王家豪 方智陽 王俊峰

摘 要： 低速率拒絕服務(wù)（ LDoS） 攻擊是DoS攻擊的特殊變體，其可以利用TCP協(xié)議中的自適應(yīng)機(jī)制來降低客戶端和服務(wù)器的連接質(zhì)量. 由于攻擊速率低且隱蔽，使用傳統(tǒng)的 DoS 防御機(jī)制不能有效識別LDoS. 本文提出了一種基于TCP 流量的時(shí)頻域特征和改進(jìn)Stacking 算法的LDoS 攻擊檢測方法（TF-Stacking），分析了正常流量和包含LDoS 攻擊的流量在時(shí)域和頻域上表現(xiàn)出的差異，構(gòu)建網(wǎng)絡(luò)流量特征集，用于流量數(shù)據(jù)的特征計(jì)算，以從網(wǎng)絡(luò)流量數(shù)據(jù)中提取最有用的信息，減少網(wǎng)絡(luò)數(shù)據(jù)規(guī)模. 同時(shí)，改進(jìn)Stacking 算法來緩解元模型樣本權(quán)重的不平衡問題，用于流量分類. 本文在NS3 仿真平臺上進(jìn)行了實(shí)驗(yàn)來評估TF-Stacking 方法的性能，實(shí)驗(yàn)結(jié)果表明，TF-Stacking 檢測準(zhǔn)確率達(dá)到了98. 07%，且僅有1. 55% 的漏報(bào)率，可以有效檢測LDoS 攻擊.

關(guān)鍵詞： 統(tǒng)計(jì)特征； 集成學(xué)習(xí)； Stacking； 攻擊檢測

中圖分類號： TP391. 1 文獻(xiàn)標(biāo)志碼： A DOI： 10. 19907/j. 0490-6756. 2024. 033002

1 引言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問題也變得越來越復(fù)雜，網(wǎng)絡(luò)基礎(chǔ)設(shè)施和在線應(yīng)用程序通常是安全攻擊的目標(biāo)，尤其是拒絕服務(wù)（Denial of Service，DoS ）攻擊. 攻擊者主要通過泛洪攻擊的方式占用目標(biāo)系統(tǒng)資源或者破壞目標(biāo)系統(tǒng)服務(wù)，使得合法用戶無法正常使用. 這種泛洪式DoS 攻擊由于其高速流量特性表現(xiàn)出明顯特征，因此，可以通過現(xiàn)有的DoS 檢測策略進(jìn)行識別. 隨著攻擊技術(shù)不斷演進(jìn)，DoS 攻擊形式也在不斷變化. 低速率拒絕服務(wù)（Low-rate DoS， LDoS）攻擊是DoS 攻擊的特殊變種，這種類型的DoS 攻擊通過產(chǎn)生可以隱匿在正常傳輸控制協(xié)議（TCP）中的低速率攻擊流量，同時(shí)利用網(wǎng)絡(luò)協(xié)議的自適應(yīng)機(jī)制，在網(wǎng)絡(luò)中造成虛假擁塞，損害客戶端和服務(wù)器的連接質(zhì)量，使得服務(wù)器無法為用戶提供正常服務(wù).

與傳統(tǒng)高速率拒絕服務(wù)（DoS）攻擊相比，LDoS 攻擊更加隱蔽和難以檢測，因?yàn)樗麄兪褂玫退俾实墓袅髁?，足以占用目?biāo)系統(tǒng)的關(guān)鍵資源，但又不足以觸發(fā)傳統(tǒng)DoS 防御機(jī)制［1］. LDoS 攻擊由Kuzmanovic 等人［2］在2003 年首先提出，他們給出了LDoS 攻擊的一種有效實(shí)施方案，并將其命名為“Shrew”攻擊. 與泛洪式攻擊不同的是，Shrew攻擊利用TCP 協(xié)議中的超時(shí)重傳（RTO）和加增減乘（AMID）機(jī)制將正常TCP 流量限定在一個(gè)很小的范圍，從而降低網(wǎng)絡(luò)服務(wù)質(zhì)量，因此，Guirguis等人［3］也將其稱為降質(zhì)攻擊（Reduction of Qualityattack）. Luo 等人［4］在2005 年提出了脈沖式拒絕服務(wù)攻擊（PDoS），其中補(bǔ)充了針對AMID 機(jī)制的攻擊模型. LDoS 攻擊也出現(xiàn)在云平臺和大數(shù)據(jù)中心，F(xiàn)icco 等人［5］將其稱為隱形攻擊. 針對CUBIC擁塞控制算法和RED 隊(duì)列管理機(jī)制的攻擊場景，Yue 等人［6］提出了LDoS 雙脈沖攻擊模型，從而最大化攻擊效能. 此外，研究人員還研究了針對不同網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)環(huán)境下的LDoS 攻擊，包括針對物聯(lián)網(wǎng)的LDoS［7］、軟件定義網(wǎng)絡(luò)下的LDoS［8］、針對HTTP/2 的LDoS［9］以及應(yīng)用層協(xié)議下的Slowloris攻擊［10］.

LDoS 攻擊對于現(xiàn)代網(wǎng)絡(luò)和云計(jì)算環(huán)境構(gòu)成了嚴(yán)重威脅. 由于其低速率特性，LDoS 攻擊往往能夠繞過傳統(tǒng)入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），因?yàn)檫@些系統(tǒng)通常更加關(guān)注高速率攻擊流量［11］. 此外，LDoS 攻擊還可以利用云計(jì)算環(huán)境中共享資源的特性，通過占用共享資源而對多個(gè)租戶或用戶造成影響［12］. 傳統(tǒng)DoS 攻擊檢測方法在檢測LDoS 攻擊方面存在一些困難. 由于攻擊流量的低速率，傳統(tǒng)入侵檢測系統(tǒng)通常很難將LDoS 攻擊流量與正常流量區(qū)分開來. 此外，LDoS攻擊通常利用目標(biāo)系統(tǒng)的特定弱點(diǎn)或漏洞，這使得傳統(tǒng)的基于簽名或規(guī)則的檢測方法無法準(zhǔn)確地檢測和識別這些攻擊.

本文提出了一種基于TCP 時(shí)頻域特征和改進(jìn)Stacking 算法（TF-Stacking）的攻擊檢測方法，可以在傳輸層識別LDoS. 在介紹檢測方法之前，本文首先描述了在LDoS 攻擊影響下，TCP 數(shù)據(jù)流在時(shí)域和頻域表現(xiàn)出的兩種異常. 其次，通過對TCP數(shù)據(jù)流在LDoS 攻擊下的數(shù)據(jù)分布進(jìn)行分析，從中提取出異常特征. 最后，通過改進(jìn)Stacking 算法來分類檢測，能夠準(zhǔn)確學(xué)習(xí)異常特征，從而擁有檢測含有LDoS 攻擊流量的能力. 通過在NS3 環(huán)境中進(jìn)行仿真實(shí)驗(yàn)來評估本文方法的效率，結(jié)果表明，本文檢測模型具有較高的準(zhǔn)確率和較低的誤報(bào)率，可以有效地檢測網(wǎng)絡(luò)中的 LDoS 攻擊.

2 相關(guān)工作

LDoS 攻擊是一種低速、隱蔽的拒絕服務(wù)攻擊，給網(wǎng)絡(luò)系統(tǒng)的安全性和可用性帶來嚴(yán)重威脅.為了及時(shí)發(fā)現(xiàn)和應(yīng)對LDoS 攻擊，研究者們提出了多種檢測方法和技術(shù). 近幾年提出的LDoS 檢測方法可以分為三類：基于頻域的方法、基于時(shí)域的方法和基于流量統(tǒng)計(jì)分析的方法.

2. 1 基于時(shí)域的LDoS 檢測方法

基于時(shí)域的LDoS 攻擊檢測方法通過對流量數(shù)據(jù)在時(shí)間上的變化進(jìn)行分析和建模，該方法主要關(guān)注流量的持續(xù)時(shí)間、間隔和速率等時(shí)域特征，以區(qū)分正常流量和LDoS 攻擊流量之間的差異.Ding 等人［13］分析了攻擊流量和正常流量之間的時(shí)域特征，利用數(shù)據(jù)包到達(dá)時(shí)間的差異，提出了一種檢測潛在LDoS 攻擊行為并嘗試追蹤攻擊者位置的方法. Tang 等人［14］針對LDoS 攻擊引起的ACK流量分布異常，總結(jié)ACK 流量的分布特征，提出一種自適應(yīng)的基于AEWMA 算法的檢測方法. Wu等人［15］研究了基于序列對齊的LDoS 攻擊脈沖之間的時(shí)序關(guān)系，提出了可以使用生物信息學(xué)中的序列匹配比對檢測原理來檢測 LDoS 攻擊. 同時(shí)，他們在對攻擊隊(duì)列分析的基礎(chǔ)上，提出了基于KPCA 及神經(jīng)網(wǎng)絡(luò)的檢測方法［16］，該方法將平均隊(duì)列和瞬時(shí)隊(duì)列在遭受LDoS 攻擊時(shí)的劇烈變化作為依據(jù)，經(jīng)KPCA 提取特征后，利用BP 神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測.

2. 2 基于頻域的LDoS 檢測方法

基于頻域的LDoS 攻擊檢測方法利用信號處理和頻域分析技術(shù)來區(qū)分正常流量和LDoS 攻擊流量之間的差異. 該方法通過將流量轉(zhuǎn)換到頻域，并分析頻域特征來揭示LDoS 攻擊的隱藏模式和特征. Toklu 等人［17］提出了一種針對高速率DDoS攻擊和低速率DDoS 攻擊的混合過濾方案. 在該方案中，平均變換用于過濾高速率DDoS 攻擊的網(wǎng)絡(luò)流量，傅里葉變換用于過濾低速率DDoS 攻擊的網(wǎng)絡(luò)流量. Agrawal 等人［18］提出了一種基于功率譜密度的LDDoS 攻擊檢測方法. 他們指出，對于LDDoS 攻擊流量，攻擊頻譜主要分布在低頻區(qū)域，而合法流量則是均勻分布的. Chen 等人［19］將功率譜分析和信息熵相結(jié)合，通過將流量進(jìn)行傅里葉變換和小波變換，計(jì)算變換后的信息熵，以此來區(qū)分正常流量和LDoS 攻擊. Liu 等人［20］首先聚合和壓縮網(wǎng)絡(luò)流量以降低數(shù)據(jù)存儲成本并優(yōu)化檢測效率，同時(shí)改進(jìn)了小波變換，通過分別計(jì)算每個(gè)壓縮流量的能量分?jǐn)?shù)，結(jié)合動態(tài)閾值，實(shí)現(xiàn)了正常流量和 LDoS 攻擊流量的有效區(qū)分.

2. 3 基于統(tǒng)計(jì)分析的LDoS 檢測方法

基于統(tǒng)計(jì)分析的LDoS 攻擊檢測方法利用流量數(shù)據(jù)的統(tǒng)計(jì)特性來區(qū)分正常流量和LDoS 攻擊流量之間的差異. 該方法通過對流量數(shù)據(jù)的分布、頻率和模式進(jìn)行統(tǒng)計(jì)分析，以發(fā)現(xiàn)LDoS 攻擊特征和異常行為. Liu 等人［21］提出了一種基于多特征融合的檢測方法，包含確認(rèn)字符（ACK）序列號、數(shù)據(jù)包大小和隊(duì)列長度的攻擊特征集用于對正常和LDoS 攻擊流量進(jìn)行分類. Tang 等人［22］基于對網(wǎng)絡(luò)流量的分析，構(gòu)造了一個(gè)網(wǎng)絡(luò)流量的特征集，結(jié)合CNN 算法用于分類檢測. Bojovi? 等人［23］提供了一種使用指數(shù)移動平均（EMA）和香農(nóng)熵檢測序列的方法來識別網(wǎng)絡(luò)流量中是否包含低速率DoS 攻擊. Duan 等人［24］將網(wǎng)絡(luò)流量的前16 個(gè)數(shù)據(jù)包大小以及時(shí)間間隔作為統(tǒng)計(jì)特征數(shù)據(jù)，同時(shí)對正常流量特征數(shù)據(jù)進(jìn)行建模，根據(jù)重構(gòu)序列與輸入數(shù)據(jù)的重構(gòu)誤差進(jìn)行攻擊判定.

基于時(shí)域的檢測研究通常具有處理過程簡單快速、特征直觀等優(yōu)點(diǎn)，但在檢測LDoS 攻擊時(shí)可能缺乏對其周期性頻譜信息的充分利用. 這是因?yàn)闀r(shí)域分析主要關(guān)注信號在時(shí)間上的變化，而忽略了信號頻譜的細(xì)節(jié). 相比之下，基于頻域的檢測方法可以更好地捕捉LDoS 攻擊的頻譜特征. 頻域分析方法將信號轉(zhuǎn)換到頻域，通過分析頻譜特征來揭示LDoS 攻擊的周期性特征. 然而，頻域分析方法缺乏信號隨時(shí)間變化的特征信息，無法捕捉到時(shí)域上的動態(tài)變化. 為了克服時(shí)域和頻域方法各自的局限性，基于時(shí)頻域的檢測研究應(yīng)運(yùn)而生. 時(shí)頻域分析方法能夠綜合考慮信號在時(shí)域和頻域兩個(gè)方面包含的細(xì)節(jié)信息，有效彌補(bǔ)了時(shí)域和頻域方法的不足. 在LDoS 攻擊檢測中，基于時(shí)頻域的方法可以更全面地揭示LDoS 攻擊的特征和模式. 通過分析信號在時(shí)頻域上的變化，可以同時(shí)捕獲到信號的時(shí)域動態(tài)和頻域周期性信息，從而提高對LDoS 攻擊的檢測能力. 因此，本文基于網(wǎng)絡(luò)流量的時(shí)頻特性，提出了一種基于時(shí)頻域特征的LDoS 攻擊檢測方法.

3 攻擊模型以及原理

LDoS 攻擊利用TCP 協(xié)議的自適應(yīng)機(jī)制，通過不斷在穩(wěn)定與不穩(wěn)定狀態(tài)之間切換，從而對網(wǎng)絡(luò)性能造成嚴(yán)重影響. 在LDoS 攻擊期間，擁塞控制機(jī)制被反復(fù)觸發(fā)，導(dǎo)致網(wǎng)絡(luò)流量極其不穩(wěn)定. 在網(wǎng)絡(luò)頻繁切換穩(wěn)定與不穩(wěn)定狀態(tài)的情況下，自適應(yīng)機(jī)制無法及時(shí)適應(yīng)這種變化，不能快速有效地調(diào)整發(fā)送速率、窗口大小等參數(shù)，導(dǎo)致網(wǎng)絡(luò)性能下降、延遲增加或數(shù)據(jù)丟失. 這種頻繁的狀態(tài)切換對網(wǎng)絡(luò)的正常功能和用戶體驗(yàn)產(chǎn)生負(fù)面影響，導(dǎo)致網(wǎng)絡(luò)服務(wù)的可靠性和效率下降.

不同于DoS/DDoS 攻擊，LDoS 無需維持大規(guī)模的攻擊流量，而是周期性地發(fā)送攻擊流量來降低受害目標(biāo)的服務(wù)質(zhì)量［1］. 在一個(gè)攻擊周期內(nèi)，攻擊脈沖的持續(xù)時(shí)間較小，即使這樣，短時(shí)的高速率攻擊流量也足以占滿瓶頸鏈路和路由器，造成正常流量數(shù)據(jù)丟包. 當(dāng)攻擊脈沖間歇性停頓時(shí)，網(wǎng)絡(luò)自適應(yīng)機(jī)制會根據(jù)流量的變化和網(wǎng)絡(luò)狀況調(diào)整參數(shù)，以適應(yīng)正常的流量和恢復(fù)網(wǎng)絡(luò)性能. 而當(dāng)網(wǎng)絡(luò)剛恢復(fù)正常性能時(shí)，下一個(gè)周期的脈沖又接踵而至，從而使得網(wǎng)絡(luò)不斷地在穩(wěn)定狀態(tài)和不穩(wěn)定狀態(tài)之間切換，造成網(wǎng)絡(luò)性能的大幅度降低.