吳志軍，潘卿波，岳猛

?

基于ACK序號(hào)步長(zhǎng)的LDoS攻擊檢測(cè)方法

吳志軍，潘卿波，岳猛

（中國(guó)民航大學(xué)電子信息與自動(dòng)化學(xué)院，天津 300300）

低速率拒絕服務(wù)（LDoS, low-rate denial of service）攻擊具有極強(qiáng)的隱蔽性，對(duì)大數(shù)據(jù)中心和云計(jì)算平臺(tái)構(gòu)成潛在的安全威脅。在研究LDoS攻擊期間網(wǎng)絡(luò)流量變化的基礎(chǔ)上，對(duì)數(shù)據(jù)接收端回傳給發(fā)送端的ACK數(shù)據(jù)分組進(jìn)行統(tǒng)計(jì)分析，揭示了其序號(hào)步長(zhǎng)在LDoS攻擊期間具有的波動(dòng)特征。采用排列熵的方法提取該特征，提出了一種基于ACK序號(hào)步長(zhǎng)排列熵的LDoS攻擊檢測(cè)方法。該方法通過采集發(fā)送端收到的ACK數(shù)據(jù)分組，對(duì)其序號(hào)進(jìn)行采樣并計(jì)算步長(zhǎng)；再利用對(duì)時(shí)間敏感性較強(qiáng)的排列熵算法檢測(cè)出步長(zhǎng)突變時(shí)刻，達(dá)到檢測(cè)LDoS攻擊的目的。在實(shí)際網(wǎng)絡(luò)環(huán)境中設(shè)計(jì)和搭建了測(cè)試平臺(tái)并對(duì)所提方法進(jìn)行了驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，所提方法具有較好的檢測(cè)性能，取得了較好的檢測(cè)效果。

低速率拒絕服務(wù)；ACK序號(hào)步長(zhǎng)；排列熵算法；檢測(cè)

1 引言

低速率拒絕服務(wù)（LDoS, low-rate denial of service）攻擊是一種面向TCP的DoS攻擊方式[1-2]。區(qū)別于泛洪式攻擊，LDoS攻擊主要利用端系統(tǒng)或網(wǎng)絡(luò)中常用的自適應(yīng)機(jī)制所存在的安全漏洞，通過發(fā)送周期性的短脈沖數(shù)據(jù)流，使網(wǎng)絡(luò)一直處于不穩(wěn)定的狀態(tài)，從而導(dǎo)致鏈路傳輸質(zhì)量差、傳輸效率低，大大降低了被攻擊目標(biāo)的服務(wù)質(zhì)量。

LDoS攻擊是傳統(tǒng)DoS攻擊的變形。傳統(tǒng)DoS攻擊通過不斷向被攻擊目標(biāo)發(fā)送高速數(shù)據(jù)分組，流量突變明顯，單從流量分析可以較容易地檢測(cè)出來。LDoS攻擊則是以一定周期間歇性地發(fā)送攻擊數(shù)據(jù)分組，大大降低被發(fā)現(xiàn)的概率。一個(gè)完整的LDoS攻擊脈沖可由三元組（,,）組成[3-4]。其中，為L(zhǎng)DoS攻擊周期，理想的攻擊周期應(yīng)與TCP的超時(shí)重傳（RTO, retransmission time out）相同，這樣可以引起鏈路的重度擁塞，使TCP發(fā)送端一直處于超時(shí)重傳狀態(tài)，擁塞窗口（CWND, congestion window）始終處于最小值。雖然這種攻擊效果最佳，但需要精確估計(jì)RTO大小，且實(shí)際網(wǎng)絡(luò)復(fù)雜多變，所以一般會(huì)調(diào)整為一個(gè)定周期，使鏈路頻繁處于快速重傳狀態(tài)，也能達(dá)到良好的攻擊效果，本文采用的就是不變周期的攻擊方式；為攻擊脈沖寬度，是一次攻擊數(shù)據(jù)分組持續(xù)的時(shí)間，一般取2~3個(gè)RTT（往返時(shí)延）；為攻擊脈沖的最大速率，一般接近鏈路瓶頸速率。

LDoS攻擊數(shù)據(jù)流平均速率低，且完全隱藏在TCP流中，不易被察覺，故傳統(tǒng)的DoS檢測(cè)方法很難對(duì)LDoS攻擊進(jìn)行檢測(cè)和防御。TCP主要依靠確認(rèn)（ACK）機(jī)制才能使數(shù)據(jù)順利傳輸，所以可以利用ACK流量來反映TCP的流量變化。因此，本文通過觀測(cè)ACK數(shù)據(jù)分組，提取其序號(hào)步長(zhǎng)變化為主要特征，提出一種基于ACK序號(hào)步長(zhǎng)異常波動(dòng)的LDoS檢測(cè)方法，在實(shí)際網(wǎng)絡(luò)環(huán)境真實(shí)平臺(tái)下的實(shí)驗(yàn)驗(yàn)證，該方法具有良好的檢測(cè)效果。

2 相關(guān)工作

LDoS攻擊一經(jīng)發(fā)現(xiàn)便引起了相關(guān)學(xué)者的關(guān)注和研究，尤其對(duì)LDoS攻擊的檢測(cè)手段更是重中之重。目前，對(duì)于LDoS攻擊的檢測(cè)方法大多是基于網(wǎng)絡(luò)流量特征的，包括時(shí)域特征、頻域特征、波形特征等。

基于時(shí)域特征的方法主要通過分析網(wǎng)絡(luò)流量在時(shí)域上的變化，提取正常流量和異常流量的時(shí)域特征進(jìn)行比較，從而判斷是否存在LDoS攻擊。例如，Kwok等[5]提出了HAWK檢測(cè)方法，通過觀測(cè)采樣時(shí)間內(nèi)高速脈沖的數(shù)量，若發(fā)現(xiàn)其數(shù)量超過閾值則判斷存在攻擊；Xiang等[6]提出了利用廣義熵和信息距離作為度量指標(biāo)來量化不同概率分布的網(wǎng)絡(luò)流量之間的差異，計(jì)算廣義熵值和信息距離來區(qū)分正常流量和LDoS攻擊流量，以此進(jìn)行低速率拒絕服務(wù)攻擊的判定；Yuhei等[7]提出了一種利用路由器快速分組匹配的功能來檢測(cè)DoS攻擊，并證明了突發(fā)攻擊流量的持續(xù)時(shí)間可以作為正常流量和LDoS攻擊流量的區(qū)分特性。基于頻域特征的方法結(jié)合了信號(hào)處理技術(shù)，通過對(duì)時(shí)間序列的頻域轉(zhuǎn)化，再利用一些經(jīng)典濾波和檢測(cè)算法對(duì)得到的頻域特征加以處理，從而實(shí)現(xiàn)對(duì)LDoS攻擊流量的檢測(cè)和過濾。例如，Cheng等[8]提出了在頻域利用歸一化累積功率譜密度（NCPSD, normalized cumulative power spectrum density）檢測(cè)LDoS攻擊的方法，利用正常流量和攻擊流量NCPSD之間的最大距離位置作為檢測(cè)依據(jù)來判斷LDoS攻擊；何炎祥等[9]提出了一種基于小波特征提取的LDoS檢測(cè)方法，利用離散小波變換將網(wǎng)絡(luò)流量分為高、中、低3個(gè)頻率分量，以此來尋找LDoS攻擊流量；Paul等[10]基于費(fèi)雪統(tǒng)計(jì)測(cè)試和西格爾統(tǒng)計(jì)測(cè)試來分析LDoS攻擊流量的頻譜特性，并表明當(dāng)存在多個(gè)復(fù)合周期的LDoS攻擊脈沖時(shí)，西格爾統(tǒng)計(jì)測(cè)試可以更有效地識(shí)別低速率拒絕服務(wù)攻擊?；谙嚓P(guān)檢測(cè)的方法主要根據(jù)在發(fā)生LDoS攻擊時(shí)，網(wǎng)絡(luò)系統(tǒng)會(huì)產(chǎn)生一系列的一致性特征，此時(shí)通過一些相關(guān)算法就可從對(duì)LDoS攻擊流進(jìn)行檢測(cè)。例如，Wei等[11]通過計(jì)算不同流量之間的皮爾遜相關(guān)系數(shù)，設(shè)定判定閾值來檢測(cè)DDoS攻擊。Bhuyan等[12]利用一種局部秩相關(guān)檢測(cè)（PRCD, partial rank correlation detection）的方法來檢測(cè)低速率和高速率DDoS攻擊，一旦從PRCD估計(jì)中根據(jù)預(yù)設(shè)閾值發(fā)現(xiàn)惡意流量，就請(qǐng)求邊緣路由器停止將該流量轉(zhuǎn)發(fā)到下游路由器，實(shí)驗(yàn)表明該方法具有較高的檢測(cè)準(zhǔn)確度。

目前的檢測(cè)方法基本都是從復(fù)雜的背景流量中檢測(cè)出隱藏的LDoS攻擊流量，但由于LDoS攻擊流具有低速率和高隱蔽的特點(diǎn)，現(xiàn)有的檢測(cè)方法在準(zhǔn)確性、實(shí)時(shí)性、簡(jiǎn)易性方面都存在一些不足。而LDoS在影響正常TCP流量的同時(shí)也會(huì)對(duì)ACK流量產(chǎn)生一定影響，許多學(xué)者基于ACK流量的變化也提出了一系列檢測(cè)方法。例如，Chen等[13]提出了通過分析網(wǎng)絡(luò)存在LDoS攻擊時(shí)3種流量的異常變化，即ACK流量異常分布、ACK流量異常波動(dòng)、數(shù)據(jù)量大小異常變化，制定相應(yīng)的判決準(zhǔn)則對(duì)LDoS攻擊進(jìn)行檢測(cè)。本文在對(duì)ACK流量分析的基礎(chǔ)上發(fā)現(xiàn)，等時(shí)間間隔內(nèi)，接收端每次確認(rèn)的數(shù)據(jù)量（即相鄰2個(gè)時(shí)刻ACK序號(hào)的差值）在正常情況和受到LDoS攻擊時(shí)存在較大差異，可以將這種差異作為檢測(cè)LDoS攻擊的特征。因此，提取網(wǎng)絡(luò)存在LDoS攻擊時(shí)ACK序號(hào)步長(zhǎng)的波動(dòng)特征，結(jié)合排列熵算法判定步長(zhǎng)突變時(shí)刻并區(qū)分正常波動(dòng)和異常波動(dòng)，進(jìn)而判斷出LDoS攻擊是否存在及其攻擊時(shí)刻。

3 基于ACK序號(hào)步長(zhǎng)分析的攻擊檢測(cè)方法

通過對(duì)正常網(wǎng)絡(luò)和存在LDoS攻擊時(shí)ACK數(shù)據(jù)分組的采樣分析發(fā)現(xiàn)，ACK序號(hào)步長(zhǎng)的波動(dòng)程度存在明顯差異，且在遭受LDoS攻擊的瞬間，步長(zhǎng)存在突變行為。針對(duì)這種波動(dòng)差異，可以用熵值的方法對(duì)其進(jìn)行度量并加以區(qū)分，故本文運(yùn)用對(duì)時(shí)間敏感性較強(qiáng)的排列熵算法，設(shè)定相應(yīng)閾值來檢測(cè)步長(zhǎng)突變點(diǎn)，以確定LDoS攻擊的時(shí)刻。

3.1 ACK序號(hào)步長(zhǎng)特征分析

在數(shù)據(jù)傳輸過程中，ACK序號(hào)為接收端期望收到發(fā)送端下一個(gè)分組段的第一個(gè)數(shù)據(jù)字節(jié)的序號(hào)，TCP中接收端一般采用累積確認(rèn)的方式。即接收端不必對(duì)收到的分組逐個(gè)發(fā)送ACK確認(rèn)，而是在收到幾個(gè)分組后，對(duì)按序到達(dá)的最后一個(gè)分組發(fā)送確認(rèn)[14]。這樣一個(gè)字節(jié)號(hào)為的ACK意味著直到的字節(jié)（但不包含）已經(jīng)被成功接收。從發(fā)送端收到的ACK來看，當(dāng)前ACK序號(hào)與上次ACK序號(hào)之差可以代表每次被確認(rèn)的數(shù)據(jù)量，正常傳輸中，每次被確認(rèn)的數(shù)據(jù)量基本是恒定的，而受到LDoS攻擊后，由于要頻繁進(jìn)入快速重傳和快速恢復(fù)階段，接收端會(huì)回傳重復(fù)的ACK讓發(fā)送端重傳數(shù)據(jù)，此時(shí)ACK序號(hào)差值將會(huì)發(fā)生很大變化。具體交互過程如圖1所示。

圖1 正常情況和受到LDoS攻擊后快速重傳交互示意

為便于接下來的分析與研究，針對(duì)6種場(chǎng)景展開研究。

E1：僅存在單條TCP流且沒受到任何攻擊。

E2：僅存在單條TCP流且受到LDoS攻擊。

E3：存在多條相同RTT的TCP流相互競(jìng)爭(zhēng)，并添加適當(dāng)非LDoS攻擊突變，但不受到LDoS攻擊。

E4：存在多條相同RTT的TCP流相互競(jìng)爭(zhēng)，且受到LDoS攻擊。

E5：存在多條不同RTT的TCP流相互競(jìng)爭(zhēng)，并添加適當(dāng)非LDoS攻擊突變，但不受到LDoS攻擊。

E6：存在多條不同RTT的TCP流相互競(jìng)爭(zhēng)且受到LDoS攻擊。

從圖2可以得到以下結(jié)論。

1) 在僅有一條TCP流的情況下，正常傳輸數(shù)據(jù)時(shí)ACK序號(hào)步長(zhǎng)波動(dòng)幅度很小，即等時(shí)間間隔內(nèi)接收端接收的數(shù)據(jù)量比較穩(wěn)定，而受到LDoS攻擊后，ACK序號(hào)步長(zhǎng)波動(dòng)的較為劇烈且呈現(xiàn)一定的周期性。

2) 在多條TCP流的情況下，分為以下2種情況介紹。①當(dāng)存在多條相同RTT的TCP流同時(shí)傳輸數(shù)據(jù)時(shí)，由于相同的RTT使各路徑相互競(jìng)爭(zhēng)較為激烈，ACK序號(hào)步長(zhǎng)波動(dòng)幅度較大，波動(dòng)劇烈；②當(dāng)存在多條不同RTT的TCP流同時(shí)傳輸數(shù)據(jù)時(shí)，由于各路徑的時(shí)延不同，各路徑之間的競(jìng)爭(zhēng)不如相同RTT時(shí)激烈，ACK序號(hào)步長(zhǎng)波動(dòng)幅度較小，但波動(dòng)劇烈，呈現(xiàn)不規(guī)則狀態(tài)。鏈路受到LDoS攻擊后，無論場(chǎng)景E4和E6，此時(shí)發(fā)送端反復(fù)進(jìn)入快速重傳階段，接收端每次接收的數(shù)據(jù)量始終比較少，ACK序號(hào)步長(zhǎng)的波動(dòng)幅度整體降低，但相比場(chǎng)景E3和E5（不存在LDoS攻擊時(shí)）排列得更加規(guī)則，具有明顯的差異，故將其定義為ACK序號(hào)步長(zhǎng)的異常波動(dòng)。

圖2 6種網(wǎng)絡(luò)場(chǎng)景的ACK序號(hào)步長(zhǎng)波動(dòng)對(duì)比

根據(jù)上述分析結(jié)果，可以利用ACK序號(hào)步長(zhǎng)波動(dòng)的差異性進(jìn)行LDoS攻擊的檢測(cè)。由于實(shí)際網(wǎng)絡(luò)環(huán)境中都是多條TCP流共存，僅有一條TCP流的情況屬于特例。因此，在后續(xù)研究中，本文主要針對(duì)多條TCP流的場(chǎng)景（E3~E6）的ACK序號(hào)步長(zhǎng)異常波動(dòng)進(jìn)行檢測(cè)分析。

3.2 LDoS攻擊檢測(cè)

由上述分析可知，受到LDoS攻擊時(shí)ACK序號(hào)步長(zhǎng)的波動(dòng)范圍和規(guī)則程度均與正常網(wǎng)絡(luò)環(huán)境下相比有較為明顯的差異，呈現(xiàn)出一種混亂無序和規(guī)則有序相互突變的現(xiàn)象，采用排列熵值可以清晰地描述這種異常突變。事件分布越無序，熵值越大；事件分布越有序，則熵值越小。

本文目標(biāo)主要是在LDoS攻擊的早期時(shí)刻檢測(cè)出ACK序號(hào)步長(zhǎng)的異常波動(dòng)，從而發(fā)現(xiàn)LDoS攻擊。文獻(xiàn)[13]采用“移動(dòng)極差”（MR, moving range）來分析一組序列的波動(dòng)程度，移動(dòng)極差需要計(jì)算一個(gè)觀測(cè)窗口內(nèi)最大值與最小值的差，涉及具體數(shù)值的計(jì)算且易受到極端值的影響。故這里采用一種基于熵值的突變檢測(cè)算法——排列熵（PE, permutation entropy）算法。排列熵算法是一種衡量一維時(shí)間序列復(fù)雜度的平均熵參數(shù)[15]，它不涉及具體數(shù)值的計(jì)算，只關(guān)心相空間重構(gòu)后相鄰2個(gè)數(shù)值的大小關(guān)系，避免了極端值的影響，對(duì)突變具有較好的識(shí)別性。

對(duì)其進(jìn)行相空間重構(gòu)，得到矩陣為

基于上述分析，采用ACK序號(hào)步長(zhǎng)波動(dòng)特征的LDoS攻擊檢測(cè)流程如圖3所示。

4 實(shí)驗(yàn)及結(jié)果分析

為了驗(yàn)證采用排列熵算法檢測(cè)LDoS攻擊的性能，本文在實(shí)際網(wǎng)絡(luò)平臺(tái)中搭建了測(cè)試環(huán)境，對(duì)所提LDoS攻擊檢測(cè)方法進(jìn)行了測(cè)試。

圖3 基于ACK序號(hào)步長(zhǎng)波動(dòng)特征的LDoS檢測(cè)流程

4.1 實(shí)驗(yàn)環(huán)境

本文方法的網(wǎng)絡(luò)測(cè)試環(huán)境是參考美國(guó)萊斯大學(xué)的Knightly教授指導(dǎo)的研究團(tuán)隊(duì)設(shè)計(jì)的網(wǎng)絡(luò)環(huán)境[1-2]，它是一個(gè)啞鈴形狀的拓?fù)浣Y(jié)構(gòu)，如圖4所示。該測(cè)試環(huán)境由7臺(tái)計(jì)算機(jī)、一個(gè)交換機(jī)、一個(gè)路由器和一個(gè)服務(wù)器組成。其中，交換機(jī)與路由器之間的瓶頸鏈路為10 Mbit/s。主機(jī)1~主機(jī)3為合法用戶，鏈路帶寬均為100 Mbit/s，單向時(shí)延均為20 ms。傀儡機(jī)4~傀儡機(jī)6在控制機(jī)7的控制下發(fā)送LDoS攻擊流量，攻擊參數(shù)為：攻擊速率=10 Mbit/s，攻擊脈寬=200 ms，攻擊周期=1.2 s。

圖4 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境所用檢測(cè)算法的相關(guān)參數(shù)如表1所示。

表1 測(cè)試環(huán)境所用檢測(cè)算法相關(guān)參數(shù)

4.2 實(shí)驗(yàn)內(nèi)容

基于ACK序號(hào)步長(zhǎng)波動(dòng)特征的LDoS攻擊檢測(cè)實(shí)驗(yàn)主要包括2個(gè)內(nèi)容。

1) 對(duì)單條TCP流是否受到LDoS攻擊進(jìn)行檢測(cè)。

2) 對(duì)多條TCP流是否受到LDoS攻擊進(jìn)行檢測(cè)。

為了比較其他攻擊對(duì)ACK序號(hào)步長(zhǎng)的影響，在實(shí)驗(yàn)1)和實(shí)驗(yàn)2)中還加入了傳統(tǒng)泛洪拒絕服務(wù)（FDoS, flood DoS）攻擊進(jìn)行對(duì)比實(shí)驗(yàn)。

1) 單條TCP流

實(shí)驗(yàn)首先驗(yàn)證本文檢測(cè)方法在只有一條TCP流存在下受到LDoS攻擊時(shí)的檢測(cè)效果，即僅讓主機(jī)1與服務(wù)器建立TCP連接，控制機(jī)控制傀儡機(jī)按照預(yù)設(shè)參數(shù)在50 s時(shí)發(fā)起LDoS攻擊和FDoS攻擊。利用表1中參數(shù)的排列熵算法對(duì)得到的ACK序號(hào)步長(zhǎng)序列計(jì)算其排列熵，計(jì)算結(jié)果如圖5所示。

圖5 單條TCP流正常狀況下和受到LDoS攻擊時(shí)ACK序號(hào)步長(zhǎng)排列熵

在正常情況下，由于接收端接收窗口的限定，接收端每次接收的數(shù)據(jù)量基本恒定，回傳給發(fā)送端的ACK序號(hào)步長(zhǎng)波動(dòng)范圍規(guī)則有序，故其排列熵值一直處于最低的0狀態(tài)，直到50 s時(shí)遭受DoS攻擊。當(dāng)受到FDoS攻擊時(shí)，由于FDoS攻擊使網(wǎng)絡(luò)流量瞬間激增，鏈路發(fā)生嚴(yán)重?fù)砣?，致使網(wǎng)絡(luò)進(jìn)入癱瘓狀態(tài)。因此ACK流量在50 s處發(fā)生突變，ACK序號(hào)的步長(zhǎng)開始混亂，其排列熵值在50 s處突變?cè)龃?，之后由于鏈路癱瘓，ACK數(shù)據(jù)分組不再回傳，ACK序號(hào)步長(zhǎng)一直為0不再波動(dòng)，所以排列熵值降到0，代表鏈路再次進(jìn)入平穩(wěn)狀態(tài)（其實(shí)此時(shí)是空白鏈路，沒有數(shù)據(jù)交互）。當(dāng)受到LDoS攻擊時(shí)，LDoS攻擊也會(huì)導(dǎo)致ACK流量突變，排列熵值在（50.78, 0.165 8）時(shí)產(chǎn)生熵值跳變點(diǎn)，之后由于不斷的快速重傳，ACK序號(hào)步長(zhǎng)波動(dòng)劇烈，其排列熵值一直處于較高狀態(tài)，與FDoS攻擊相比具有明顯差別，基于此可以區(qū)分2種攻擊類型。而且預(yù)測(cè)LDoS攻擊時(shí)刻與實(shí)際遭受攻擊時(shí)刻相差0.78 s，在允許誤差范圍之內(nèi)。該方法可在早期判斷出攻擊時(shí)刻，具有一定時(shí)效性。

2) 多條TCP流

針對(duì)多條TCP流共存情況下受到LDoS攻擊時(shí)驗(yàn)證本文方法的有效性，分為2種情況：①多條路徑具有相同RTT；②多條路徑具有不同RTT，即讓主機(jī)1~主機(jī)3同時(shí)與服務(wù)器建立TCP連接，共用瓶頸鏈路傳輸數(shù)據(jù)，攻擊流量同樣在50 s時(shí)發(fā)起。由于DoS攻擊會(huì)降低一個(gè)路由域內(nèi)所有節(jié)點(diǎn)的服務(wù)質(zhì)量，各鏈路均表現(xiàn)出一樣的異常特征，因此選取其中一條鏈路，得到一個(gè)觀測(cè)窗口內(nèi)的ACK序號(hào)步長(zhǎng)序列。

依據(jù)切比雪夫不等式來設(shè)置ACK序號(hào)步長(zhǎng)排列熵的閾值，對(duì)于ACK序號(hào)步長(zhǎng)的排列熵樣本，無論其服從何種分布，都滿足切比雪夫不等式，即

圖6 相同RTT的TCP流共存時(shí)ACK序號(hào)步長(zhǎng)的排列熵

圖7 不同RTT的TCP流共存時(shí)ACK序號(hào)步長(zhǎng)的排列熵

由圖6和圖7可知，正常情況下，由于各TCP流之間存在相互競(jìng)爭(zhēng)，導(dǎo)致ACK流量分布不均，ACK序號(hào)步長(zhǎng)波動(dòng)混亂，其排列熵?cái)?shù)值較高。受到DoS攻擊后，DoS攻擊會(huì)使各鏈路表現(xiàn)出相同的擁塞狀態(tài)，ACK流量反而比正常情況下排列得更有序，所以熵值波動(dòng)范圍比正常情況時(shí)要低。當(dāng)受到FDoS攻擊時(shí)，接收端立刻進(jìn)行ACK重傳，ACK序號(hào)步長(zhǎng)突降為0，其排列熵值發(fā)生突變，之后由于鏈路嚴(yán)重阻塞，導(dǎo)致不再有ACK數(shù)據(jù)分組的回傳，ACK序號(hào)步長(zhǎng)持續(xù)為0，排列有序，排列熵值也一直處于0狀態(tài)；受到LDoS攻擊時(shí)，由于快速重傳機(jī)制的影響，使ACK序號(hào)步長(zhǎng)不會(huì)降至最低，而是在一定范圍內(nèi)波動(dòng)，其排列熵值相比FDoS攻擊時(shí)要大，但基本不會(huì)超過閾值。所設(shè)閾值可以有效預(yù)測(cè)LDoS攻擊時(shí)刻，具有相同RTT的TCP流共存時(shí)預(yù)測(cè)LDoS攻擊發(fā)生在51.25 s，與實(shí)際受到攻擊時(shí)刻相差1.25 s；具有不同RTT的TCP流共存時(shí)預(yù)測(cè)LDoS攻擊發(fā)生在51.37 s，與實(shí)際受到攻擊時(shí)刻相差1.37 s。2個(gè)時(shí)間差在允許誤差范圍之內(nèi)，可以實(shí)現(xiàn)在攻擊初期及早發(fā)現(xiàn)攻擊時(shí)刻的目標(biāo)。而且閾值可以明顯區(qū)分正常時(shí)與受到LDoS時(shí)ACK序號(hào)步長(zhǎng)排列熵的變化情況。

針對(duì)不同網(wǎng)絡(luò)場(chǎng)景進(jìn)行100次實(shí)驗(yàn)，統(tǒng)計(jì)各檢測(cè)性能指標(biāo)，得到本文方法的檢測(cè)性能指標(biāo)和誤差結(jié)果如表2所示。

表2 不同網(wǎng)絡(luò)情況下的檢測(cè)性能指標(biāo)和誤差結(jié)果

由表2可知，單條TCP流時(shí)，網(wǎng)絡(luò)場(chǎng)景最為簡(jiǎn)單，不存在其他鏈路的影響，所以檢測(cè)率最高，可達(dá)100%，誤報(bào)率、漏報(bào)率和預(yù)測(cè)攻擊時(shí)刻誤差也均比較低；多條TCP流時(shí)，由于TCP流之間存在相互競(jìng)爭(zhēng)的影響，相同RTT的檢測(cè)率為96.0%，誤報(bào)率為3.0%，漏報(bào)率為4.0%，預(yù)測(cè)攻擊時(shí)刻誤差為1.25 s。不同RTT的檢測(cè)率為98.0%，誤報(bào)率為7.0%，漏報(bào)率為2.0%，預(yù)測(cè)攻擊時(shí)刻誤差為1.37 s。誤差均在可承受范圍之內(nèi)。

4.3 比較分析

根據(jù)現(xiàn)實(shí)場(chǎng)景，主要利用多條不同RTT的TCP進(jìn)行對(duì)比實(shí)驗(yàn)，對(duì)比傳統(tǒng)經(jīng)典檢測(cè)算法NCPSD[5]和基于ACK異常流量[8]的檢測(cè)方法，并對(duì)各檢測(cè)性能指標(biāo)進(jìn)行了統(tǒng)計(jì)，如表3所示。

表3 各檢測(cè)算法性能比較

由表3可知，相比傳統(tǒng)基于頻域的檢測(cè)方法，本文檢測(cè)方法可獲得更高的報(bào)警率，同時(shí)虛警率和漏警率也比較低。基于ACK流量異常的檢測(cè)方法，需要統(tǒng)計(jì)較長(zhǎng)時(shí)間內(nèi)的ACK流量數(shù)據(jù)，在LDoS攻擊中期檢測(cè)效果較為理想，而在LDoS攻擊初期存在一定的誤報(bào)率。本文檢測(cè)方法可在LDoS攻擊初期實(shí)現(xiàn)及時(shí)檢測(cè)，降低了攻擊初期的漏報(bào)率。

5 結(jié)束語

本文分析了網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中ACK數(shù)據(jù)分組序號(hào)步長(zhǎng)的意義，研究了正常情況和存在LDoS攻擊時(shí)ACK序號(hào)步長(zhǎng)的波動(dòng)差異，并利用排列熵算法進(jìn)行特征提取，最后設(shè)計(jì)了判決準(zhǔn)則，實(shí)現(xiàn)了對(duì)LDoS攻擊的檢測(cè)。排列熵算法具有計(jì)算簡(jiǎn)單、抗噪性強(qiáng)、頑健性高的特點(diǎn)，可以有效地發(fā)現(xiàn)早期的信號(hào)異常突變，具有較好的實(shí)時(shí)性和穩(wěn)定性。實(shí)驗(yàn)結(jié)果表明，基于ACK序號(hào)步長(zhǎng)排列熵的LDoS攻擊檢測(cè)方法可以準(zhǔn)確判斷是否發(fā)生攻擊，并可以在LDoS攻擊的初期階段較準(zhǔn)確地找到攻擊發(fā)起時(shí)刻，使相關(guān)網(wǎng)絡(luò)管理人員可以及早地發(fā)現(xiàn)攻擊，避免造成更大損失，為后續(xù)的防御和過濾起到了重要作用。

[1] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks and counter strategies[J]. IEEE/ACM Transactions on Networking, 2006, 14(4): 683-696.

[2] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks: the shrew vs. the mice and elephants[C]//ACM SIGCOMM 2003 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication. 2003: 75-86.

[3] 文坤, 楊家海, 張賓. 低速率拒絕服務(wù)攻擊研究與進(jìn)展綜述[J]. 軟件學(xué)報(bào), 2014, 25(3): 591-605.

WEN K, YANG J H, ZHANG B. Survey on research and progress of low-rate denial of service attacks[J]. Journal of Software, 2014, 25(3): 591-605.

[4] 何炎祥, 劉陶, 曹強(qiáng), 等. 低速率拒絕服務(wù)攻擊研究綜述[J]. 計(jì)算機(jī)科學(xué)與探索, 2008, 2(1): 1-19.

HE Y X, LIU T, CAO Q, et al. A survey of low-rate denial-of-service attacks[J]. Journal of Frontiers of Computer Science and Technology, 2008, 2(1): 1-19.

[5] KWOK Y K, TRIPATHI R, CHEN Y, et al. HAWK: halting anomalies with weighted choking to rescue well-behaved TCP sessions from shrew DDoS attacks[C]//International Conference on NETWORKING and Mobile Computing. 2005: 423-432.

[6] XIANG Y, LI K, ZHOU W. Low-rate DDoS attacks detection and trace back by using new information metrics[J]. IEEE Transactions Information Forensics and Security, 2011, 6(2): 426-437.

[7] YUHEI H, JIA Y Z. SATOSHI N. Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function[C]//IEEE International Symposium on Local and Metropolitan Area Networks. 2017: 1-2.

[8] CHENG C M, KUNG H, TAN K S. Use of spectral analysis in defense against DoS attacks[C]//IEEE Global Telecommunications.2002: 2143-2148.

[9] 何炎祥, 曹強(qiáng), 劉陶, 等. 一種基于小波特征提取的低速率DoS檢測(cè)方法[J]. 軟件學(xué)報(bào), 2009, 20(4): 930-941.

HE Y X, CAO Q, LIU T, et al. A low-rate Dos detection method based on feature extraction using wavelet transform[J]. Journal of Software, 2009, 20(4): 930-941.

[10] PAUL C, MYONG K, ALEXANDER V. Spectral analysis of low rate of denial of service attacks detection based on fisher and Siegel tests[C]//IEEE International Conference on Communications(ICC). 2016: 1-6.

[11] WEI W, FENG C, XIA Y, et al. A rank correlation based detection against distributed reflection DoS attacks[J]. IEEE Communications Letters, 2013, 17(1): 173-175.

[12] BHUYAN M H, KALWAR A, GOSWAMI A, et al. Low-rate and high-rate distributed DoS attack detection using partial rank correlation[C]//Fifth International Conference on Communication Systems and Network Technologies. 2015: 706-710.

[13] CHEN K, LIU H Y, CHEN X S. Detecting LDoS attacks based on abnormal network traffic[J]. KSII Transactions on Internet and Information Systems, 2012, 6(7):1831-1853.

[14] FALL K R, RICHARD S W. TCP/IP詳解卷1: 協(xié)議[M]. 北京: 機(jī)械工業(yè)出版社, 2016.

FALL K R, RICHARD S W. TCP/IP illustrated volume 1: the protocols[M]. Beijing: China Machine Press, 2016.

[15] FENG F Z, RAO G Q, WEI S A. Application and development of permutation entropy algorithm[J]. Journal of Academy of Armored Force Engineering, 2012, 26(2):34-38.

[16] 饒國(guó)強(qiáng), 馮輔周, 司愛威. 排列熵算法參數(shù)的優(yōu)化確定方法研究[J]. 振動(dòng)與沖擊, 2014, 33(1): 188-193.

RAO G Q, FENG F Z, SI A W. Method for optimal determination of parameters in permutation entropy algorithm[J]. Journal of Vibration and Shock, 2014, 33(1): 188-193.

[17] 王海燕, 盛昭瀚. 混沌時(shí)間序列相空間重構(gòu)參數(shù)的選取方法[J]. 東南大學(xué)學(xué)報(bào)(自然科學(xué)版), 2000, 30(5): 113-117.

WANA H Y, CHENG Z H, Choice of the parameters for the phase space reconstruction of Chaotic time series[J]. Journal of Southeast University(Natural Science Edition), 2000, 30(5): 113-117.

[18] 劉永斌. 基于非線性信號(hào)分析的滾動(dòng)軸承狀態(tài)監(jiān)測(cè)診斷研究[D]. 合肥: 中國(guó)科學(xué)技術(shù)大學(xué), 2011.

LIU Y B. Nonlinear signal analysis for rolling bearing condition monitoring and fault diagnosis[D]. Hefei: University of Science and Technology, 2011.

Detection method of LDoS attack based on ACK serial number step-length

WU Zhijun, PAN Qingbo, YUE Meng

School of Electronic Information & Automation, Civil Aviation University of China, Tianjin 300300, China

Low-rate denial of service (LDoS) attack is a potential security threat to big data centers and cloud computing platforms because of its strong concealment. Based on the analysis of network traffic during the LDoS attack, statistical analysis was given of ACK packets returned by the data receiver to the sender, and result reveals the sequence number step had the characteristics of volatility during the LDoS attack. The permutation entropy method was adopted to extract the characteristics of volatility. Hence, an LDoS attack detection method based on ACK serial number step permutation entropy was proposed. The serial number was sampled and the step length was calculated through collecting the ACK packets that received at the end of sender. Then, the permutation entropy algorithm with strong time-sensitive was used to detect the mutation step time, and achieve the goal of detecting LDoS attack. A test-bed was designed and built in the actual network environment for the purpose of verifying the proposed approach performance. Experimental results show that the proposed approach has better detection performance and has achieved better detection effect.

low-rate denial of service, ACK serial number step-length, permutation entropy, detection

TP302

A

10.11959/j.issn.1000?436x.2018126

2017?12?26；

2018?05?08

國(guó)家自然基金委員會(huì)與中國(guó)民航局聯(lián)合基金資助項(xiàng)目（No.U1533107）；天津市自然基金重點(diǎn)資助項(xiàng)目（No.17JCZDJC30900）

The Joint Foundation of National Natural Science Foundation and Civil Aviation Administration of China (No.U1533107), The Major Program of Natural Science Foundation of Tianjin (No.17JCZDJC30900)

吳志軍（1965?），男，新疆庫(kù)爾勒人，博士，中國(guó)民航大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全。

潘卿波（1992?），男，山西太原人，中國(guó)民航大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、低速率拒絕服務(wù)攻擊的檢測(cè)。

岳猛（1984?），男，河北滄州人，博士，中國(guó)民航大學(xué)講師，主要研究方向?yàn)樾畔踩?、云?jì)算、低速率拒絕服務(wù)攻擊的檢測(cè)。