金鑫，安茂波，于濤，劉佳

（國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京　100031）

一種新的RoQ攻擊的識別方法

金鑫，安茂波，于濤，劉佳

（國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京100031）

0　引言

“互聯(lián)網(wǎng)+”概念的提出，給各行各業(yè)提供了一種新的發(fā)展模式，但是當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)給“互聯(lián)網(wǎng)+”的推動蒙上了一層陰影。本文針對網(wǎng)絡(luò)安全中常出現(xiàn)的拒絕服務(wù) （DoS）攻擊演變過來的一種新的攻擊手段——降質(zhì)（Reduction of Quality，RoQ）攻擊，所謂的降質(zhì)攻擊主要是針對網(wǎng)絡(luò)中的瓶頸鏈路而非網(wǎng)絡(luò)終端，同時該攻擊手段采用較小的攻擊成本，通過瞬間的攻擊方式代替?zhèn)鹘y(tǒng)的DoS的持續(xù)攻擊方式 （如UDP的flooding攻擊等），以降低或者抑制TCP服務(wù)質(zhì)量作為攻擊的效果。

當(dāng)前對于RoQ攻擊的研究國內(nèi)外學(xué)者大多數(shù)是對RoQ攻擊的單連璐的檢測分析，如Yang［2］等人提出了一種基于廣義熵和信息距離這兩種信息度量的監(jiān)測方法，用于檢測鏈路受到RoQ攻擊后的流量；Chen Hao［1］等人提出了使用頻譜特征分析的方法，通過RoQ攻擊前后流量在時域以及頻域等分布情況來確定網(wǎng)絡(luò)攻擊的檢測，這些測試方法都是針對單鏈路的監(jiān)測，而在實際網(wǎng)絡(luò)應(yīng)用中RoQ攻擊往往是針對多條鏈路的攻擊，然而針對全網(wǎng)骨干鏈路的RoQ檢測的研究現(xiàn)在還較少，為此本文提出一種新的RoQ攻擊的識別方法——L-RoQ（Locating the RoQ attack in backbone network），該方法主要通過頻譜分析技術(shù)對骨干網(wǎng)流量進(jìn)行實時監(jiān)測，當(dāng)出現(xiàn)流量異常狀況時自動識別是否為RoQ攻擊，L-RoQ方法實現(xiàn)了多鏈路流量攻擊的監(jiān)測。

1　一種新的RoQ識別方法介紹

1.1RoO攻擊原理

RoQ攻擊主要是針對網(wǎng)絡(luò)中的TCP協(xié)議，它利用了TCP擁塞控制的自適應(yīng)機(jī)制，通過持續(xù)的流量填充的方式抑制了正常TCP數(shù)據(jù)的交互，這樣就達(dá)到了降低網(wǎng)絡(luò)中基于TCP應(yīng)用的服務(wù)質(zhì)量，因此將該類攻擊稱為降質(zhì)攻擊。

如圖1描述了RoQ攻擊的基本原理，圖中橫軸表示網(wǎng)絡(luò)運行時間，時間T表示RoQ攻擊的周期，縱軸表示攻擊的瞬時網(wǎng)絡(luò)脈沖速率，其大小的控制以滿足足夠影響當(dāng)前TCP數(shù)據(jù)正常交流為最低脈沖速率要求。圖中顯示了RoQ攻擊所具備的以下幾個特征：1＞RoQ需具備流量突變的特性，這樣才會產(chǎn)生瞬時高速的流量脈沖；2＞周期攻擊性，由圖1可以得出RoQ的攻擊是周期性的，根據(jù)RoQ的攻擊原理—通過瞬時流量脈沖占用帶寬降低TCP通信的效率，可知RoQ的攻擊必須具備周期性攻擊的特點，這樣才能確保TCP傳輸效率的周期性降低，達(dá)到網(wǎng)絡(luò)攻擊的效果。

圖1　 RoQ瞬時攻擊脈沖示意圖

1.2一種新的RoO攻擊的識別方法

（1）動態(tài)時間序列

本文所采用的檢測技術(shù)是基于滑動窗口技術(shù)的，這樣為了確保時間連續(xù)性的同時降低采樣數(shù)據(jù)所需的存儲成本，定義滑動窗口模型為w（S，ω，β），其中S為數(shù)據(jù)流，ω為滑動窗口的長度，β為滑動窗口的滑動步長，如圖2所示為一個滑動窗口模型，定義S（i，j）為第i～j節(jié)點間的數(shù)據(jù)流，該數(shù)據(jù)流遵循w（S，ω，β）協(xié)議，滑動窗口寬為ω，步長為β。

圖2　滑動窗口協(xié)議模型圖

（2）檢測模型的建立

網(wǎng)絡(luò)流的檢測需要確定檢測模型，由于網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，多鏈路處理需要對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行劃分為模型中制定的流結(jié)構(gòu)，本文采用文獻(xiàn)［4］中提出的檢測模型，定義TOD流［3］度量矩陣X（xij），其中xij表示第j個TOD流在第i個記錄時刻的時間間隔內(nèi)的流量值。對TOD流進(jìn)行P次采樣得出X=［X1，X2，…，Xp］，進(jìn)行n次觀測得出觀測矩陣X。

流量異常的定位采用統(tǒng)計分布中的T2統(tǒng)計，如公式（1）所示計算器控制限，其中m為全部主特征個數(shù)，a為異常個數(shù)，α為顯著性水平，F(xiàn)am-1，α為對應(yīng)于顯著水平α且自由度為a（m-1）條件下的F分布臨界值，通過查表得出當(dāng)臨界值超過99%的時候則證明網(wǎng)絡(luò)出現(xiàn)異常（此時T2≈7.8）。

（3）一種新的RoQ攻擊識別方法

通過1.2（2）中檢測模型的建立，本文提出一種新的RoQ檢測算法L-RoQ。

根據(jù)以上算法描述，頻譜分析的算法復(fù)雜度為o （n，logn），相比經(jīng)典RoQ攻擊算法［5］在計算成本上有顯著的提升。

2　實驗驗證

實驗通過NS-3進(jìn)行仿真驗證，設(shè)置一個50個節(jié)點的網(wǎng)絡(luò)模型，通過設(shè)置某幾個節(jié)點為攻擊節(jié)點，對網(wǎng)絡(luò)中鏈路進(jìn)行RoQ攻擊，其余節(jié)點運行L-RoQ算法，對實驗數(shù)據(jù)進(jìn)行分析計算得出圖3所示的T2統(tǒng)計量結(jié)果圖，根據(jù)結(jié)果顯示當(dāng)T2值大于7.8時則出現(xiàn)RoQ攻擊，并且通過階段性實驗得出圖4所示的結(jié)果圖。

圖3　一個周期內(nèi)的T2統(tǒng)計量結(jié)果圖

圖4　 T2周期檢測圖

同時對某一節(jié)點的流量進(jìn)行TCP流量統(tǒng)計，如圖5所示。

圖5中通過L-RoQ算法多網(wǎng)絡(luò)中多條鏈路進(jìn)行監(jiān)測，通過對實驗數(shù)據(jù)分析得出TCP流量在周期內(nèi)呈現(xiàn)瞬間下降的現(xiàn)象，通過實驗證明L-RoQ算法對復(fù)雜網(wǎng)絡(luò)RoQ攻擊的識別的準(zhǔn)確度是比較高的。

圖5　 L-RoQ對多節(jié)點RoQ攻擊識別流量圖

3　結(jié)語

RoQ攻擊的監(jiān)測研究作為網(wǎng)絡(luò)安全研究的重要研究課題，已得到了學(xué)者們的廣泛關(guān)注，本文提出了一種診斷全網(wǎng)RoQ攻擊的L-RoQ算法，該算法從全局角度考慮對多鏈路進(jìn)行RoQ攻擊識別，實驗證明該方法在大規(guī)模網(wǎng)絡(luò)中對RoQ攻擊的識別是有效的。

［1］Chen Hao，Chen Yu，Summerville D H，et al.An optimized design of reconfigurable PSD accelerator for online shrew DDoS attack setection［C］.Proc of INFOCOM 2013.Piscataway，NJ:IEEE，2013:1780-1787.

［2］Yang X，Ke L，Wan L.Low-rate DDoS attacks detection and traceback by using new information Forensics and Security，2011，6（2）: 424-438

［3］Gursun G，Grovella M.On traffic matrix completion in the internet［C］.Proc of ACM IMC’12.New York:ACM，2012:399-412.

［4］文坤等．骨干網(wǎng)絡(luò)中RoQ攻擊的檢測，定位和識別［J］．計算機(jī)研究與發(fā)展，2015，52（4）：813-822.

［5］Guirguis M，Tharp，J，Bestavros A，et al.Assessment of vulnerability of content adaptation mechanisms to RoQ attacks［C］.Proc of the8th Int Conf on Networks（09'ICN）.Piscataway，NJ:IEEE，2009:445-450.

金鑫，博士，高級工程師，研究方向為下一代通信網(wǎng)絡(luò)信息安全

安茂波（1970-），男，山東人，本科，工程師，研究方向為電信網(wǎng)絡(luò)安全

于濤（1981-），男，青海人，本科，研究方向為網(wǎng)絡(luò)新媒體在廣電的互融

劉佳（1985-），女，河北滄州人，本科，研究方向為網(wǎng)絡(luò)信息安全與防范、語音識別技術(shù)

RoQ Attack；Network Security；Complex Network；Multi-Link

A New Identify Method for RoQ Attack

JIN Xin，AN Mao-bo，YU Tao，LIU Jia
（National Computer Network and Information Security Administration Center，Beijing 100031）

1007-1423（2015）29-0003-04

10.3969/j.issn.1007-1423.2015.29.001

2015-09-29

2015-10-12

RoQ攻擊作為當(dāng)前流行的網(wǎng)絡(luò)攻擊手段，成為學(xué)者們研究網(wǎng)絡(luò)安全的重點課題，傳統(tǒng)的RoQ識別主要是針對單鏈路監(jiān)測，這在當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境中缺乏說服力，提出一種面向多鏈路診斷的RoQ識別方法——L-RoQ，該方法從全局角度實時監(jiān)測網(wǎng)絡(luò)流量變化情況，發(fā)現(xiàn)鏈路的異常情況并準(zhǔn)確的識別攻擊，通過實驗驗證，該方法實時有效地識別RoQ攻擊。

RoQ攻擊；網(wǎng)絡(luò)安全；復(fù)雜網(wǎng)絡(luò)；多鏈路

The RoQ attack as the current popular network attacks，has became the hot research.The traditional RoQ identify mainly monitoring the sing-link，so it is not convincing during the complex network.Proposes an new RoQ identify method which used to survey the multilink—L-RoQ，this arithmetic monitors the network flowing from the global angle，finds the abnormal link and identifies the attack.This algorithm is checked using the experimental，it can identify the RoQ attack accurately.