mleoking的个人博客分享 http://blog.sciencenet.cn/u/mleoking

博文

低速率拒绝服务攻击检测最新进展

已有 6780 次阅读 2011-5-5 21:27 |系统分类:论文交流| 进展, 检测, 最新, 低速率拒绝服务攻击, RRED

低速率拒绝服务攻击检测最新进展
        低速率拒绝服务攻击(LDoS)[1, 2],又称鼩鼱(shrew)攻击[3]、脉冲拒绝服务攻击(Pulsing Denial-of-Service, PDoS)[4]和降低服务质量攻击(Reduction of Quality, RoQ)[5, 6],最早是由Rice大学的Kuzmanovic和Knightly在2003年的SIGCOMM国际会议上提出的[3]。而分布式低速率拒绝服务攻击(Distributed Low-rate Denial-of-Service, DLDoS)就是攻击者利用僵尸主机采取分布式方式发起的LDoS攻击。
        近年来,各种利用网络协议[3-5, 7]和网络服务[6, 8, 9]的LDoS攻击被不断提出,但其攻击原理都是相似的,可以归为一类进行研究,本课题将主要对针对TCP协议超时重传机制的DLDoS攻击进行探讨。
        目前提出的针对LDoS攻击的检测过滤技术主要是考虑LDoS攻击的两个特征,一是数据流量周期性特征,二是数据流脉冲高流量特征。
        基于LDoS攻击数据流量的脉冲高流量特征,Kuzmanovic[3]、Sarat和Terzis[10]提出了利用路由器主动队列管理(Active Queue Management, AQM)机制来防御LDoS攻击的方法。然而,现有路由器AQM机制(如SRED[11]等)对持续较长时间的高速数据流的调整效果比较明显,对LDoS攻击这种持续时间极短的高速数据流的调整效果并不明显。
        基于LDoS攻击数据流量的周期性特征,Sun提出了一种采用动态时间环绕(Dynamic Time Warping, DTW)进行攻击识别的方法[12, 13]。这种方法的识别率较高,而且可以识别周期、脉冲长度变化的LDoS攻击。但由于利用的是现实LDoS攻击数据流与其样本攻击数据流的相似性进行检测,它只是对于LDoS攻击的汇聚数据流检测效果较好,对于DLDoS攻击的每条攻击链路检测效果则不够理想。
        基于LDoS攻击(文中称为脉冲拒绝服务攻击(Pulsing Denial-of-Service, PDoS)[4])对进入网络数据流和流出网络TCP响应报文(Ack)数据流的影响,Luo提出了一种基于小波变换的检测方法[4]。这种方法综合利用了攻击数据流特征和网络响应特征,具有较好的检测效果,它的问题在于它也是对DLDoS攻击的每条攻击链路检测效果不够理想。而且,由于其采用了TCP响应数据流(Ack)在攻击时候的变化作为特征之一,它对新出现的基于恶意TCP接收端的诱导LDoS攻击[7]的检测效果会明显下降。
        基于LDoS攻击数据流的周期性特征和脉冲高流量特征在频域上的表现,Chen[14]和Wei[15]都提出了采用离散傅立叶变换(DFT)进行频谱分析的检测方法。这种方法利用了攻击数据流和正常数据流的不同频谱特征,对DLDoS攻击的汇聚数据流具有良好的检测效果,对于DLDoS攻击的每条攻击链路检测效果则不够理想。
        通过以上分析,可以发现,现有的针对LDoS攻击的检测防御方法基本上只适合对LDoS攻击的汇聚网络流量进行检测,对于DLDoS攻击的每条攻击链路的检测效果则不够理想。在拥有众多僵尸主机的情况下,攻击者可以通过分布式方式发起LDoS攻击(即DLDoS攻击),每个攻击主机的攻击周期可以很长、流量峰值和脉冲发送时间可以很低,这样其每个攻击链路的平均网络流量更低,甚至低于正常用户网络流量,现有的检测防御方法很难对其进行检测。

本课题组的研究成果
        通过改进随机早检测(Random Early Detection, RED)算法,提出了一个应对低速率拒绝服务攻击的健壮随机早检测(Robust RED, RRED)算法。RRED算法将基于可疑攻击数据包(ASP)的LDoS攻击检测过滤算法集成到RED算法中,并采用布鲁姆过滤器(Bloom Filter, BF)来高效地(高效利用空间)更新和记录数据流的状态信息。实验结果表明RRED算法具有很好的健壮性,它在发生LDoS攻击的情况下仍然能基本上完全保全正常TCP数据流的吞吐率。该成果已经于2010年5月发表于IEEE Communications Letters [16]。
        提出了一种能够在DDoS攻击下保证现有正常网络流量的弹性随机公平蓝色(Resilient Stochastic Fair Blue, RSFB)算法。RSFB算法根据数据流标记概率来识别良性数据流,并将识别出的良性数据流记录更新到一个良性数据流队列(Benign Flow Queue, BFQ)中。算法再根据BFQ中的良性数据流记录来保证良性数据流数据包的顺利传输。通过开展一系列实验评估对比了RSFB算法和几个著名主动队列管理(AQM)算法的抗DDoS攻击性能。实验结果表明RSFB算法具有如下优点:1)具有高度的健壮性;2)能够在发生DDoS攻击时有效保证现有正常TCP数据流的吞吐率;3)抗DDoS攻击性能明显优于现有的主动队列管理(AQM)算法。该成果已被软件学报接收,预计将于2011年9月见刊 [17]。

如引用本文内容请引用
[1] Changwang Zhang, Jianping Yin, Zhiping Cai, and Weifeng Chen, "RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks," IEEE Communications Letters, vol. 14, pp. 489-491, May 2010. [PDF]
[2] 张长旺, 殷建平, 蔡志平, 刘新旺, 林加润, and 朱明, "一种抗DDoS攻击的主动队列管理算法," 软件学报, 2011. [PDF]
[3] 张长旺;抗拒绝服务攻击的主动队列管理算法研究[D];国防科学技术大学;2009年. 

参考文献
[1] A. Kuzmanovic and E. W. Knightly, "Low-rate TCP-targeted denial of service attacks and counter strategies," IEEE/ACM Transactions on Networking, vol. 14, pp. 683-696, Aug 2006.
[2] Yanxiang He, Tao Liu, and Qiang Cao, "A survey of Low-rate Denial-of-Service attacks," JOURNAL OF FRONTIERS OF COMPUTER SCIENCE & TECHNOLOGY, vol. 2, pp. 1-19, 2008.
[3] A. Kuzmanovic and E. W. Knightly, "Low-rate TCP-targeted denial of service attacks - (The shrew vs. the mice and elephants)," in ACM SIGCOMM, Karlsruhe, Germany, 2003, pp. 75-86.
[4] X Luo and RKC Chang, "On a New Class of Pulsing Denial-of-Service Attacks and the Defense," in Network and Distributed System Security Symposium (NDSS), San Diego, CA., 2005, pp. 2-5.
[5] M. Guirguis, A. Bestavros, and I. Matta, "Exploiting the transients of adaptation for RoQ attacks on Internet resources," in IEEE International Conference on Network Protocols (ICNP), Berlin, GERMANY, 2004, pp. 184-195.
[6] M. Guirguis, A. Bestavros, I. Matta, and Y. Zhang, "Reduction of quality (RoQ) attacks on dynamic load balancers: Vulnerability assessment and design tradeoffs," in IEEE INFOCOM, Anchorage, AK, 2007, pp. 857-865.
[7] V. A. Kumar, P. S. Jayalekshmy, G. K. Patra, and R. P. Thangavelu, "On Remote Exploitation of TCP Sender for Low-Rate Flooding Denial-of-Service Attack," IEEE Communications Letters, vol. 13, pp. 46-48, Jan 2009.
[8] G. Macia-Fernandez, J. E. Diaz-Verdejo, and P. Garcia-Teodoro, "Evaluation of a low-rate DoS attack against iterative servers," Computer Networks, vol. 51, pp. 1013-1030, Mar 2007.
[9] G. Macia-Fernandez, J. E. Diaz-Verdejo, and P. Garcia-Teodoro, "Evaluation of a low-rate DoS attack against application servers," Computers & Security, vol. 27, pp. 335-354, Dec 2008.
[10] S. Sarat and A. Terzis, "On the effect of router buffer sizes on low-rate denial of service attacks," in International Conference on Computer Communications and Networks (ICCCN), San Diego, CA, 2005, pp. 281-286.
[11] TJ Ott, TV Lakshman, and LH Wong, "SRED: stabilized RED," in IEEE INFOCOM, 1999.
[12] H. B. Sun, J. C. S. Lui, and D. K. Y. Yau, "Defending against low-rate TCP attacks: Dynamic detection and protection," in IEEE International Conference on Network Protocols (ICNP), Berlin, GERMANY, 2004, pp. 196-205.
[13] H. B. Sun, J. C. S. Lui, and D. K. Y. Yau, "Distributed mechanism in detecting and defending against the low-rate TCP attack," Computer Networks, vol. 50, pp. 2312-2330, 2006.
[14] Y. Chen and K. Hwang, "Collaborative detection and filtering of shrew DDoS attacks using spectral analysis," Journal of Parallel and Distributed Computing, vol. 66, pp. 1137-1151, Sep 2006.
[15] W. Wei, Y. B. Dong, D. M. Lu, G. Jin, and H. L. Lao, "A Novel mechanism to defend against low-rate denial-of-service attacks," in IEEE International Conference on Intelligence and Security Informatics (ISI), San Diego, CA, 2006, pp. 261-271.
[16] Changwang Zhang, Jianping Yin, Zhiping Cai, and Weifeng Chen, "RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks," IEEE Communications Letters, vol. 14, pp. 489-491, May 2010.
[17] 张长旺, 殷建平, 蔡志平, 刘新旺, 林加润, and 朱明, "一种抗DDoS攻击的主动队列管理算法," 软件学报, 2011.



https://wap.sciencenet.cn/blog-571128-440894.html

上一篇:今天接到一个很好笑的征文通知,但多少反映了一些国内会议的乱象
下一篇:低速率拒绝服务(Low-rate DoS)攻击相关研究进入SCI最新文章列表
收藏 IP: 128.40.185.*| 热度|

0

发表评论 评论 (0 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-3-28 23:11

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部