低速率TCP拒绝服务攻击利用传输控制协议(TCP)重传超时机制,爆发时会严重降低合法TCP流吞吐量的流量特性.分析发现,合法流量和包含攻击包流量采样在功率谱密度上存在显著差异.通过分析大量历史数据中这种差异的统计特性,提出了以低频功率和为指标的检测方法.同时基于现有的漏桶限流和增加路由器接收缓存的响应方法,提出了结合包队列和漏桶的响应方法,主要原理是在漏桶周期性平滑流量的同时,将多余流量暂存在一个包队列中以在下一个周期发送.数学分析证明了该响应方法具有合理的资源要求.仿真实验表明,提出的检测方法具有极低的漏报率和误报率,与已有的典型方法相比,提出的响应方法能够在具有一般性的攻击场景下更加有效地抑制攻击流量,并且在已有方法失效的情况下仍能保证吞吐量维持在接近正常的水平.
国家自然科学基金资助项目(60503061);浙江省自然科学基金资助项目(Y104437,Y106023);浙江省科技计划资助项目(2005C33034);新世纪优秀人才支持计划资助项目(NCET-04-0535);浙江省新世纪151人才工程资助项目;宁波市自然科学基金资助项目(2006A610014).
魏蔚 董亚波 鲁东明 金光. 低速率TCP拒绝服务攻击的检测响应机制[J]. J4, 2008, 42(5): 757-762.
WEI Wei, DONG E-Bei, LU Dong-Meng, JIN Guang. . J4, 2008, 42(5): 757-762.
http://www.zjujournals.com/xueshu/eng/CN/ 或 http://www.zjujournals.com/xueshu/eng/CN/Y2008/V42/I5/757
Cited