包序列进行小波变换,分别计算不同层次的能量Db6的好处是它可以帮助在分解的每个能级上独立地计算能量在每一个层次上独立计算能量有助于在每一个尺度上应用独立的因此,我们在分析的所有级别上对滤波后的交通信号进行了2次下采样;因此,每个尺度上的信号都扩展了2次。为了胜利-在10ms间隔下,有213或8192个记录(在本文中称为块或blk),用于获得计算到13个尺度的分解系数。dj;k_2jH1d0;k13对于具有零均值和二阶矩的过程Xt,使用Eq. (10),可以导出其方差与HEdxj;k2Edx0;022j2H114把对数取到方程两边的底数。(14)我们得到log2Edxj;k2Edx0;02Ej2H115右边的方程是斜率的线性方程2小时 1分。因此,通过绘制log2Ej vsj从较精细j0)到较粗糙j生成的能量图J M 1比例尺可用于计算回归线的斜率。因此,我们可以用对数曲线的斜率来计算H。这些系数被用来计算Ej独立地在n-水平。使用上述值的对数标度图,使用线性回归分析绘制对数标度图以找出下限和上限标度范围在PDDoS攻击的检测中起着重要作用。用于检测PDDoS攻击的检测方法接下来在第4节中讨论。4. 检测方法学我们的检测方法包括如图所示的阶段。1.一、Kaur(2015)提供了详细信息,但为了保持读者的连续性,我们简要描述了两个重要阶段;本节中涉及小波系数计算的第二阶段和用于Hurst计算阈值测试的第三阶段。1.小波系数的计算:我们使用网络模拟器NS2来生成所需的网络流量。生成的网络流量的跟踪文件在阶段I中被过滤,以提供所有源目的地IP地址的源字节。该过滤后的流量被传递到第二阶段,在第二阶段计算小波系数。在第二阶段中,使用小波对输入信号进行分解,并计算n级系数。 图2(a)给出了用于计算n级小波系数的小波分解算法的细节。采用小波支持的快速金字塔算法构造多尺度分解系数.Db6小波,2. 赫斯特计算阈值测试:在下一阶段使用H计算自相似性。我们知道,网络流量表现出SS行为,H是自相似性的度量(Kuzbovic和Liwhtly,2003;Li,2006)。在正常情况下,网络流量遵循自相似行为,可以用H.而在DDoS攻击的情况下,流量的性质发生了变化,因为DDoS攻击及其检测是短程现象。 这是因为攻击者发出数据包突发并仅在短时间内攻击目标。这反过来又改变了流量的自相似行为。基于阈值,可以检查网络流量中是否存在攻击。如果我们假设在时间tai,攻击者开始发出攻击数据包,结果系统受到攻击。 因此,我们可以说,在时间t a;a2I之前, 该系统在正常状态下,然后处于攻击状态。设td;d2I表示我们对ta的估计。在时间td,受害者服务器上的总传入流量为ervtot normal td attack td。因此,以下事件触发攻击检测:u>d检测到 攻 击16次其中,u1/Hn-Ha表示当系统受到攻击时,正常业务条件下的Hn与Ha的偏差0: 04PdP 0: 115是阈值。H的偏差超过阈值表明流量中存在攻击 图 2 b给出了赫斯特计算的细节-改进算法在下一节中,我们已经对5.1中的脉动式拒绝攻击及其性质以及5.2中的建模要求进行了一般性介绍。生成PDDoS攻击的模拟框架在5.3中介绍。5. 脉动式DDoS攻击PDoS攻击有各种形式,可以分为时隙相关攻击(称为基于超时的PDoS)、基于TCP CCW的附加增加阶段的AIMD网络流量检测到攻击Fig. 1. 建议的通用检测方法。小波系数的第二阶段计算N/W流量的第一阶段三期Hurst计算阈值测试G. Kaur等人/沙特国王大学学报39(a) 算法1:计算小波系数要求:j=13,[C3,L3] = wavedec(x,13,db)确保:详细说明不同级别的系数。计算系数(cDi)、平方(sqDk)、平方和(sum(sqDk))、平均值(aveg)、总能量、平均值的对数(logDk)1.对于i = 13到1,2.cDi = detcoef(C3,L3,db,i);3.端4.对于i = 13到1,5.int findDuplicate();6.端7.对于k = 13至1,8.对于i = 1至1Dk,9.sqDk(i)= cDk(i)* cDk(i);10.端11.对于j = 13至1,12.int sum(j);13.平均能量jD(j)=(总能量jD(j)/lDk);14.int maximum(j)= maximum(j);15.logDk = log 2(平均能量jD(j));16.log(j,1)= j; log(j)= logDk;17.端18.端19. 对于k = 1至13,20.对于i = 1至1Dk,21.将sqDk(i)写入文件22.端23. 端24. fort = 1 to length(log)do25.WRITE t,log(t)TO File26. 端27. 对于t = 1到length(aveg)do28.写入aveg(t)到文件29. 端30. 对于t = 1到length(totenergyjD),31.将totenergyjD(t)写入文件32. 端33. return()(b) 算法2:计算赫斯特参数H要求:len =长度(L),x = L(:,1),y = L(:,2),tlower=1确保:赫斯特值H1.whiletlower = lendo2.int maximum = maximum +9;3.如果tupper = len,则4.return 0;5.return 0;6.int sum = 0;7.对于h = tlower:tupperdo8.sum = sum +x(h);9.sumy=sumy+y(h); squ=x(h).* x(h);10.sumsqu=sumsqu+squ;11.prodxy=x(h).* y(h);12.sumprodxy=sumprodxy+prodxy;13.n=(tupper-tlower)+1;14.A=[n sumx;sumxsumsqu];15.B=[nums; nums];16.N = max(A);17.执行高斯消元18.对于j=2:N,19.对于i=j:N,20.m = A(i,j-1)/A(j-1,j-1);21.A(i,:)= A(i,:)-A(j-1,:)*m;22.b(i)= b(i)-m*b(j-1);23.端24.端25.执行回代26.bx = zeros(N,1); bx(N)= b(N)/A(N,N);27.对于j=N-1:-1:1,28.bx(j)=(b(j)-A(j,j+1:N)*bx(j+1:N))/A(j,j);29.端30.端31.bx =bx(2,1);32.H=(1+gamma)/2;33.将hurst写入文件34.intmaximum = 1;35. end while36. return()图二. 用于计算小波系数和Hurst(H)值的算法。5.1. 基于超时的脉动DDoS攻击在基于超时的脉冲式拒绝服务攻击中,假脉冲数据包的目标是TCP的CCW的重新传输超时的确切时间。通过重复发送脉冲,启动周期性或非周期性拒绝服务。作为我们的重点领域,我们简要讨论了属性基于超时的脉动式拒绝服务攻击。非周期性脉冲式拒绝服务攻击:图3显示了非周期性PDoS类型的攻击。这种攻击基于这样的假设:攻击者知道受害TCP服务器的RTO值,因此能够导致每个重传的TCP数据包丢失。因此,受害者TCP服务器的拥塞窗口始终保持在1。图3示出了攻击脉冲与重传超时时刻一致。周期性脉动式拒绝服务攻击:基于同步超时的攻击在实际场景中 无法实现, 因此产生了 固定脉冲脉 动拒绝服务 攻击。Kuzalovic和Shrewly(2003)将这些攻击称为低速率拒绝服务攻击或Shrew攻击。5.2. 脉动式DDoS攻击TCP是一种面向连接的协议。它被各种应用程序所使用,如万维网,电子邮件服务,多媒体应用程序,文件传输等,依赖TCP的主要原因是它能够确保在接收端成功传递数据。为了满足这一要求,它使用拥塞控制算法(CCA)。CCA通过增加或减少链路中的分组数量来控制和保持链路速率。 它有两个控制阶段,称为慢启动(SIS)和加法增加乘法减少(AIMD)。AIMD是易受攻击的阶段,负责处理TCP数据包引起的网络流量。在这一阶段,TCP尝试分配网络带宽给它的用户.因此,当由于拥塞而发生多个数据包丢弃时,TCP会根据计算出的RTO值减少传出数据包的数量并缩小其CCW。当拥塞减少时,允许CCW以加法模式增长。因此,链路利用率稳步提高。因为在拥塞中,由于数据包丢失,这些数据包●●40G. Kaur等人/沙特国王大学学报¼¼攻击瞬间的t1t2t3RTO2*RTO4*RTO时图三.一个基于同步超时的脉冲式拒绝服务攻击的例子(Luo和Chang,2005)。因此,通过使用CCA收缩拥塞窗口,可以减少重传的次数。丢弃的数据包数量越少,所需的重传次数就越少。攻击者正是利用了TCP的CCA的这一特性。攻击者监视TCP流的往返周期并发起攻击,以禁止拥塞窗口增长。由于假脉冲攻击的及时攻击,拥塞窗口无法增长。其影响是TCP吞吐量的下降。我们使用TCPReno进行研究。我们的重点领域是基于超时的分布式脉动拒绝服务攻击或PDDoS攻击。因此,有必要了解TCP5.2.1. TCPTCP1. TCP重传的数据包取决于RTO分数。如果RTO非常低,并且往返时间很长,则在接收到发送方发送的ACK数据包之前将发生超时。因此,重复的重传将发生。因此,TCP超时和RTO分数需要同步。2. 但是如果RTO分数被设置为非常高的值,则对重传分组的影响将不会发生,但是如果拥塞发生,则从拥塞的恢复将被延迟。关于TCP定时器的详细研究,可以参考Allman和Paxson(1999)让我们举一个例子来理解TCP计时器的行为。假设有一个seq_non0的TCP段在时隙t0发送。考虑RTO1秒。 在没有拥塞和攻击的理想条件下,将在RTO超时到期之前接收数据段。因此,相应地计算新RTO。如果数据段或其ACK数据包没有到达接收方怎么办?然后在1秒的超时之前发送3个dup-ACK,并且发送方发起指数回退阶段。因此,拥塞窗口CCW缩小到1MSS,RTO = 1s,并在重传丢失的数据段时将其加倍为2s。但是,如果接收到段,但ACK数据包丢失,并且在1秒 2分之 3秒到期,然后RTO从2秒加倍到4秒,再次重传TCP段n0。这个过程一直在重复,在RTO到期之前收到ACK数据包否则进入慢启动阶段。5.2.2. PDDoS攻击的特征虽然我们可以相信TCP的超时算法在拥塞后减少和稳定网络流量到正常状态,但它也被黑客利用来拒绝仅依赖TCP的服务器向其常规用户提供服务。通过操纵PDOS假脉冲包的长度和突发持续时间,TCP服务可以被淹没,从而降低TCP假设有两个网络流量流。一个TCP数据包流和另一个DoS脉冲数据包流。假设攻击者在时隙t = 0和时隙t = 1和t = 1的第二次浪涌之间发送持续时间+ 2RTT(往返时间RTT),当TCP但是通过仔细测量RTT值,可以使短假脉冲与3、7、15重合。. 时间的RTT的TCP,从而可以迫使TCP拒绝服务,其合法用户。因此,可以通过以非常不可检测的低平均速率传输分组来实现成功上述TCP的超时机制已经能够成功地解决由于TCP分组及其影响而引起的网络拥塞的一些严重问题,但是相同的机制也可以用于针对仅依赖于TCP的分组传输的服务。攻击者可以如此选择攻击分组脉冲,使得TCP重复进入重传超时状态。由于TCP发送方窗口没有增长或增长非常缓慢,因此整个数据包传输受到影响。因此,接收器的响应变慢,因此用户无法获得快速服务。通过仔细规划攻击者数据包脉冲的长度和突发持续时间,攻击者可以完全挂起TCP服务器的服务,从而影响合法用户的时间和金钱。脉动式拒绝服务攻击的效果是给合法的TCP流伪造一个持续拥塞的网络的假象。由于脉冲引起的周期性分组丢失,合法TCP流根据CCA降低其发送速率。由于TCP的拥塞控制算法是一种加法-增加,乘法-减少(AIMD)算法,它需要很长的时间才能使发送速率恢复到原来的水平。脉冲式拒绝服务攻击有效地利用了TCP重传超时(RTO)机制的缺陷,并降低其服务质量。我们已经基于Kuzalovic和Kuzaltly(2003)的工作对我们的PDoS脉冲行为进行了建模,并使用以下符号表示脉冲长度、持续时间和时间段:● N是攻击期间发送的脉冲总数● TP是发作期。● TL是脉冲串长度(或脉冲宽度)。● RB是攻击爆发率。在图4中,我们已经示出了生成PDoS攻击流所需的变量,即,持续时间为L的脉冲、周期为T的确定性开-关模式中的突发速率R。为了发起有效的PDoS攻击,需要以速率R的假脉冲分组的齐射,以导致L长度和时间持续时间等于往返时间(RTT)尺度以及T时隙周期等于RTO尺度的常规业务分组的丢失。在喘振窗口期间,导致TCP服务器上的拥塞窗口缩小。通过选择不同的攻击假脉冲组合cwndG. Kaur等人/沙特国王大学学报41¼×图四、分布式PDOS攻击(Kuzbovic和Kizbhtly,2003年)。对于长度L和速率R的分组,我们可以生成不同类型的PDoS攻击。图4示出了分布式PDoS(PDDoS)攻击。在PDDoS攻击中,攻击从多个攻击节点发起。脉冲的时间周期彼此同步,使得当各个脉冲到达TCP受害者服务器时,服务器经历所有脉冲的聚合影响。通常情况下,PDoS攻击占用网络链路带宽的10%.由于分布式PDoS攻击流,可以进一步减少带宽的这种消耗。因此,攻击变得非常难以检测。为了发起有效的PDDoS攻击,需要多个PDoS攻击流,F11、F12. . 我们需要的。这些流量来自广泛分布在互联网上的不同主机。如果我们认为所有PDoS流的Tp、TL和RB都相同,那么我们可以将PDDoS流组定义为具有相同起始时间的攻击流的集合。因此,我们可以定义使用参数(N,FG,MG)的PDDoS攻击,其中N是流的总数,FG是攻击流组的数量,MG是FG中的流的数量。一般来说,N MG FG。根据三个特征Tp、TL和RB如何用于生成PDDoS攻击流,将攻击分为四类:1. 基于频率的攻击累积(AAF):第一类攻击代表PDDoS攻击,其中攻击周期是n台不同机器上均匀分布的流量的累积和因此,对目标系统的影响是每个攻击流频率的n2. 基于脉冲长度的攻击累积(AAL):第二类别对应于攻击的突发是不同机器上的n个流的均匀分布的突发的累积和的攻击攻击突发长度是每个攻击突发长度的n倍。3. 基于脉冲率的攻击累积(AAR):第三类PDDoS攻击是n个攻击流具有相同的开始时间,并且最终影响是所有攻击增强n倍的累积和。4. 混合攻击累积(MAA):最后一类PDDoS攻击是上述所有攻击的组合在下一节中,我们将详细介绍模拟框架5.3. PDDoS攻击生成的仿真框架进行了广泛的NS2仿真实验,以研究PDDoS攻击的影响通过改变业务周期(T)、脉冲长度(L)和突发速率(R)来产生不同的场景此外,攻击的强度也从中等的低拒绝服务攻击到重拒绝服务攻击不等。如图在图6中,基于TCP的业务流由存在于不同局域网(LAN)中的客户端客户端1节点到客户端m节点生成。TCP流量遵循不同的路径(即从client_node到access_router到core_router到victim_server)到达目的服务器。根据Mirkovic等人(2009)给出的指导原则,我们配置了两组链路,首先,核心路由器和接入路由器之间的链路设置为10 Mbps,延迟10核心路由器和接入路由器之间的链路成为瓶颈链路。选择BL的位置是为了模拟高带宽局域网,这些局域网通过有限的访问链路连接到过度配置的互联网核心。在研究缓冲区排队行为、聚合业务流和分布模型时,基于瓶颈链路的拓扑用于研究通过基于NS2的仿真模拟的网络业务(Raina等人, 2016; Tingting et al., 2015;Kumar等人, 2014年)。每个TCP发送端的起始时间是一个随机变量,均匀分布在0 ~ 2500 s之间.分别对TCP值为TCP 20、TCP 40和TCP 80的低、中、高业务速率进行了仿真,其中TCPx是TCP拥塞控制器产生的流的数量所有的TCP流都是TCP New Reno,它们的RTT在20 ms到460 ms的范围内,最小RTO等于1秒。模拟运行时间为3000 s。从攻击者1节点到攻击者n节点都有攻击者。所 有 攻 击 者 脉 冲 流 遵 循 不 同 的 路 径 ( 即 从 attack_er_node 到access_router到core_router到victim_server)到达其目的地服务器。流量跟踪用于模拟方脉冲串(Kuzbovic和Quittly,2003年)。的大小42G. Kaur等人/沙特国王大学学报×攻击包为50字节。 如图 6攻击者节点发送小的合作脉冲,使得当它们的脉冲到达路由器时,组合效果是淹没路由器的一个大流量突发。针对5、20、50和100个PDoS流生成不同的场景,其中5、20、50等是流的数量。突发长度(R)包括50,100,150和200毫秒的时间周期(T)范围从2500至2 105毫秒。攻击者发送攻击脉冲在随机的时间周期在50秒和1500秒之间。受害者服务器提供基于TCP的通用服务。在正常情况下,合法客户端连接到服务器,并从服务器获得满意的服务。当网络受到攻击时,僵尸要么发送洪水数据包,或者朝向服务器的脉动脉冲,并且因此网络在其瓶颈链路中遭受拥塞。由于链路上的流量过大,路由器丢弃了数据包。由于拥塞控制协议的目的是为了解决数据包丢失,以提供服务质量,因此,他们的服务是最受影响的数据包丢失。结果,吞吐量下降。接下来的第6节专门讨论了第6.1小节中对数标度图分析的结果,Hurst指数的计算见6.2小节。6. 结果和讨论为了详细研究脉动DDoS攻击对合法TCP流的影响,我们将其分为三类,即DoS5的A类、DoS20的B类和DoS100的C类,其中DoSx是x个流的DoS攻击每个类别分别具有TCP 20、TCP 40和TCP 80的低、中和高水平的合法流,其中TCPy是y个流的TCP流量脉冲长度(L)为短(50)、中(100,150)和长(200)ms,时间周期(T)为高频(4000- 图 5显示所有类别分布-对该模型进行了PDDoS攻击性能评估。6.1. 对数标度图我们绘制log2E与j的关系图,这为我们提供了独立尺度下变量的标度行为。通过在对数标度图中寻找直线行为来检测范围。小波频谱的对数视图,在一定尺度范围内具有直线,如果存在,则指示缩放。直线2H + 1的斜率给出标度指数H,可以测量和分析。在捕获的流量的一个窗口中,有213或8192条记录(在本文中称为块或blk)。图为区块编号。5、6、7和8。块5(红色曲线)只是TCP流量,在攻击开始之前。DoS流从块6(绿色曲线)开始,并且具有TCP和DoS流的流量。块8(蓝色曲线)具有后退的DoS流,块9(洋红色曲线)再次具有TCP流,仅在攻击之后。在第6.1.1节中讨论了正常TCP流量行为的对数标度图,随后讨论了存在不同PDDoS攻击的网络流量的对数标度图,即第6.1.2节中的类别A(低速率攻击流量)、第6.1.3节中的类别B(中等速率攻击流量)和第6.1.4节中的类别C(高速率攻击流量)。6.1.1. 攻击免费流量行为信号的周期性行为不能简单地添加到自相似网络流量序列中。因此,在尺度s处,即映射到周期性时间的尺度处,不存在能量的增加。相反,在对数标度图中可以看到能量的下降。曲线看起来像两条直线,在一个特定的比例下倾斜。根据我们的知识,我们知道TCP在其RTT中遵循周期性行为。因此,对于TCP,我们分析了RTT以ms时间单位为较小尺度的对数标度图。图7示出了三种不同强度的无攻击独立TCP流的对数标度图; TCP 20、TCP 40和TCP 80,其中TCP中的x是TCP流的数量。图五、PDDoS攻击流的分类(L-x是DoS脉冲数据包的长度G. Kaur等人/沙特国王大学学报43Client1LAN1客户m-1LANmClient2LAN2一局域一互联网互联网客户m客户机LAN3一CCCCCCCCCC一S受害者服一攻击者1LANX一CC局域网(AN)一个核心路由器Iternet通过互联网中的中间路由器到攻击数据包流正常数据包流客户一C攻击者2LANY一攻击者兰兹图
我的内容管理
展开
