用数字滤波实现shrew ddos攻击检测。
课程设计报告。
目录。一、前言 3
二、shrew ddos攻击原理分析 4
1.1低平均速率ddos攻击 4
三、shrew ddos攻击检测原理 5
2.1 shrew ddos攻击的特点 6
三、ddos攻击常规检测方法 7
3.1一种基于小波特征提取的shrew ddos 检测方法 8
3.2一种基于频域分析及滤波原理的shrew ddos检测方法 11
四、基于时域分析的shrew ddos检测方法 12
4.1检测方案 12
4.2基本指标 13
4.3模拟实现 14
4.3.1 模拟时间生成 14
4.3.2 计算blackman时域w[n] 15
4.3.3计算卷积 16
4.4 其他样例测试 17
4.4.1参数的调整 17
4.4.2特殊情况的表现 18
五、芯片的选择 19
六、硬件系统方案 20
七、软件方案 21
八、心得体会 21
九、参考文献 21
近些年dos(denial of service)攻击已成为网络安全的最严重的威胁。这是因为这种攻击往往很难防范,容易引起大量的服务中断,因而使得合法用户的服务请求被拒绝。dos攻击可以利用像服务器溢出的这种软件因素的弱点,通常还通过连续地发送大量的数据包来消耗那些提供服务的有限资源来实现攻击。
这些有限的资源包括带宽、服务器cpu的处理能力、存储器等等。
dos(denial of service)攻击,其含义是拒绝服务攻击,这种攻击行为使**服务器充斥大量的要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷而停止提供正常的网络服务。而ddos分布式拒绝服务,则主要利用internet上现有机器及系统的漏洞,攻占大量联网主机,使其成为攻击者的**。当被控制的机器达到一定数量后,攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起dos攻击,大量消耗其网络带宽和系统资源,导致该网络或系统瘫痪或停止提供正常的网络服务。
由于ddos的分布式特性,使它具有了比dos远为强大的攻击力和破坏性。
ddos攻击采用一种三层客户机/ 服务器模式,如左图所示,ddos 攻击分为如下三层:攻击主控机(攻击控制台) ,攻击操纵机(控制傀儡机) 以及攻击**机(攻击傀儡机) 。攻击主控机是攻击者本人直接控制的主机,用于操纵整个攻击过程,包括向攻击操纵机下达攻击命令。
攻击操纵机是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的**主机。攻击操纵机上安装并后台运行了特定的服务程序,这些程序的作用是接受攻击者发来的特殊指令,并且把这些命令发送到攻击**机上。攻击**机则是攻击行动的直接执行者,它们往往也是被攻击者非法入侵和控制的网络主机,其中被植入了攻击程序,一旦接收到攻击服务器发来的攻击指令,就开始向目标主机发起攻击。
脉冲调制ddos或者称shrew ddos攻击,也被称为是降低质量(reduction of quality ,roq)攻击,是秘密的、周期性的和低频量的。shrew攻击甚至比淹没型ddos攻击对网络资源的危害更大。shrew攻击显现了低量周期性,从而没有被传统ids检测到而长时间的破坏被攻击服务器。
这将会导致服务器拒绝新的访问者。因此,就迫切需要有效的对shrew攻击的实时检测,并且尽可能早的阻挡这类攻击。但是,传统的ids无法有效的检测出这类ddos攻击。
通过查阅相关资料,我们小组总结出了两种检测混在合法通信流中的shrew攻击的方法。
ddos分布式拒绝服务攻击是目前最大的网络安全威胁之一。依据攻击数据包流量的特征,可以把ddos攻击分为洪泛ddos(flooding ddos)攻击和低平均速率lrdos(low rate denial of services,lrdos)攻击,低平均速率ddos攻击又称roq(reduce of quality)攻击,也叫shrew ddos。
目前,低平均速率ddos攻击以roq攻击为代表,也称作shrew ddos(或lrdos,low rate denial of service)攻击。roq攻击利用tcp拥塞控制和超时重传(rto,retransmission timeout)机制,攻击者与目标机rto值取得同步,周期性地向目标机高速发送大量的tcp数据包,使目标机的队列溢出而周期性地进入拥塞阶段。
整个攻击周期内,只有少量的合法tcp数据包被目标机接收,大量合法tcp数据包(或tcp连接请求)被拒绝,这便形成了一个矩形波式的roq攻击。典型的roq攻击模型如图2-4所示,可用三元组(r,t,l)描述roq攻击,其中t为攻击周期(period of attack),l为脉冲攻击长度(length of burst),r为脉冲攻击速率(burst rate)。
图1 典型的roq攻击。
一个roq攻击周期t内,只有l时间长的高速tcp数据包,t-l时间长的tcp数据包量趋于正常状态。所以,一个roq攻击周期t内的tcp数据包平均速率很低。这样,整个攻击过程就是一个低平均速率的roq攻击。
目前针对ddos攻击检测主要分为异常检测和特征检测,前者在统计的基础上建立网络流量的正常模式,如果检测到的数据偏离模式,即判定攻击存在;而后者是建立一个所有已知的攻击特征数据库,如果检测到数据与数据库中的某些特征参数匹配,即判定攻击存在。
分布式拒绝服务目前比较常见,主要有有三种检测机制:基于ip地址的检测、基于流量大小的检测和基于包属性的检测。
基于源ip地址的检测方法就是在被保护网络的边界路由器上部署源ip检测算法,根据源iip个数的突然增加,来判定ddos攻击的发生。改方法的理论依据是正常网络情况下访问服务器的数据包的源ip,大都在过去的某个时间段中曾经访问过,因此一个新的时间段内所出现的新ip地址数量是很小的,且服从一个稳定均匀的统计分布。
基于流量大小的检测方法就是在被保护网络的边界路由器上部署流量检测算法,根据流量的突发变化检测ddos攻击的发生。这种方法的已经是正常网络流量和含有拒绝服务攻击流量的网络流量二者具有不同的特征在正常情况下,网络流量的分布(源ip、目的ip的分布等)是相对稳定的,其高频统计结果维持一个动态平衡。
基于包属性的检测方法就是当拒绝服务攻击发生时,攻击数据包破坏了正常网络情况下进出数据包在ip数据包头字段的统计学稳定性,因此可以采用一定的算法在正常状况下进行包属性字段的学习,从而有效地判断进出数据包的危险度,进而检测拒绝服务攻击。由于ddos攻击发生时,网络流中存在大量长度较小的包,所以ip首部字段中的df、mf两比特的统计特性将发生变化。通过是基于tcp的ddos攻击,则tcp首部ack、syn、fin等标志位的统计特性将发生变化。
正常网络状态下,进入网络的数据包,在ip头部相关字段上具有稳定的统计学特性,攻击的发生破坏了这种稳定,大量涌入的伪造数据包打乱了原有相关字段上的分布。
图2(a) 单个roq攻击。
图2(b) 两个相同周期但攻击强度减半的roq攻击。
图2(c) 两个双周期相同攻击强度的roq攻击。
如图所示, 一个单源的shrew 攻击用三维波形模拟: 攻击周期t、脉冲长度l 和脉冲速率r。周期t 是两次连续的攻击脉冲之间的时间间隔。
脉冲长度l 描述了攻击者以高速率发包的时间段。而脉冲高度显示了攻击流的最高速率。周期t 是通过来自可信赖源端估计的tcp rto 计时器执**况来计算的。
在脉冲达到最高速率r 时, shrew 脉冲引起一个突发性的脉冲并且使得连接到被攻击者的链路严重拥塞。因此, 合法的tcp 流必须根据限速机制降低发包率。
为了获得更高的吞吐量, tcp 协议使用带固定增量的预定义的rto 值。shrew 攻击通过调整其攻击周期来利用这个rto 重传机制。这个机制通过周期性地发送脉冲而占用链路带宽, 如图( a) 所示。
这使得试图发送数据包时, 合法的tcp 流量会面临高负荷的链路。这些合法的tcp 流量必须忍受拥塞控制并因此降低他们的速率。估计一个成功的shrew 攻击可以使得合法tcp 通信量的吞吐率低于正常水平的10% 。
应该指出的是, 在合法tcp 流和shrew 流是发往同一目的地的情况下, shrew 流量表现出两个不同的重要行为: shrew 流的最高速率将保持不变, 而tcp 流则呈线性增长; !shrew 流在相对固定的时间周期到达目的地, 而tcp 流则是连续到达。
因此,用现有的通信量分析方法, 周期性脉冲很难在时间域被检测出来。这是因为平均共享的带宽并不是非常大。在分布式的情况下, 成倍的傀儡机发起的攻击会更进一步降低其单个通信量的速率, 因此, 就导致检测更加困难。
如图2( b) 和图2( c) 所示, 分布式攻击发起者可以通过降低最高速率或者延长攻击周期来降低平均通信量。因此, 用时间序列检测这类攻击是毫无效果的。
针对tcp拥塞控制机制的shrew攻击是最早提出来的一种ldos攻击(低速率拒绝服务攻击low-rate denial-of-service,简称ldos)。kuzmanovic在2024年提出随机化端系统的最小超时等待时间,使攻击者无法准确估测出攻击数据流的发送时刻。虽然该措施有一定的缓解效果,但涉及tcp协议的修改,并且只能防范shrew攻击,无法检测攻击的存在性。
sarat和terzis通过控制路由器队列缓冲区的大小,并配合适当的aqm(active queue management)技术来过滤shrew ddos攻击流,但目前的aqm机制只适合于抑制持续时间较长的高速率流,对低速率拒绝服务攻击脉冲式攻击流的作用并不明显。kwok提出一种新的路由器队列管理方法——hawk(halting anomaly with weightedchoking),但可能导致大量正常tcp 数据流被误认为非法攻击流,误警率很高。sun通过自相关分析提取可疑数据流的周期特征,采用动态时间扭曲算法匹配特征,一旦检测出攻击就根据差额循环算法(deficit round robin,简称drr)进行带宽限制和资源保护。
该方法需要对所有数据流进行同样的检测处理,计算和存储开销大;而且drr并不针对shrew ddos攻击流,对合法流量影响较大。chen在流量频谱图的低频带进行假设检验以确定攻击的存在性。尽管该方法检测率较高,但只能报告当前分析窗内是否存在shrew ddos 攻击,不能定位攻击数据包,且当攻击者伪造ip时,存储和计算开销很大,可能导致溢出错误。
DSP大作业
1.利用matlab软件对音频信号进行数字信号采样,分别对采样后的信号进行时 频域分析,并提供 图和分析说明 35 2.设计合理的数字滤波器,滤去音频信号中的蜂鸣音,给出详细设计流程,并提供频域 图和分析说明 45 3.将数字滤波后的数字信号转换成w 格式音频文件,统一命名为作为附件上交。15 1 ...
DSP大作业
重叠相加法和重叠保留法。对于很长序列和短序列进行卷积,可采用重叠相加法和重叠保留法进行快速实现。课本上只是通过公式图形来讲解,十分抽象。许多人对这两种方法产生混淆,不理解,不会应用,特别是重叠保留法。下面就先给出基本原理,再用实例讲解分析。设h n 的点数为m,信号x n 为很长的序列。重叠相加法是...
DSP技术大作业
dsp技术。大作业。姓名。班级。学号。2014年12月。第1部分概述。1.1 dsp简介。dsp digitalsignalprocessor 是一种独特的微处理器,是以数字信号来处理大量信息的器件。其工作原理是接收模拟信号,转换为0或1的数字信号,再对数字信号进行修改 删除 强化,并在其他系统芯片...