一种检测低速率拒绝服务攻击的方法及装置转让专利
申请号 : CN200910085344.6
文献号 : CN101621425B
文献日 : 2012-01-25
发明人 : 赵玉超 , 张波 , 王勇 , 白媛 , 谷勇浩 , 辛阳 , 杨亚涛 , 渠海峡 , 谢垂益
申请人 : 北京邮电大学 , 华为技术有限公司
摘要 :
一种检测低速率拒绝服务攻击的方法及装置,方法具体包括:对网络链路的参数进行周期性的第一级检测,当所述参数的检测值低于设定的下限值时进入第二级检测;在第二级检测中,在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测;在第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。本发明实施例可以以很低的检测成本进行低速率拒绝服务攻击检测。
权利要求 :
1.一种检测低速率拒绝服务攻击的方法,其特征在于,包括:
对网络链路的参数进行周期性的第一级检测,当所述参数的检测值低于设定的下限值时进入第二级检测;
在第二级检测中,在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测;
在第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
2.根据权利要求1所述的方法,其特征在于,所述参数的检测值低于设定的下限值,包括下述至少一项:拥塞窗口均值ACW小于设定的下限值;或收到的ACK响应包数小于设定的下限值;或接收包数IPN小于设定的下限值且信道利用率低于设定的下限值;其中,各下限值根据具体网络分别设定。
3.根据权利要求1所述的方法,其特征在于,所述在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测,包括:在设定时间长度内根据随机过程均匀分布间隔,对网络链路的接收包数IPN和拥塞窗口均值ACW进行采样;每次采样时间为一个时间片,当根据采样统计所有时间片,得出处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值状态的时间片数量超过预设数量,则进入第三级检测。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
处于第一级检测的时间超过了预设时间长度,则进入第二级检测;
在所述第二级检测中,当统计所有时间片得出接收包数IPN和拥塞窗口均值ACW均高于设定的下限值,并且接收包数IPN低于设定的上限值,则进入第二级检测循环;或者,当统计所有时间片得出部分时间片处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值的状态,但所述部分时间片的数量未超过规定数量,则进入第二级检测循环。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
对网络链路的接收包数IPN和拥塞窗口均值ACW进行设定次数的周期性检测,若接收包数IPN和拥塞窗口均值ACW均没有超出设定值范围,则退出第二级检测循环;若接收包数IPN和拥塞窗口均值ACW均超出设定值范围,则进入第三级检测。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果,包括:对网络链路的接收包数IPN进行采样,计算采样数据的功率谱密度,取20Hz为检测点,若所述采样数据的归一化累积功率谱密度大于0.4,则确定网络链路存在低速率拒绝服务攻击。
7.一种检测低速率拒绝服务攻击的装置,其特征在于,包括:
第一级检测单元,用于对网络链路的参数进行周期性检测,当所述参数的检测值低于设定的下限值时触发第二级检测单元;
所述第二级检测单元,用于在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,触发第三级检测单元;
所述第三级检测单元,用于对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
8.根据权利要求7所述的装置,其特征在于,所述第一级检测单元,还用于在监测到处于第一级检测的时间超过了预设时间长度时,触发所述第二级检测单元。
9.根据权利要求7所述的装置,其特征在于,所述第二级检测单元,包括:
采样处理子单元,用于在设定时间长度内根据随机过程均匀分布间隔,对网络链路的接收包数IPN和拥塞窗口均值ACW进行采样;每次采样时间为一个时间片,并计算采样结果;
监测子单元,用于根据所述采样处理子单元得到的结果,在处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值状态的时间片数量超过预设数量时,触发所述第三级检测单元。
10.根据权利要求9所述的装置,其特征在于,
所述监测子单元,还用于当统计所有时间片得出接收包数IPN和拥塞窗口均值ACW均高于设定的下限值,并且接收包数IPN低于设定的上限值,则触发所述第二级检测单元的第二级检测循环子单元;或者,当统计所有时间片得出部分时间片处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值的状态,但所述部分时间片的数量未超过规定数量,则触发第二级检测循环子单元;
所述第二级检测循环子单元,用于对网络链路的接收包数IPN和拥塞窗口均值ACW进行设定次数的周期性检测,当接收包数IPN和拥塞窗口均值ACW均未超出设定值范围,则退出第二级检测循环;当接收包数IPN和拥塞窗口均值ACW均超出设定值范围,则触发所述第三级检测单元。
11.根据权利要求7或9或10所述的设备,其特征在于,所述第三级检测单元,包括:采样计算子单元,用于对网络链路的接收包数IPN进行采样,计算采样数据的功率谱密度;
判断子单元,用于取20Hz为检测点,当采样计算子单元得出的采样数据的归一化累积功率谱密度大于0.4,则确定网络链路存在低速率拒绝服务攻击。
说明书 :
一种检测低速率拒绝服务攻击的方法及装置
技术领域
[0001] 本发明涉及网络通信技术领域,尤其涉及网络通信系统中检测低速率拒绝服务攻击的方法及装置。
背景技术
[0002] 低速率拒绝服务攻击(Low-rate Denial of Service或Distributed Denialof Service),指的是一种针对于自适应系统的攻击,尤其是针对TCP(传输控制协议,Transmission Control Protocol)拥塞控制的攻击。TCP拥塞控制本身是一种有效的避免链路拥塞的方法,其原理是发送端根据链路的拥塞情况动态的调整发送报文的速率:在链路畅通的时候,发送端增大报文发送速率;反之,当链路拥塞的时候,发送端急剧降低报文发送速率,以此来避免和缓解链路的拥塞。上述拥塞控制是一种非常有效的提高系统性能的机制,但是却也给攻击提供了可能。低速率拒绝服务攻击就是利用了发送端在链路拥塞时降低发送报文速率的特点,周期性的发送瞬时高速报文流,迫使系统的发送端反复处于急剧降低报文发送速率,再缓慢增加报文发送速率的过程,从而造成系统性能的急剧下降。
[0003] 由于目前基本上都是通过检测链路的平均速率来发现拒绝服务攻击,而低速率拒绝服务攻击的高速报文流持续时间很短,但是平均速率却很低,因此就很容易逃避现有的拒绝服务攻击检测;并且由于低速率拒绝服务攻击可以由单一的攻击源发送很少的报文达到或接近Flood攻击的效果,因此攻击成本很低,很容易被黑客采用;此外,由于低速率拒绝服务攻击不易被发现,受害者常常会在长期被攻击的情况下还不知情,因此会遭受经济以及信誉上的损失。
[0004] 为解决上述问题,目前提出了一种用频域变换的方法实现联合检测低速率拒绝服务攻击的方案。该方案是利用Internet报文流的自相关函数的频域特性进行低速率拒绝服务攻击的检测,并结合多个路由器之间相互侦听,交互信息,实现联合检测。
[0005] 发明人在实现本发明的过程中,发现现有技术中至少存在如下问题:
[0006] 1、由于采用频域变换的方法检测低速率攻击,因此需要采样大量的数据,进行计算、比较,而这就需要消耗大量的系统资源。
[0007] 2、该方案在检测低速率拒绝服务攻击有很大存在可能的情况下是很有效的,但对于网络而言,毕竟多数时候是处于正常或其他攻击状态之下的,所以若持续用此检测方法检测,会造成不必要的资源浪费。
[0008] 3、该方案需要采集多个路由器的信息,路由器之间需要交互,信息需要综合,同时需要在多个路由器设置检测设备,这显然会增加检测的时间和资源消耗。
发明内容
[0009] 本发明的实施例提供了一种检测低速率拒绝服务攻击的方法及装置,能够以很低的检测成本进行低速率拒绝服务攻击检测。
[0010] 一种检测低速率拒绝服务攻击的方法,包括:
[0011] 对网络链路的参数进行周期性的第一级检测,当所述参数的检测值低于设定的下限值时进入第二级检测;
[0012] 在第二级检测中,在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测;
[0013] 在第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
[0014] 一种检测低速率拒绝服务攻击的装置,包括:
[0015] 第一级检测单元,用于对网络链路的参数进行周期性检测,当所述参数的检测值低于设定的下限值时触发第二级检测单元;
[0016] 所述第二级检测单元,用于在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,触发第三级检测单元;
[0017] 所述第三级检测单元,用于对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
[0018] 由上述本发明的实施例提供的技术方案可以看出,由于本发明实施例采用分级结构进行低速率拒绝服务攻击的检测,因此可以通过第一级检测及时发现网络链路异常,又能够通过第二级检测对异常进行初步确认,从而避免了过早进行随机采样、计算的处理过程。因此,本发明实施例可以在及时发现网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
附图说明
[0019] 图1为本发明实施例提供的一种实现方案的方法流程示意图;
[0020] 图2为本发明实施例提供的一种实现方案的处理流程图;
[0021] 图3为本发明实施例的第一级检测示意图;
[0022] 图4为本发明实施例提供的第二级检测循环的处理过程示意图;
[0023] 图5为本发明实施例提供的采样示意图;
[0024] 图6为本发明实施例提供的第三级检测的处理过程示意图;
[0025] 图7A为本发明实施例提供的网络在正常状态与被低速率拒绝服务攻击状态时的归一化功率谱密度对比示意图;
[0026] 图7B为本发明实施例提供的将图7A局部放大的示意图;
[0027] 图8为本发明实施例提供的检测低速率拒绝服务攻击的装置结构示意图。
具体实施方式
[0028] 在本发明实施例中,为了以很低的检测成本进行低速率拒绝服务攻击检测,提供一种检测低速率拒绝服务攻击的方法,通过对网络链路分级检测实现,具体可以包括:对网络链路的参数进行周期性的第一级检测,当所述参数的检测值低于设定的下限值时进入第二级检测;第二级检测中,在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测;第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较所述功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
[0029] 其中,第一级检测用于发现网络链路的异常,第二级检测用于对异常状态进行初步判断,第三级检测用于对低速率拒绝服务攻击进行准确确认。
[0030] 为便于对本发明实施例的理解,下面将结合附图对本发明实施例提供的方法进行描述。
[0031] 图1是本发明实施例提供的一种实现方案的方法流程示意图,如图1所示,本发明实施例的三级检测方法流程可以包括:
[0032] 11:对网络链路的参数进行周期性的第一级检测,当所述参数的检测值低于设定的下限值时进入第二级检测;
[0033] 12:在第二级检测中,在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,进入第三级检测;
[0034] 13:在第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较该功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
[0035] 上述方法流程中,采用分级结构进行低速率拒绝服务攻击的检测,可以在第一级检测发现网络链路异常时进入第二级检测;又通过第二级检测对异常状态进行初步判断,从而避免了过早进行随机采样、计算的处理过程。第三级检测则利用低速率拒绝服务攻击流造成的频域异常的特征,来进行判断并输出检测结果。因此,本发明实施例可以在及时发现网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
[0036] 为便于对本发明实施例的理解,下面将结合附图对本发明实施例提供的实现方案进行详细描述。
[0037] 图2是本发明实施例提供的一种实现方案的处理流程图,如图2所示,在该实现方案中,具体处理过程可以包括:
[0038] 21:对网络链路的参数进行周期性的第一级检测;所述的参数包括下述至少一项:拥塞窗口均值ACW,收到的ACK响应包数,丢包率PLR,接收包数IPN(可以指路由器接收的包数,也可以包括丢包的数量)以及信道利用率;
[0039] 需要说明的是,上述参数的选择是基于检测参数容易获取、检测参数能够灵敏的体现异常的原则进行选取的,本实施例仅列举了上述5个参数,并根据适用网络为上述参数设置相应的上、下限值;在实际应用中,还可以选取其它参数对网络链路进行检测;
[0040] 可以看出,网络在正常情况下循环处于第一级检测,用于及时发现网络的异常情况,但对异常种类不做区分;也就是说,每隔设定的时间长度对网络链路进行一次第一级检测,具体如图3所示,可以在每个检测周期period1的最后的timeslice1时间段内进行第一级检测;
[0041] 22:在第一级检测发现异常的情况下,进入第二级检测;异常情况是指,所述参数的检测值低于设定的下限值,具体可以为下述至少一项:拥塞窗口均值ACW小于设定的下限值P1;或收到的ACK响应包数小于设定的下限值P2;或接收包数IPN小于设定的下限值P3且信道利用率低于设定的下限值P4;
[0042] 需要说明的是,当出现下述至少一种情况:信道利用率大于设定的上限值P5,或丢包率大于设定的上限值P6,或接收包数大于设定的上限值P7时,则认为第一级检测发现异常情况,并且该异常可能是Flood(洪水)攻击,此时同样退出第一级检测并进入第二级检测;
[0043] 此外,当网络处于第一级检测的时间超过了预设时间长度,为防止异常漏报的情况,则退出第一级检测并进入第二级检测;
[0044] 23:进行第二级检测时,对上述异常情况进行初步判断;具体的,在设定时间长度内根据随机过程均匀分布间隔,对网络链路的接收包数IPN和拥塞窗口均值ACW进行采样;每次采样时间为一个时间片,根据采样统计所有时间片,当得出处于接收包数IPN和拥塞窗口均值ACW均分别低于设定的下限值状态的时间片数量超过预设数量,则进入第三级检测;
[0045] 此外,还可以增加检测次数,即进行第二级检测循环,以获取更精准的检测结果;具体的,若接收包数IPN和拥塞窗口均值ACW均分别高于设定的下限值,并且接收包数IPN低于设定的上限值;或者,当统计所有时间片得出部分时间片处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值的状态,但所述部分时间片的数量未超过规定数量,则进入第二级检测循环,以进一步检测确认;
[0046] 24:所述第二级检测循环的处理过程,可以包括:对网络链路的接收包数IPN和拥塞窗口均值ACW进行设定次数的周期性检测;若接收包数IPN和拥塞窗口均值ACW均没有超出设定值范围,则退出第二级检测循环;若接收包数IPN和拥塞窗口均值ACW均超出设定值范围,则认为链路异常;进入第三级检测,以进一步确认是否存在低速率拒绝服务攻击;
[0047] 25:在第三级检测中,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较该功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果,具体可以包括:对网络链路的接收包数IPN进行采样,计算该采样数据的功率谱密度,取20Hz为检测点,若该采样数据的归一化累积功率谱密度大于等于0.4,则判断为网络链路存在低速率拒绝服务攻击,并输出检测结果。
[0048] 上述采用分级结构进行低速率拒绝服务攻击的检测流程中,在第一级检测发现网络链路异常时进入第二级检测;又通过第二级检测对异常状态进行初步判断,从而避免了过早进行随机采样、计算的处理过程。第三级检测则利用低速率拒绝服务攻击流造成的频域异常的特征,来进行低速率拒绝服务攻击判断并输出检测结果。因此,本发明实施例可以在及时发现网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
[0049] 在实际应用中,上述步骤24的第二级检测循环的处理过程如图4所示,具体可以包括:
[0050] 401:在设定时间长度内根据随机过程均匀分布间隔,对网络链路的接收包数IPN和拥塞窗口均值ACW进行采样;
[0051] 具体的,由于低速率拒绝服务攻击本身是根据固定时间间隔进行攻击的,为了避免采样时间与攻击频率同步,本实施例按照随机过程均匀分布间隔进行采样;如图5所示,在Period2时间内按照随机过程均匀分布间隔对网络参数进行N次采样,每次采样时间长度为timeslice2,称为一个时间片;也就是说,在Period2时间内采样得到N个时间片;
[0052] 402:综合采样结果,确认本次第二级检测结果;采样得到N个时间片后,需要对每个时间片的状态进行确认分类,时间片的状态有如下三种:
[0053] 喷涌状态Spurt,在该时间片内,有大量报文到来,并超过设定的接收包数IPN上限,则这种状态的时间片可能处于低速率拒绝服务攻击阶段,或者FLOOD攻击阶段,或正常的报文大量传输阶段;
[0054] 沉寂状态Silence,在该时间片内,接收包数IPN低于设定的下限,并且拥塞窗口均值也低于设定的下限,则这种状态的时间片可能处于受到低速率拒绝服务攻击以后造成的沉寂阶段;也就是尽管瞬时高速攻击流结束了,但是低速率拒绝服务攻击却使系统接近瘫痪;
[0055] 正常状态Regular,在该时间片内,接收包数IPN处于设定的上、下限之间,并且拥塞窗口均值也高于设定的下限,则可以认为网络处于正常状态;
[0056] 根据上述分类,当统计得出处于喷涌状态Spurt的时间片的数量与所有时间片的数量比值,高于设定的FLOOD门限值时,则进行403;
[0057] 当统计所有时间片得出处于沉寂状态的时间片的数量与所有时间片的数量比值,高于设定的低速率拒绝服务攻击门限值时,进行404;
[0058] 当统计所有时间片得出处于沉寂状态Silence的时间片的数量与所有时间片的数量比值,低于设定的低速率拒绝服务攻击门限值时,但为了避免漏报,可以设置一个下限(这个下限甚至可以为0),进行405;
[0059] 当统计所有时间片得出上述情况以外的结果时,即认为网络链路处于正常状态,进行406;
[0060] 403:认为网络链路当前可能处于被FLOOD攻击状态,则进行407;
[0061] 404:认为网络链路当前可能处于被低速率拒绝服务攻击的状态,则进行408;
[0062] 405:怀疑网络链路当前处于被低速率拒绝服务攻击的状态,则进行409;
[0063] 406:认为网络链路当前可能处于正常状态,进行409;
[0064] 407:输出当前网络链路处于被FLOOD攻击的检测结果;
[0065] 408:进入第三级检测,以进一步确认该异常是否为低速率拒绝服务攻击;
[0066] 409:进入第二级检测循环,以增加检测次数,进行更精准的判断;
[0067] 进入第二级检测循环时,先设置检测次数门限值和正常指数初值与可疑指数初值;在每一次第二级检测之后,根据检测结果是正常还是可疑相应地将正常和可疑指数每次加1;当某一个指数达到状态门限的时候,循环结束;当状态门限值为n时,第二级检测循环次数最大即为2n-1;
[0068] 在循环检测过程中,若根据检测结果认为网络链路当前可能处于被FLOOD攻击或低速率拒绝服务攻击时,则结束该循环,进行410;若循环过程中,由于正常指数达到了门限值而退出该循环,则进行411;若循环过程中,由于可疑指数达到了门限值而退出该循环,则进行410;
[0069] 410:进入第三级检测;
[0070] 411:输出当前网络链路处于正常状态的检测结果。
[0071] 通过上述第二级检测循环,可以对第二级检测中的可疑状态进行多次检测,以获得更准确的检测结果,从而提高检测的准确性。
[0072] 在实际应用中,上述步骤25的第三级检测的处理过程如图6所示,具体可以包括:
[0073] 601:以第二级检测中采样得到的多个接收包数IPN作为第三级检测的输入,求出其归一化功率谱密度(NCPSD);
[0074] 具体的,以输入的接收包数IPN分布符合广义平稳随机过程为例,其随机过程表示为:{X(t),t=nΔ,n∈N},
[0075] 其中,Δ为采样间隔,X(t)为在时间(t-Δ,t]时间内的接收到的包数;
[0076] 当Δ=1ms时,根据奈奎斯特定律,能够分析的最高频率是500Hz;
[0077] 由于自相关函数能够强化周期性特点,利用X(t)的自相关函数求取功率谱密度;
[0078] 自相关函数:
[0079] 功率谱密度: 其中,K=0,1,2,...,N-1;
[0080] 得到X(t)的功率谱密度后,进一步计算得到X(t)的归一化功率谱密度(NCPSD);
[0081] 602:以采样间隔为1ms为例,以20Hz为检测点,判断计算得到的X(t)的归一化功率谱密度(NCPSD)是否大于0.4;若大于0.4,则进行603,若小于等于0.4,则进行604;
[0082] 图7A是网络在正常状态与被低速率拒绝服务攻击状态时的归一化功率谱密度对比示意图,其中,实线示出了网络被低速率拒绝服务攻击时的归一化功率谱密度曲线,而虚线则示出了网络在正常状态下的归一化功率谱密度曲线;从图7A可以看出,低速率拒绝服务攻击具有在频域上能量分布在低频阶段的特征;图7B是将图7A中频率为0~50Hz的部分放大后的示意图;可以看出,在频率为20Hz的地方,存在低速率拒绝服务攻击时的归一化功率谱密度远远大于0.4的,而正常状态下的归一化功率谱密度则是小于0.4的;因此若计算得到的X(t)的归一化功率谱密度(NCPSD)大于0.4,则说明存在低速率拒绝服务攻击;若小于等于0.4,则说明网络处于正常状态;
[0083] 603:输出存在低速率拒绝服务攻击的检测结果,以及检测正确概率;具体的,检测正确概率用Pt表示;由于根据中央极限定理,当采样数足够大的时候,随机过程分布近似为高斯分布;即, 因此,检测出当前存在低速率拒绝服务攻击的正确概率 其中μ1=0.7815,σ1=0.1641;
[0084] 604:输出网络处于正常状态的检测结果,以及检测正确概率;具体的,检测正确概率用Pt表示;即,检测出当前的数据流是正常的TCP流的正确概率其中μ0=0.3310,σ0=0.2746。
[0085] 上述第三级检测过程中,以输入包流作为采样数据,每隔1ms采样一次,求出采样数据的归一化功率谱密度(NCPSD);并根据低速率拒绝服务攻击的频域特性,以20Hz为检测点,当归一化功率谱密度大于0.4,则认为存在低速率拒绝服务攻击,否则当前的数据流为正常TCP流。同时,输出的还有以概率形式表示的检测的准确度。
[0086] 可以看出,本发明实施例采用分级结构进行低速率拒绝服务攻击的检测,可以在第一级检测发现网络链路异常时进入第二级检测;又通过第二级检测对异常状态进行初步判断,从而避免了过早进行随机采样、计算的处理过程。第三级检测则利用低速率拒绝服务攻击流造成的频域异常的特征,来进行判断并输出检测结果。因此,本发明实施例可以在及时发现各种网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
[0087] 本发明实施例还提供了相应的检测低速率拒绝服务攻击的装置,具体实现结构如图8所示,可以包括:
[0088] 第一级检测单元81,用于对网络链路的参数进行周期性检测,当所述参数的检测值低于设定的下限值时触发第二级检测单元82;
[0089] 所述第二级检测单元82,用于在设定时间长度内对网络链路的参数进行设定次数的采样,当统计得出的采样结果超出设定的正常值范围时,触发第三级检测单元83;
[0090] 所述第三级检测单元83,对网络链路的参数进行采样,计算采样数据的功率谱密度,比较该功率谱密度和低速率拒绝服务攻击的频域特征,输出检测结果。
[0091] 其中,所述第二级检测单元82可以包括:
[0092] 采样处理子单元821,用于在设定时间长度内根据随机过程均匀分布间隔,对网络链路的接收包数IPN和拥塞窗口均值ACW进行采样;每次采样时间为一个时间片,并计算采样结果;
[0093] 监测子单元822,用于根据所述采样处理子单元821的得到的结果,在处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值状态的时间片数量超过预设数量时,触发所述第三级检测单元83;
[0094] 进一步的,所述监测子单元822,还用于当统计所有时间片得出接收包数IPN和拥塞窗口均值ACW均分别高于设定的下限值,并且接收包数IPN低于设定的上限值,则触发所述第二级检测单元82的第二级检测循环子单元823;或者,当统计所有时间片得出部分时间片处于接收包数IPN和拥塞窗口均值ACW均低于设定的下限值的状态,但所述部分时间片的数量未超过规定数量,则触发第二级检测循环子单元823;
[0095] 所述第二级检测循环子单元823,用于对网络链路的接收包数IPN和拥塞窗口均值ACW进行设定次数的周期性检测,当接收包数IPN和拥塞窗口均值ACW均没有超出设定值范围,则退出第二级检测循环;当接收包数IPN和拥塞窗口均值ACW均超出设定值范围,则触发所述第三级检测单元83。
[0096] 所述第三级检测单元83,具体可以包括:
[0097] 采样计算子单元831,用于对网络链路的接收包数IPN进行采样,计算采样数据的功率谱密度;
[0098] 判断子单元832,用于取20Hz为检测点,当采样计算子单元得出的采样数据的归一化累积功率谱密度大于0.4,则确定网络链路存在低速率拒绝服务攻击。
[0099] 进一步的,所述第一级检测单元81,还可以用于在监测到处于第一级检测的时间超过了预设时间长度时,触发所述第二级检测单元82。
[0100] 通过上述装置,可以实现采用分级结构进行低速率拒绝服务攻击的检测,在第一级检测发现网络链路异常时进入第二级检测;又通过第二级检测对异常状态进行初步判断,从而避免了过早进行随机采样、计算的处理过程。第三级检测则利用低速率拒绝服务攻击流造成的频域异常的特征,来进行判断并输出检测结果,从而避免了过早进行随机采样、计算的处理过程。因此,本发明实施例可以在及时发现网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
[0101] 本发明实施例中的上述装置和各单元可以设置于各种网络设备中,例如将上述装置设置于路由器中,因此通过本发明实施例能够以很低的检测成本在路由器端进行低速率拒绝服务攻击检测。
[0102] 综上所述,本发明各实施例和现有技术中相比,由于发明实施例采用分级结构进行低速率拒绝服务攻击的检测,因此可以通过第一级检测及时发现网络链路异常,包括引发网络拥塞、链路利用率异常的情况都可以被检测到,又能够通过第二级检测对异常进行初步确认,从而避免了过早进行随机采样、计算的处理过程。并且不需要多个路由器协作就可以实现低速率拒绝服务攻击的检测,因此,本发明实施例可以在及时发现各种网络链路异常的同时,降低检测低速率拒绝服务攻击的成本。
[0103] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。