新書推薦:
《
绘画的基础 彩色铅笔技法入门教程
》
售價:NT$
279.0
《
听闻远方有你2
》
售價:NT$
240.0
《
牛津分配正义手册
》
售價:NT$
2016.0
《
全域增长:从战略制定到战术执行
》
售價:NT$
661.0
《
澎湖湾的荷兰船:十七世纪荷兰人怎么来到台湾
》
售價:NT$
370.0
《
银元时代生活史
》
售價:NT$
493.0
《
大唐兴衰三百年3:从女主当国到开元盛世
》
售價:NT$
325.0
《
直击核心:通向卓越教练之路的革命性方法
》
售價:NT$
549.0
|
| 編輯推薦: |
|
《基于信号处理的低速率拒绝服务攻击的检测技术》内容由浅入深,涵盖了LDoS的知识,为读者更深入地掌握LDoS检测和防御技术提供了参考。《基于信号处理的低速率拒绝服务攻击的检测技术》可作为网络安全研究领域科研人员和网络设计工程人员的参考书。
|
| 內容簡介: |
|
针对低速率拒绝服务(LDoS)攻击具有平均流量低(占用较小的共享带宽)的特点,《基于信号处理的低速率拒绝服务攻击的检测技术》在时域采用数据包统计的方法分析LDoS攻击流量的特性,在频域采用频谱分布统计的方法研究LDoS攻击的特征,采用经典的数字信号处理技术对网络流量数据进行采样和处理,完成LDoS攻击的特性分析、特征检测和流量过滤等关键技术的研究。《基于信号处理的低速率拒绝服务攻击的检测技术》共9章,包括:(1)LDoS攻击的时域流量建模;(2)LDoS攻击性能的研究;(3)基于互相关的LDDoS攻击时间同步和流量汇聚方法;(4)LDoS攻击的时频域特征及其检测方法;(5)基于卡尔曼滤波一步预测技术的LDoS攻击检测方法;(6)基于Duffing振子的LDoS攻击检测方法;(7)基于漏值多点数字平均的LDoS攻击检测方法;(8)基于信号互相关的LDoS攻击检测方法;(9)基于数字滤波器的LDoS攻击过滤方法。
|
| 目錄:
|
序
前言
第1章低速率拒绝服务攻击原理与模型
1.1引言
1.1.1背景
1.1.2国内外研究概况
1.1.3存在问题和发展趋势
1.2LDoS攻击原理
1.2.1针对TCP拥塞控制机制的LDoS攻击
1.2.2针对路由器主动队列管理机制的LDoS攻击
1.3LDoS与FDoS攻击的比较
1.3.1攻击模型的比较
1.3.2攻击流特性的比较
1.3.3防火墙敏感度的比较
1.4本章小结
第2章低速率拒绝服务攻击性能评估
2.1NS-2仿真环境下的LDoS攻击性能
2.1.1对端系统攻击性能
2.1.2针对链路攻击性能
2.2真实网络环境下的LDoS攻击性能
2.2.1针对Web服务的攻击性能测试
2.2.2针对FTP服务的攻击性能测试
2.3本章小结
第3章LDDoS攻击的时间同步和流量汇聚
3.1LDDoS攻击流量汇聚模型
3.2互相关算法
3.3基于互相关算法的LDDoS攻击流量的同步与汇聚
3.3.1攻击脉冲在网络传输中的失真
3.3.2LDDoS攻击时间同步与流量汇聚方法
3.4基于互相关算法的时间同步与流量汇聚攻击效果分析
3.4.1基于互相关算法的时间同步与流量汇聚的仿真模型
3.4.2对于脉冲幅度减半、攻击周期不变形式的LDDoS攻击
3.4.3对于脉冲幅度不变、攻击周期加倍形式的LDDoS攻击
3.5本章小结
第4章LDoS时频域特征及其检测方法
4.1LDoS攻击的时域特征
4.1.1攻击包过程分析
4.1.2攻击流量特征分析
4.2LDoS攻击的频域特征
4.2.1幅度谱分析
4.2.2功率谱分析
4.3基于时频域的LDoS攻击检测方法
4.3.1时间窗统计检测算法与流程
4.3.2频谱检测算法与流程
4.3.3时频域混合检测算法与流程
4.4仿真实验与结果分析
4.4.1实验测试环境
4.4.2实验结果与分析
4.5本章小结
第5章基于卡尔曼滤波的LDoS攻击检测方法
5.1信号处理相关算法在检测LDoS方面的应用
5.1.1DTW方法在LDoS检测中的应用
5.1.2小波分析在LDoS中的应用
5.2基于小波变换的流量特征提取
5.2.1小波分析原理与Mallat算法
5.2.2提取波形趋势
5.3基于卡尔曼滤波的LDoS攻击的检测方法
5.3.1流量模型分析
5.3.2卡尔曼滤波算法
5.3.3一步预测与最优估计检测
5.3.4假设检验
5.4仿真实验与结果分析
5.4.1实验环境与检测流程
5.4.2实验结果与分析
5.4.3检测体系的部署
5.5本章小结
第6章基于Duffing振子的LDoS攻击检测方法
6.1混沌理论
6.2Duffing振子检测微弱信号原理
6.2.1Duffing系统的基本原理
6.2.2Duffing系统的阈值确定
6.3网络流量的时频域分析
6.3.1正常TCP流量的时域分析
6.3.2正常TCP流量的频域分析
6.3.3混合流量的时频分析
6.4基于Duffing振子检测LDoS攻击的核心算法
6.4.1检测思路
6.4.2LDoS攻击检测模型的建立
6.4.3LDoS攻击参数的估计
6.5实验和结果分析
6.5.1仿真环境搭建
6.5.2正常流仿真
6.5.3异常流仿真
6.5.4参数估计
6.6本章小结
第7章基于小信号模型的LDoS攻击检测方法
7.1TCP和LDoS攻击流量分析
7.1.1TCP流量分析
7.1.2LDoS攻击流量分析
7.2基于小信号检测理论的LDoS攻击检测
7.2.1漏值多点数字平均原理
7.2.2小信号检测理论
7.2.3小信号理论检测LDoS攻击
7.3实验和结果分析
7.3.1正常流量的实验结果
7.3.2不同攻击周期的实验结果
7.3.3不同搜索间隔的实验结果
7.4攻击与检测效果测试
7.4.1实验环境
7.4.2LDoS攻击工具介绍
7.4.3测试内容与结果
7.4.4检测过程
7.4.5实验结果与分析
7.5本章小结
第8章基于信号互相关的LDoS攻击检测方法
8.1循环卷积的互相关算法
8.2基于循环卷积互相关的LDoS攻击检测
8.3检测序列的构造
8.3.1参数R的预估计
8.3.2参数L的预估计
8.3.3参数T的预估计
8.4实验与结果分析
8.4.1实验环境
8.4.2结果与分析
8.5本章小结
第9章基于数字滤波器的LDoS攻击过滤方法
9.1数字信号处理相关概念介绍
9.1.1离散傅里叶变换
9.1.2快速傅里叶变换
9.1.3功率谱估计
9.1.4数字滤波器
9.2基于频域分析的FIR数字滤波器的设计
9.2.1频域分析与滤波原理
9.2.2实验结果与分析
9.3基于频谱分析的梳状滤波器的设计
9.3.1频谱分析与滤波原理
9.3.2基于梳状滤波器的LDoS仿真实验与结果分析
9.4本章小结
参考文献
|
| 內容試閱:
|
第1章低速率拒绝服务攻击原理与模型
长期以来,拒绝服务(denial of service,DoS)攻击是大型网络主要的安全威胁之一,造成了巨大的经济损失。随着DoS攻击技术的演变,出现了一种新型的DoS攻击,称为低速率拒绝服务(low-rate denial of service,LDoS)攻击。
2001年,在Internet2 Abilene骨干网络上第一次检测到LDoS攻击方式,它是一种周期性的脉冲(pulse)攻击。由于该攻击在时域(time domain)上平均速率很低,具有攻击流量占用带宽小的特点,所以Kuzmanovic和Knightly形象地将其称为“地鼠”拒绝服务(shrew DoS)攻击;而该攻击的信号形式为周期性脉冲,Iwanari等又将其称为“脉冲”攻击;LDoS攻击的最终目的是降低被攻击目标的服务质量,Guirguis等将其称为“降质”(reduction of quality,RoQ)攻击。
LDoS与传统的泛洪拒绝服务(flood denial of service,FDoS)攻击不同,LDoS攻击以降低系统的服务质量为目的,攻击者不需要长期维持高速率的攻击流,而是利用网络协议或者应用服务自适应机制的漏洞,周期性地发送脉冲式的攻击流。由于攻击流只在特定的短时间内发送,而同一周期其他时间段内不发送任何流量,所以LDoS攻击的平均攻击速率比较低,甚至低于合法用户的平均流量。LDoS攻击可以被认为是对传统DoS攻击的改进形式,这种低速率的特性使其更加隐蔽,不容易被检测和防范。
1.1引言
随着互联网技术及应用的飞速发展与普及,我国网民数量急剧增长,《第34次中国互联网络发展状况统计报告》显示,截至2014年6月,中国网民规模达6.32亿人,较2013年年底增加了1442万人,互联网普及率为46.9%。然而随之而来的网络安全形势日益严峻,病毒、木马、黑客频繁行动,频频发生的网络恶意攻击导致财产损失的情况让众多互联网用户对网络信息安全缺乏信心,这一切无疑对正在迅速发展的互联网产业产生了严重影响。
1.1.1背景
经济利益已经成为攻击、病毒等恶意程序制造者最大的驱动力。恶意程序制造者已经不再以炫耀自己的技术为目的,也不再“单打独斗”,而是结成了团伙,进而形成一整条黑色产业链。从事此类恶意行为的成本很低,收益很大,但调查处理的成本很高,这是其愈演愈烈的根本原因之一。
DoS攻击利用多台已经被攻击者所控制的机器对某一台单机发起攻击,在带宽有限的情况下,被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式,DoS攻击主要瞄准比较大的站点,如商业公司、搜索引擎和政府部门的站点。2000年以来,全球许多著名的网站,如Yahoo、CNN、Buy、eBay等,包括新浪网(中国)相继遭到DoS攻击;俄罗斯黑手党在敲诈某银行和赌场未遂后,实施DoS攻击导致一家中型电信运营商全部掉线。Arbor Networks宣告2014年上半年是容量耗尽、DoS攻击最频繁的时期。因此,DoS攻击被认为是互联网服务提供商(Internet Service Provider,ISP)目前最大的运营危害。近来国内安全站点黑客基地也因受到攻击而经常不能提供Web服务。2004年10月17日,国内某著名公司因遭受低速洪水攻击而使得大多数用户不能登录其即时聊天系统;2006年10月17日,国内多家网站受到LDoS攻击。LDoS攻击包穿透电信的多层路由过滤和各个公司的入侵检测系统,直达服务器,造成多家国内大型网站停止服务。严峻的网络安全形势说明网络进入了软绑架勒索时代,DoS会造成严重的经济损失和恶劣的社会影响,所以检测和防御DoS攻击刻不容缓。
DoS攻击犯罪有两个明显不同于传统犯罪的特点:①犯罪现场的不确定性,带来了电子证据的法律效力及有关损失的评估难题;②立法执法跟不上形势,很难了解犯罪行为造成的破坏价值。如果这种攻击被用于攻击基础网络,那么带来的损失不可估量。
LDoS是利用TCP拥塞控制机制或路由器主动队列管理机制的漏洞,通过估计合法TCP流的超时重传(retransmission time out,RTO)作为低速率攻击发包的周期T,周期性地发送短脉冲,使得攻击流可以周期性地占用网络带宽,这样就会使合法的TCP流总是认为网络的负担很重,造成所有受其影响的TCP流进入超时重传状态,最终使得受害主机的吞吐量大幅度降低。这种攻击具有隐蔽性强、流量小等特点,很难被常规的针对传统拒绝服务攻击的检测机制检测到,可使受害机器长时间遭受攻击而不被发现,它所表现出的破坏性甚至比传统的DoS攻击更大,危害性更是不可估量。如果该攻击技术被黑色产业链所掌握,那么后果将十分严重。因此,针对LDoS攻击的产生机理、检测算法和过滤方法的研究十分必要和紧迫,研究成果有助于阻断黑色产业链经营者利用LDoS攻击作为营利手段,避免攻击造成国家经济的巨大损失和社会形象的负面影响。
1.1.2国内外研究概况
LDoS从2001年被发现以来,引起了世界上很多研究者的关注。在国际上,Kuzmanovic和Knightly最早对LDoS的产生原理进行了比较详细的分析,并对LDoS的周期脉冲特性进行了深入研究,挖掘了LDoS攻击产生溢出的方法,提出了基于网络的防御思想;Cheng等首先提出了在频域(frequency domain)利用归一化累积功率谱密度(normalized cumulative power spectrum density,NCPSD)检测LDoS攻击的方法;Barford等提出了采用信号处理的方法检测网络中异常流量的方法;Maciá-Fernández和Chen等比较完善地研究了在频域检测LDoS攻击的方法,并在嵌入式环境下进行了测试;Luo和Chang对LDoS攻击的性能进行了仿真和试验,并采用小波(wavelet)检测技术在频域中检测LDoS攻击;Maciá-Fernández等研究了LDoS针对应用服务器的攻击模型。目前,国际上针对LDoS的研究大都集中在其检测和防御上。
在国内,北京邮电大学信息安全中心的杨义先教授领导的研究团队研究了一种检测低速率拒绝服务攻击的方法及装置;钮心忻教授领导的研究小组研究了低速率拒绝服务攻击的三级检测算法;武汉大学计算机学院的何炎祥教授带领的研究小组开展了对LDoS攻击模型等的相关研究,并提出一种基于小波特征提取的LDoS检测方法;中国科学技术大学的研究小组研究了LDoS针对快速TCP攻击的性能;国防科学技术大学计算机学院的张长旺等研究了基于拥塞参与度的LDoS攻击检测过滤方法;浙江大学的魏蔚等研究了低速率TCP拒绝服务攻击的检测响应机制和基于秩相关的检测分布式反射DoS攻击的方法;上海交通大学研究了基于快速重传恢复的低速率拒绝服务攻击机制。
本书在分析LDoS攻击原理和产生机制的基础上,针对其攻击性能进行了研究,并采用信号处理技术,在基于功率谱密度(power spectral density,PSD)的检测和频域过滤LDoS攻击方面取得了一些进展。
1.1.3存在问题和发展趋势
DoS攻击之所以相对容易形成,主要原因是Internet缺乏有效的认证机制,其开放的结构使得任意数据包都可以到达目的地。而且,现有很多DoS工具可以任意下载,并被加以利用,这为发起DoS攻击创造了便利。据报道,目前精心构造的攻击甚至能够达到200Gbits左右的攻击流量,足以充斥任何一个服务器的接入带宽。因此,DoS攻击的解决方案一直是网络安全研究领域的难点问题。
在合法TCP流和LDoS流发往同一目的地的情况下,LDoS流表现出两个不同的重要行为。
(1)LDoS流的最高速率将保持不变,而TCP流呈线性增长。
(2)LDoS流在相对固定的时间周期到达目的地,而TCP流是连续到达的。
1.存在的问题
采用现有的通信量分析方法,周期性脉冲很难在时间域被检测出来,这是因为平均共享的带宽并不是非常大。在分布式的情况下,成倍的傀儡机发起的攻击会进一步降低单个通信量的速率,因此检测更加困难。分布式攻击发起者可以通过降低最高速率或者延长攻击周期来降低平均通信量,所以用时间序列检测这类攻击是毫无效果的。现有的攻击检测手段基本是基于时间序列的,对LDoS攻击的检测是个盲点。
目前LDoS攻击之所以没有在国内全面报道或者形成轰动效应的主要原因如下。
(1)现有检测手段很难发现LDoS攻击。目前入侵检测手段采用时间统计的方法,即在设定的检测时间内对攻击包的个数进行统计,根据统计流量的大小来判定是否存在攻击。由于LDoS攻击脉冲的持续时间很短,远小于现有检测方法设定的平均检测时间,而且LDoS攻击的平均流量很小,只有正常流量的10%~20%。因此,现有检测手段对于LDoS攻击的检测存在一定的缺陷。
(2)LDoS攻击需要的专业知识较多。一般黑客即便掌握了LDoS攻击的产生技术,但由于攻击时间同步和流量汇聚等关键技术不能很好地解决,所以发起LDoS攻击的概率很小。
(3)当前大多数网络攻击是以金钱为利益驱使的。高技术、高危害度的攻击掌握在少数的黑客手中,在有利可图的情况下,出租攻击网络给出钱人,去破坏或者报复选定的目标。因此,黑客不轻易发起LDoS攻击。
2.发展趋势
在DoS攻击的处理上,目前国际上流行采用信号处理与网络流量数据处理技术相结合的方法,把经典的信号检测理论和滤波器理论应用到攻击流量的检测和过滤方法中。例如,采用归一化累积功率谱密度作为检测LDoS攻击的判定依据,以及采用小波分析技术在频率分量中发现攻击分量等。所以,本书研究的主要思路就是将LDoS攻击的流量当做小信号(small signal)处理,采用数字信号处理(digital signal processing,DSP)技术实现LDoS攻击的检测和过滤。
1.2LDoS攻击原理
LDoS攻击可以分为两种形式:第一种是利用TCP拥塞控制机制;第二种是利用路由器主动队列管理机制。这两种攻击形式没有本质的区别,都是利用系统自适应机制的漏洞,通过虚假的拥塞信号使端系统或链路处于不稳定的状态,这种不稳定状态最终导致系统服务质量(quality of service,QoS)大大降低。
LDoS攻击的形式变化多样,但是基本特征始终不变。典型的LDoS攻击的数学模型如图1-1所示。
一个单源LDoS攻击脉冲序列可以用一个四元组表示为ATExtent, SExtent, TSpace, N。其中,TExtent是脉冲攻击长度,代表攻击者持续发包的时间段;SExtent是脉冲幅度,代表流量的最高速率;TSpace表示两个脉冲之间的时间间隔;N是一次攻击发出的脉冲总数,如图1-1a所示。而多源LDoS攻击需要产生周期、幅度等特征一致的方波,这些方波到达受害者端恰好汇聚成一个足够大的脉冲,图1-1b所示为两个半脉冲速率的LDoS攻击流;图1-1c所示为两个等脉冲速率双倍周期的LDoS攻击流。
要想获得更佳的攻击效果,LDoS攻击一般还需要具备以下必要条件。
(1)攻击的周期与TCP的RTO值相同。
(2)脉冲攻击幅度应足以造成包丢失。
(3)脉冲攻击长度应该比TCP流的往返时延大,从而引起拥塞。
图1-1LDoS攻击模型
1.2.1针对TCP拥塞控制机制的LDoS攻击
TCP是目前互联网中使用最广泛的传输协议。根据美国世界通信公司(WorldCom)的统计,互联网上总字节数的95%及总数据包数的90%均使用TCP传输。TCP采用流量控制、拥塞控制和差错控制作为最基本的可靠性技术。其中,拥塞控制是为了避免由于网络拥塞而造成数据频繁重发继而带来更严重的网络拥塞。然而,TCP的拥塞控制机制存在一定的安全漏洞,因此,攻击者可以利用TCP拥塞控制机制存在的漏洞发起LDoS攻击。
TCP拥塞控制机制,无论慢启动、超时重传还是和式增加、积式减小,其核心思想都是不断探测网络所能承受的最大传输上限。当发现网络数据包丢失时,认为达到网络传输上限,迅速减小拥塞窗口,避免给网络带来更严重的拥塞。L
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
