金鑫，安茂波，于濤，劉佳

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京　100031）

一種新的RoQ攻擊的識(shí)別方法

金鑫，安茂波，于濤，劉佳

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京100031）

0　引言

“互聯(lián)網(wǎng)+”概念的提出，給各行各業(yè)提供了一種新的發(fā)展模式，但是當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)給“互聯(lián)網(wǎng)+”的推動(dòng)蒙上了一層陰影。本文針對(duì)網(wǎng)絡(luò)安全中常出現(xiàn)的拒絕服務(wù) （DoS）攻擊演變過(guò)來(lái)的一種新的攻擊手段——降質(zhì)（Reduction of Quality，RoQ）攻擊，所謂的降質(zhì)攻擊主要是針對(duì)網(wǎng)絡(luò)中的瓶頸鏈路而非網(wǎng)絡(luò)終端，同時(shí)該攻擊手段采用較小的攻擊成本，通過(guò)瞬間的攻擊方式代替?zhèn)鹘y(tǒng)的DoS的持續(xù)攻擊方式 （如UDP的flooding攻擊等），以降低或者抑制TCP服務(wù)質(zhì)量作為攻擊的效果。

當(dāng)前對(duì)于RoQ攻擊的研究國(guó)內(nèi)外學(xué)者大多數(shù)是對(duì)RoQ攻擊的單連璐的檢測(cè)分析，如Yang［2］等人提出了一種基于廣義熵和信息距離這兩種信息度量的監(jiān)測(cè)方法，用于檢測(cè)鏈路受到RoQ攻擊后的流量；Chen Hao［1］等人提出了使用頻譜特征分析的方法，通過(guò)RoQ攻擊前后流量在時(shí)域以及頻域等分布情況來(lái)確定網(wǎng)絡(luò)攻擊的檢測(cè)，這些測(cè)試方法都是針對(duì)單鏈路的監(jiān)測(cè)，而在實(shí)際網(wǎng)絡(luò)應(yīng)用中RoQ攻擊往往是針對(duì)多條鏈路的攻擊，然而針對(duì)全網(wǎng)骨干鏈路的RoQ檢測(cè)的研究現(xiàn)在還較少，為此本文提出一種新的RoQ攻擊的識(shí)別方法——L-RoQ（Locating the RoQ attack in backbone network），該方法主要通過(guò)頻譜分析技術(shù)對(duì)骨干網(wǎng)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，當(dāng)出現(xiàn)流量異常狀況時(shí)自動(dòng)識(shí)別是否為RoQ攻擊，L-RoQ方法實(shí)現(xiàn)了多鏈路流量攻擊的監(jiān)測(cè)。

1　一種新的RoQ識(shí)別方法介紹

1.1RoO攻擊原理

RoQ攻擊主要是針對(duì)網(wǎng)絡(luò)中的TCP協(xié)議，它利用了TCP擁塞控制的自適應(yīng)機(jī)制，通過(guò)持續(xù)的流量填充的方式抑制了正常TCP數(shù)據(jù)的交互，這樣就達(dá)到了降低網(wǎng)絡(luò)中基于TCP應(yīng)用的服務(wù)質(zhì)量，因此將該類(lèi)攻擊稱(chēng)為降質(zhì)攻擊。

如圖1描述了RoQ攻擊的基本原理，圖中橫軸表示網(wǎng)絡(luò)運(yùn)行時(shí)間，時(shí)間T表示RoQ攻擊的周期，縱軸表示攻擊的瞬時(shí)網(wǎng)絡(luò)脈沖速率，其大小的控制以滿(mǎn)足足夠影響當(dāng)前TCP數(shù)據(jù)正常交流為最低脈沖速率要求。圖中顯示了RoQ攻擊所具備的以下幾個(gè)特征：1＞RoQ需具備流量突變的特性，這樣才會(huì)產(chǎn)生瞬時(shí)高速的流量脈沖；2＞周期攻擊性，由圖1可以得出RoQ的攻擊是周期性的，根據(jù)RoQ的攻擊原理—通過(guò)瞬時(shí)流量脈沖占用帶寬降低TCP通信的效率，可知RoQ的攻擊必須具備周期性攻擊的特點(diǎn)，這樣才能確保TCP傳輸效率的周期性降低，達(dá)到網(wǎng)絡(luò)攻擊的效果。

圖1　 RoQ瞬時(shí)攻擊脈沖示意圖

1.2一種新的RoO攻擊的識(shí)別方法

（1）動(dòng)態(tài)時(shí)間序列

本文所采用的檢測(cè)技術(shù)是基于滑動(dòng)窗口技術(shù)的，這樣為了確保時(shí)間連續(xù)性的同時(shí)降低采樣數(shù)據(jù)所需的存儲(chǔ)成本，定義滑動(dòng)窗口模型為w（S，ω，β），其中S為數(shù)據(jù)流，ω為滑動(dòng)窗口的長(zhǎng)度，β為滑動(dòng)窗口的滑動(dòng)步長(zhǎng)，如圖2所示為一個(gè)滑動(dòng)窗口模型，定義S（i，j）為第i～j節(jié)點(diǎn)間的數(shù)據(jù)流，該數(shù)據(jù)流遵循w（S，ω，β）協(xié)議，滑動(dòng)窗口寬為ω，步長(zhǎng)為β。

圖2　滑動(dòng)窗口協(xié)議模型圖

（2）檢測(cè)模型的建立

網(wǎng)絡(luò)流的檢測(cè)需要確定檢測(cè)模型，由于網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，多鏈路處理需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行劃分為模型中制定的流結(jié)構(gòu)，本文采用文獻(xiàn)［4］中提出的檢測(cè)模型，定義TOD流［3］度量矩陣X（xij），其中xij表示第j個(gè)TOD流在第i個(gè)記錄時(shí)刻的時(shí)間間隔內(nèi)的流量值。對(duì)TOD流進(jìn)行P次采樣得出X=［X1，X2，…，Xp］，進(jìn)行n次觀測(cè)得出觀測(cè)矩陣X。

流量異常的定位采用統(tǒng)計(jì)分布中的T2統(tǒng)計(jì)，如公式（1）所示計(jì)算器控制限，其中m為全部主特征個(gè)數(shù)，a為異常個(gè)數(shù)，α為顯著性水平，F(xiàn)am-1，α為對(duì)應(yīng)于顯著水平α且自由度為a（m-1）條件下的F分布臨界值，通過(guò)查表得出當(dāng)臨界值超過(guò)99%的時(shí)候則證明網(wǎng)絡(luò)出現(xiàn)異常（此時(shí)T2≈7.8）。

（3）一種新的RoQ攻擊識(shí)別方法

通過(guò)1.2（2）中檢測(cè)模型的建立，本文提出一種新的RoQ檢測(cè)算法L-RoQ。

根據(jù)以上算法描述，頻譜分析的算法復(fù)雜度為o （n，logn），相比經(jīng)典RoQ攻擊算法［5］在計(jì)算成本上有顯著的提升。

2　實(shí)驗(yàn)驗(yàn)證

實(shí)驗(yàn)通過(guò)NS-3進(jìn)行仿真驗(yàn)證，設(shè)置一個(gè)50個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)模型，通過(guò)設(shè)置某幾個(gè)節(jié)點(diǎn)為攻擊節(jié)點(diǎn)，對(duì)網(wǎng)絡(luò)中鏈路進(jìn)行RoQ攻擊，其余節(jié)點(diǎn)運(yùn)行L-RoQ算法，對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析計(jì)算得出圖3所示的T2統(tǒng)計(jì)量結(jié)果圖，根據(jù)結(jié)果顯示當(dāng)T2值大于7.8時(shí)則出現(xiàn)RoQ攻擊，并且通過(guò)階段性實(shí)驗(yàn)得出圖4所示的結(jié)果圖。

圖3　一個(gè)周期內(nèi)的T2統(tǒng)計(jì)量結(jié)果圖

圖4　 T2周期檢測(cè)圖

同時(shí)對(duì)某一節(jié)點(diǎn)的流量進(jìn)行TCP流量統(tǒng)計(jì)，如圖5所示。

圖5中通過(guò)L-RoQ算法多網(wǎng)絡(luò)中多條鏈路進(jìn)行監(jiān)測(cè)，通過(guò)對(duì)實(shí)驗(yàn)數(shù)據(jù)分析得出TCP流量在周期內(nèi)呈現(xiàn)瞬間下降的現(xiàn)象，通過(guò)實(shí)驗(yàn)證明L-RoQ算法對(duì)復(fù)雜網(wǎng)絡(luò)RoQ攻擊的識(shí)別的準(zhǔn)確度是比較高的。

圖5　 L-RoQ對(duì)多節(jié)點(diǎn)RoQ攻擊識(shí)別流量圖

3　結(jié)語(yǔ)

RoQ攻擊的監(jiān)測(cè)研究作為網(wǎng)絡(luò)安全研究的重要研究課題，已得到了學(xué)者們的廣泛關(guān)注，本文提出了一種診斷全網(wǎng)RoQ攻擊的L-RoQ算法，該算法從全局角度考慮對(duì)多鏈路進(jìn)行RoQ攻擊識(shí)別，實(shí)驗(yàn)證明該方法在大規(guī)模網(wǎng)絡(luò)中對(duì)RoQ攻擊的識(shí)別是有效的。

［1］Chen Hao，Chen Yu，Summerville D H，et al.An optimized design of reconfigurable PSD accelerator for online shrew DDoS attack setection［C］.Proc of INFOCOM 2013.Piscataway，NJ:IEEE，2013:1780-1787.

［2］Yang X，Ke L，Wan L.Low-rate DDoS attacks detection and traceback by using new information Forensics and Security，2011，6（2）: 424-438

［3］Gursun G，Grovella M.On traffic matrix completion in the internet［C］.Proc of ACM IMC’12.New York:ACM，2012:399-412.

［4］文坤等．骨干網(wǎng)絡(luò)中RoQ攻擊的檢測(cè)，定位和識(shí)別［J］．計(jì)算機(jī)研究與發(fā)展，2015，52（4）：813-822.

［5］Guirguis M，Tharp，J，Bestavros A，et al.Assessment of vulnerability of content adaptation mechanisms to RoQ attacks［C］.Proc of the8th Int Conf on Networks（09'ICN）.Piscataway，NJ:IEEE，2009:445-450.

金鑫，博士，高級(jí)工程師，研究方向?yàn)橄乱淮ㄐ啪W(wǎng)絡(luò)信息安全

安茂波（1970-），男，山東人，本科，工程師，研究方向?yàn)殡娦啪W(wǎng)絡(luò)安全

于濤（1981-），男，青海人，本科，研究方向?yàn)榫W(wǎng)絡(luò)新媒體在廣電的互融

劉佳（1985-），女，河北滄州人，本科，研究方向?yàn)榫W(wǎng)絡(luò)信息安全與防范、語(yǔ)音識(shí)別技術(shù)

RoQ Attack；Network Security；Complex Network；Multi-Link

A New Identify Method for RoQ Attack

JIN Xin，AN Mao-bo，YU Tao，LIU Jia
（National Computer Network and Information Security Administration Center，Beijing 100031）

1007-1423（2015）29-0003-04

10.3969/j.issn.1007-1423.2015.29.001

2015-09-29

2015-10-12

RoQ攻擊作為當(dāng)前流行的網(wǎng)絡(luò)攻擊手段，成為學(xué)者們研究網(wǎng)絡(luò)安全的重點(diǎn)課題，傳統(tǒng)的RoQ識(shí)別主要是針對(duì)單鏈路監(jiān)測(cè)，這在當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境中缺乏說(shuō)服力，提出一種面向多鏈路診斷的RoQ識(shí)別方法——L-RoQ，該方法從全局角度實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量變化情況，發(fā)現(xiàn)鏈路的異常情況并準(zhǔn)確的識(shí)別攻擊，通過(guò)實(shí)驗(yàn)驗(yàn)證，該方法實(shí)時(shí)有效地識(shí)別RoQ攻擊。

RoQ攻擊；網(wǎng)絡(luò)安全；復(fù)雜網(wǎng)絡(luò)；多鏈路

The RoQ attack as the current popular network attacks，has became the hot research.The traditional RoQ identify mainly monitoring the sing-link，so it is not convincing during the complex network.Proposes an new RoQ identify method which used to survey the multilink—L-RoQ，this arithmetic monitors the network flowing from the global angle，finds the abnormal link and identifies the attack.This algorithm is checked using the experimental，it can identify the RoQ attack accurately.