一種新的RoQ攻擊的識別方法

金鑫，安茂波，于濤，劉佳

（國家計算機網絡與信息安全管理中心，北京　100031）

一種新的RoQ攻擊的識別方法

金鑫，安茂波，于濤，劉佳

（國家計算機網絡與信息安全管理中心，北京100031）

0　引言

“互聯網+”概念的提出，給各行各業提供了一種新的發展模式，但是當前網絡安全事件頻發給“互聯網+”的推動蒙上了一層陰影。本文針對網絡安全中常出現的拒絕服務 （DoS）攻擊演變過來的一種新的攻擊手段——降質（Reduction of Quality，RoQ）攻擊，所謂的降質攻擊主要是針對網絡中的瓶頸鏈路而非網絡終端，同時該攻擊手段采用較小的攻擊成本，通過瞬間的攻擊方式代替傳統的DoS的持續攻擊方式 （如UDP的flooding攻擊等），以降低或者抑制TCP服務質量作為攻擊的效果。

當前對于RoQ攻擊的研究國內外學者大多數是對RoQ攻擊的單連璐的檢測分析，如Yang［2］等人提出了一種基于廣義熵和信息距離這兩種信息度量的監測方法，用于檢測鏈路受到RoQ攻擊后的流量；Chen Hao［1］等人提出了使用頻譜特征分析的方法，通過RoQ攻擊前后流量在時域以及頻域等分布情況來確定網絡攻擊的檢測，這些測試方法都是針對單鏈路的監測，而在實際網絡應用中RoQ攻擊往往是針對多條鏈路的攻擊，然而針對全網骨干鏈路的RoQ檢測的研究現在還較少，為此本文提出一種新的RoQ攻擊的識別方法——L-RoQ（Locating the RoQ attack in backbone network），該方法主要通過頻譜分析技術對骨干網流量進行實時監測，當出現流量異常狀況時自動識別是否為RoQ攻擊，L-RoQ方法實現了多鏈路流量攻擊的監測。

1　一種新的RoQ識別方法介紹

1.1RoO攻擊原理

RoQ攻擊主要是針對網絡中的TCP協議，它利用了TCP擁塞控制的自適應機制，通過持續的流量填充的方式抑制了正常TCP數據的交互，這樣就達到了降低網絡中基于TCP應用的服務質量，因此將該類攻擊稱為降質攻擊。

如圖1描述了RoQ攻擊的基本原理，圖中橫軸表示網絡運行時間，時間T表示RoQ攻擊的周期，縱軸表示攻擊的瞬時網絡脈沖速率，其大小的控制以滿足足夠影響當前TCP數據正常交流為最低脈沖速率要求。圖中顯示了RoQ攻擊所具備的以下幾個特征：1＞RoQ需具備流量突變的特性，這樣才會產生瞬時高速的流量脈沖；2＞周期攻擊性，由圖1可以得出RoQ的攻擊是周期性的，根據RoQ的攻擊原理—通過瞬時流量脈沖占用帶寬降低TCP通信的效率，可知RoQ的攻擊必須具備周期性攻擊的特點，這樣才能確保TCP傳輸效率的周期性降低，達到網絡攻擊的效果。

圖1　 RoQ瞬時攻擊脈沖示意圖

1.2一種新的RoO攻擊的識別方法

（1）動態時間序列

本文所采用的檢測技術是基于滑動窗口技術的，這樣為了確保時間連續性的同時降低采樣數據所需的存儲成本，定義滑動窗口模型為w（S，ω，β），其中S為數據流，ω為滑動窗口的長度，β為滑動窗口的滑動步長，如圖2所示為一個滑動窗口模型，定義S（i，j）為第i～j節點間的數據流，該數據流遵循w（S，ω，β）協議，滑動窗口寬為ω，步長為β。

圖2　滑動窗口協議模型圖

（2）檢測模型的建立

網絡流的檢測需要確定檢測模型，由于網絡結構的復雜性，多鏈路處理需要對網絡結構進行劃分為模型中制定的流結構，本文采用文獻［4］中提出的檢測模型，定義TOD流［3］度量矩陣X（xij），其中xij表示第j個TOD流在第i個記錄時刻的時間間隔內的流量值。對TOD流進行P次采樣得出X=［X1，X2，…，Xp］，進行n次觀測得出觀測矩陣X。

流量異常的定位采用統計分布中的T2統計，如公式（1）所示計算器控制限，其中m為全部主特征個數，a為異常個數，α為顯著性水平，Fam-1，α為對應于顯著水平α且自由度為a（m-1）條件下的F分布臨界值，通過查表得出當臨界值超過99%的時候則證明網絡出現異常（此時T2≈7.8）。

（3）一種新的RoQ攻擊識別方法

通過1.2（2）中檢測模型的建立，本文提出一種新的RoQ檢測算法L-RoQ。

根據以上算法描述，頻譜分析的算法復雜度為o （n，logn），相比經典RoQ攻擊算法［5］在計算成本上有顯著的提升。

2　實驗驗證

實驗通過NS-3進行仿真驗證，設置一個50個節點的網絡模型，通過設置某幾個節點為攻擊節點，對網絡中鏈路進行RoQ攻擊，其余節點運行L-RoQ算法，對實驗數據進行分析計算得出圖3所示的T2統計量結果圖，根據結果顯示當T2值大于7.8時則出現RoQ攻擊，并且通過階段性實驗得出圖4所示的結果圖。

圖3　一個周期內的T2統計量結果圖

圖4　 T2周期檢測圖

同時對某一節點的流量進行TCP流量統計，如圖5所示。

圖5中通過L-RoQ算法多網絡中多條鏈路進行監測，通過對實驗數據分析得出TCP流量在周期內呈現瞬間下降的現象，通過實驗證明L-RoQ算法對復雜網絡RoQ攻擊的識別的準確度是比較高的。

圖5　 L-RoQ對多節點RoQ攻擊識別流量圖

3　結語

RoQ攻擊的監測研究作為網絡安全研究的重要研究課題，已得到了學者們的廣泛關注，本文提出了一種診斷全網RoQ攻擊的L-RoQ算法，該算法從全局角度考慮對多鏈路進行RoQ攻擊識別，實驗證明該方法在大規模網絡中對RoQ攻擊的識別是有效的。

［1］Chen Hao，Chen Yu，Summerville D H，et al.An optimized design of reconfigurable PSD accelerator for online shrew DDoS attack setection［C］.Proc of INFOCOM 2013.Piscataway，NJ:IEEE，2013:1780-1787.

［2］Yang X，Ke L，Wan L.Low-rate DDoS attacks detection and traceback by using new information Forensics and Security，2011，6（2）: 424-438

［3］Gursun G，Grovella M.On traffic matrix completion in the internet［C］.Proc of ACM IMC’12.New York:ACM，2012:399-412.

［4］文坤等．骨干網絡中RoQ攻擊的檢測，定位和識別［J］．計算機研究與發展，2015，52（4）：813-822.

［5］Guirguis M，Tharp，J，Bestavros A，et al.Assessment of vulnerability of content adaptation mechanisms to RoQ attacks［C］.Proc of the8th Int Conf on Networks（09'ICN）.Piscataway，NJ:IEEE，2009:445-450.

金鑫，博士，高級工程師，研究方向為下一代通信網絡信息安全

安茂波（1970-），男，山東人，本科，工程師，研究方向為電信網絡安全

于濤（1981-），男，青海人，本科，研究方向為網絡新媒體在廣電的互融

劉佳（1985-），女，河北滄州人，本科，研究方向為網絡信息安全與防范、語音識別技術

RoQ Attack；Network Security；Complex Network；Multi-Link

A New Identify Method for RoQ Attack

JIN Xin，AN Mao-bo，YU Tao，LIU Jia
（National Computer Network and Information Security Administration Center，Beijing 100031）

1007-1423（2015）29-0003-04

10.3969/j.issn.1007-1423.2015.29.001

2015-09-29

2015-10-12

RoQ攻擊作為當前流行的網絡攻擊手段，成為學者們研究網絡安全的重點課題，傳統的RoQ識別主要是針對單鏈路監測，這在當前復雜網絡環境中缺乏說服力，提出一種面向多鏈路診斷的RoQ識別方法——L-RoQ，該方法從全局角度實時監測網絡流量變化情況，發現鏈路的異常情況并準確的識別攻擊，通過實驗驗證，該方法實時有效地識別RoQ攻擊。

RoQ攻擊；網絡安全；復雜網絡；多鏈路

The RoQ attack as the current popular network attacks，has became the hot research.The traditional RoQ identify mainly monitoring the sing-link，so it is not convincing during the complex network.Proposes an new RoQ identify method which used to survey the multilink—L-RoQ，this arithmetic monitors the network flowing from the global angle，finds the abnormal link and identifies the attack.This algorithm is checked using the experimental，it can identify the RoQ attack accurately.