基于ACK序號步長的LDoS攻擊檢測方法

吳志軍，潘卿波，岳猛

?

基于ACK序號步長的LDoS攻擊檢測方法

吳志軍，潘卿波，岳猛

（中國民航大學電子信息與自動化學院，天津 300300）

低速率拒絕服務（LDoS, low-rate denial of service）攻擊具有極強的隱蔽性，對大數(shù)據(jù)中心和云計算平臺構成潛在的安全威脅。在研究LDoS攻擊期間網(wǎng)絡流量變化的基礎上，對數(shù)據(jù)接收端回傳給發(fā)送端的ACK數(shù)據(jù)分組進行統(tǒng)計分析，揭示了其序號步長在LDoS攻擊期間具有的波動特征。采用排列熵的方法提取該特征，提出了一種基于ACK序號步長排列熵的LDoS攻擊檢測方法。該方法通過采集發(fā)送端收到的ACK數(shù)據(jù)分組，對其序號進行采樣并計算步長；再利用對時間敏感性較強的排列熵算法檢測出步長突變時刻，達到檢測LDoS攻擊的目的。在實際網(wǎng)絡環(huán)境中設計和搭建了測試平臺并對所提方法進行了驗證，實驗結果表明，所提方法具有較好的檢測性能，取得了較好的檢測效果。

低速率拒絕服務；ACK序號步長；排列熵算法；檢測

1 引言

低速率拒絕服務（LDoS, low-rate denial of service）攻擊是一種面向TCP的DoS攻擊方式[1-2]。區(qū)別于泛洪式攻擊，LDoS攻擊主要利用端系統(tǒng)或網(wǎng)絡中常用的自適應機制所存在的安全漏洞，通過發(fā)送周期性的短脈沖數(shù)據(jù)流，使網(wǎng)絡一直處于不穩(wěn)定的狀態(tài)，從而導致鏈路傳輸質量差、傳輸效率低，大大降低了被攻擊目標的服務質量。

LDoS攻擊是傳統(tǒng)DoS攻擊的變形。傳統(tǒng)DoS攻擊通過不斷向被攻擊目標發(fā)送高速數(shù)據(jù)分組，流量突變明顯，單從流量分析可以較容易地檢測出來。LDoS攻擊則是以一定周期間歇性地發(fā)送攻擊數(shù)據(jù)分組，大大降低被發(fā)現(xiàn)的概率。一個完整的LDoS攻擊脈沖可由三元組（,,）組成[3-4]。其中，為LDoS攻擊周期，理想的攻擊周期應與TCP的超時重傳（RTO, retransmission time out）相同，這樣可以引起鏈路的重度擁塞，使TCP發(fā)送端一直處于超時重傳狀態(tài)，擁塞窗口（CWND, congestion window）始終處于最小值。雖然這種攻擊效果最佳，但需要精確估計RTO大小，且實際網(wǎng)絡復雜多變，所以一般會調整為一個定周期，使鏈路頻繁處于快速重傳狀態(tài)，也能達到良好的攻擊效果，本文采用的就是不變周期的攻擊方式；為攻擊脈沖寬度，是一次攻擊數(shù)據(jù)分組持續(xù)的時間，一般取2~3個RTT（往返時延）；為攻擊脈沖的最大速率，一般接近鏈路瓶頸速率。

LDoS攻擊數(shù)據(jù)流平均速率低，且完全隱藏在TCP流中，不易被察覺，故傳統(tǒng)的DoS檢測方法很難對LDoS攻擊進行檢測和防御。TCP主要依靠確認（ACK）機制才能使數(shù)據(jù)順利傳輸，所以可以利用ACK流量來反映TCP的流量變化。因此，本文通過觀測ACK數(shù)據(jù)分組，提取其序號步長變化為主要特征，提出一種基于ACK序號步長異常波動的LDoS檢測方法，在實際網(wǎng)絡環(huán)境真實平臺下的實驗驗證，該方法具有良好的檢測效果。

2 相關工作

LDoS攻擊一經(jīng)發(fā)現(xiàn)便引起了相關學者的關注和研究，尤其對LDoS攻擊的檢測手段更是重中之重。目前，對于LDoS攻擊的檢測方法大多是基于網(wǎng)絡流量特征的，包括時域特征、頻域特征、波形特征等。

基于時域特征的方法主要通過分析網(wǎng)絡流量在時域上的變化，提取正常流量和異常流量的時域特征進行比較，從而判斷是否存在LDoS攻擊。例如，Kwok等[5]提出了HAWK檢測方法，通過觀測采樣時間內高速脈沖的數(shù)量，若發(fā)現(xiàn)其數(shù)量超過閾值則判斷存在攻擊；Xiang等[6]提出了利用廣義熵和信息距離作為度量指標來量化不同概率分布的網(wǎng)絡流量之間的差異，計算廣義熵值和信息距離來區(qū)分正常流量和LDoS攻擊流量，以此進行低速率拒絕服務攻擊的判定；Yuhei等[7]提出了一種利用路由器快速分組匹配的功能來檢測DoS攻擊，并證明了突發(fā)攻擊流量的持續(xù)時間可以作為正常流量和LDoS攻擊流量的區(qū)分特性?；陬l域特征的方法結合了信號處理技術，通過對時間序列的頻域轉化，再利用一些經(jīng)典濾波和檢測算法對得到的頻域特征加以處理，從而實現(xiàn)對LDoS攻擊流量的檢測和過濾。例如，Cheng等[8]提出了在頻域利用歸一化累積功率譜密度（NCPSD, normalized cumulative power spectrum density）檢測LDoS攻擊的方法，利用正常流量和攻擊流量NCPSD之間的最大距離位置作為檢測依據(jù)來判斷LDoS攻擊；何炎祥等[9]提出了一種基于小波特征提取的LDoS檢測方法，利用離散小波變換將網(wǎng)絡流量分為高、中、低3個頻率分量，以此來尋找LDoS攻擊流量；Paul等[10]基于費雪統(tǒng)計測試和西格爾統(tǒng)計測試來分析LDoS攻擊流量的頻譜特性，并表明當存在多個復合周期的LDoS攻擊脈沖時，西格爾統(tǒng)計測試可以更有效地識別低速率拒絕服務攻擊?；谙嚓P檢測的方法主要根據(jù)在發(fā)生LDoS攻擊時，網(wǎng)絡系統(tǒng)會產(chǎn)生一系列的一致性特征，此時通過一些相關算法就可從對LDoS攻擊流進行檢測。例如，Wei等[11]通過計算不同流量之間的皮爾遜相關系數(shù)，設定判定閾值來檢測DDoS攻擊。Bhuyan等[12]利用一種局部秩相關檢測（PRCD, partial rank correlation detection）的方法來檢測低速率和高速率DDoS攻擊，一旦從PRCD估計中根據(jù)預設閾值發(fā)現(xiàn)惡意流量，就請求邊緣路由器停止將該流量轉發(fā)到下游路由器，實驗表明該方法具有較高的檢測準確度。

目前的檢測方法基本都是從復雜的背景流量中檢測出隱藏的LDoS攻擊流量，但由于LDoS攻擊流具有低速率和高隱蔽的特點，現(xiàn)有的檢測方法在準確性、實時性、簡易性方面都存在一些不足。而LDoS在影響正常TCP流量的同時也會對ACK流量產(chǎn)生一定影響，許多學者基于ACK流量的變化也提出了一系列檢測方法。例如，Chen等[13]提出了通過分析網(wǎng)絡存在LDoS攻擊時3種流量的異常變化，即ACK流量異常分布、ACK流量異常波動、數(shù)據(jù)量大小異常變化，制定相應的判決準則對LDoS攻擊進行檢測。本文在對ACK流量分析的基礎上發(fā)現(xiàn)，等時間間隔內，接收端每次確認的數(shù)據(jù)量（即相鄰2個時刻ACK序號的差值）在正常情況和受到LDoS攻擊時存在較大差異，可以將這種差異作為檢測LDoS攻擊的特征。因此，提取網(wǎng)絡存在LDoS攻擊時ACK序號步長的波動特征，結合排列熵算法判定步長突變時刻并區(qū)分正常波動和異常波動，進而判斷出LDoS攻擊是否存在及其攻擊時刻。

3 基于ACK序號步長分析的攻擊檢測方法

通過對正常網(wǎng)絡和存在LDoS攻擊時ACK數(shù)據(jù)分組的采樣分析發(fā)現(xiàn)，ACK序號步長的波動程度存在明顯差異，且在遭受LDoS攻擊的瞬間，步長存在突變行為。針對這種波動差異，可以用熵值的方法對其進行度量并加以區(qū)分，故本文運用對時間敏感性較強的排列熵算法，設定相應閾值來檢測步長突變點，以確定LDoS攻擊的時刻。

3.1 ACK序號步長特征分析

在數(shù)據(jù)傳輸過程中，ACK序號為接收端期望收到發(fā)送端下一個分組段的第一個數(shù)據(jù)字節(jié)的序號，TCP中接收端一般采用累積確認的方式。即接收端不必對收到的分組逐個發(fā)送ACK確認，而是在收到幾個分組后，對按序到達的最后一個分組發(fā)送確認[14]。這樣一個字節(jié)號為的ACK意味著直到的字節(jié)（但不包含）已經(jīng)被成功接收。從發(fā)送端收到的ACK來看，當前ACK序號與上次ACK序號之差可以代表每次被確認的數(shù)據(jù)量，正常傳輸中，每次被確認的數(shù)據(jù)量基本是恒定的，而受到LDoS攻擊后，由于要頻繁進入快速重傳和快速恢復階段，接收端會回傳重復的ACK讓發(fā)送端重傳數(shù)據(jù)，此時ACK序號差值將會發(fā)生很大變化。具體交互過程如圖1所示。

圖1 正常情況和受到LDoS攻擊后快速重傳交互示意

為便于接下來的分析與研究，針對6種場景展開研究。

E1：僅存在單條TCP流且沒受到任何攻擊。

E2：僅存在單條TCP流且受到LDoS攻擊。

E3：存在多條相同RTT的TCP流相互競爭，并添加適當非LDoS攻擊突變，但不受到LDoS攻擊。

E4：存在多條相同RTT的TCP流相互競爭，且受到LDoS攻擊。

E5：存在多條不同RTT的TCP流相互競爭，并添加適當非LDoS攻擊突變，但不受到LDoS攻擊。

E6：存在多條不同RTT的TCP流相互競爭且受到LDoS攻擊。

從圖2可以得到以下結論。

1) 在僅有一條TCP流的情況下，正常傳輸數(shù)據(jù)時ACK序號步長波動幅度很小，即等時間間隔內接收端接收的數(shù)據(jù)量比較穩(wěn)定，而受到LDoS攻擊后，ACK序號步長波動的較為劇烈且呈現(xiàn)一定的周期性。

2) 在多條TCP流的情況下，分為以下2種情況介紹。①當存在多條相同RTT的TCP流同時傳輸數(shù)據(jù)時，由于相同的RTT使各路徑相互競爭較為激烈，ACK序號步長波動幅度較大，波動劇烈；②當存在多條不同RTT的TCP流同時傳輸數(shù)據(jù)時，由于各路徑的時延不同，各路徑之間的競爭不如相同RTT時激烈，ACK序號步長波動幅度較小，但波動劇烈，呈現(xiàn)不規(guī)則狀態(tài)。鏈路受到LDoS攻擊后，無論場景E4和E6，此時發(fā)送端反復進入快速重傳階段，接收端每次接收的數(shù)據(jù)量始終比較少，ACK序號步長的波動幅度整體降低，但相比場景E3和E5（不存在LDoS攻擊時）排列得更加規(guī)則，具有明顯的差異，故將其定義為ACK序號步長的異常波動。

圖2 6種網(wǎng)絡場景的ACK序號步長波動對比

根據(jù)上述分析結果，可以利用ACK序號步長波動的差異性進行LDoS攻擊的檢測。由于實際網(wǎng)絡環(huán)境中都是多條TCP流共存，僅有一條TCP流的情況屬于特例。因此，在后續(xù)研究中，本文主要針對多條TCP流的場景（E3~E6）的ACK序號步長異常波動進行檢測分析。

3.2 LDoS攻擊檢測

由上述分析可知，受到LDoS攻擊時ACK序號步長的波動范圍和規(guī)則程度均與正常網(wǎng)絡環(huán)境下相比有較為明顯的差異，呈現(xiàn)出一種混亂無序和規(guī)則有序相互突變的現(xiàn)象，采用排列熵值可以清晰地描述這種異常突變。事件分布越無序，熵值越大；事件分布越有序，則熵值越小。

本文目標主要是在LDoS攻擊的早期時刻檢測出ACK序號步長的異常波動，從而發(fā)現(xiàn)LDoS攻擊。文獻[13]采用“移動極差”（MR, moving range）來分析一組序列的波動程度，移動極差需要計算一個觀測窗口內最大值與最小值的差，涉及具體數(shù)值的計算且易受到極端值的影響。故這里采用一種基于熵值的突變檢測算法——排列熵（PE, permutation entropy）算法。排列熵算法是一種衡量一維時間序列復雜度的平均熵參數(shù)[15]，它不涉及具體數(shù)值的計算，只關心相空間重構后相鄰2個數(shù)值的大小關系，避免了極端值的影響，對突變具有較好的識別性。

對其進行相空間重構，得到矩陣為

基于上述分析，采用ACK序號步長波動特征的LDoS攻擊檢測流程如圖3所示。

4 實驗及結果分析

為了驗證采用排列熵算法檢測LDoS攻擊的性能，本文在實際網(wǎng)絡平臺中搭建了測試環(huán)境，對所提LDoS攻擊檢測方法進行了測試。

圖3 基于ACK序號步長波動特征的LDoS檢測流程

4.1 實驗環(huán)境

本文方法的網(wǎng)絡測試環(huán)境是參考美國萊斯大學的Knightly教授指導的研究團隊設計的網(wǎng)絡環(huán)境[1-2]，它是一個啞鈴形狀的拓撲結構，如圖4所示。該測試環(huán)境由7臺計算機、一個交換機、一個路由器和一個服務器組成。其中，交換機與路由器之間的瓶頸鏈路為10 Mbit/s。主機1~主機3為合法用戶，鏈路帶寬均為100 Mbit/s，單向時延均為20 ms?？軝C4~傀儡機6在控制機7的控制下發(fā)送LDoS攻擊流量，攻擊參數(shù)為：攻擊速率=10 Mbit/s，攻擊脈寬=200 ms，攻擊周期=1.2 s。

圖4 實驗環(huán)境

實驗環(huán)境所用檢測算法的相關參數(shù)如表1所示。

表1 測試環(huán)境所用檢測算法相關參數(shù)

4.2 實驗內容

基于ACK序號步長波動特征的LDoS攻擊檢測實驗主要包括2個內容。

1) 對單條TCP流是否受到LDoS攻擊進行檢測。

2) 對多條TCP流是否受到LDoS攻擊進行檢測。

為了比較其他攻擊對ACK序號步長的影響，在實驗1)和實驗2)中還加入了傳統(tǒng)泛洪拒絕服務（FDoS, flood DoS）攻擊進行對比實驗。

1) 單條TCP流

實驗首先驗證本文檢測方法在只有一條TCP流存在下受到LDoS攻擊時的檢測效果，即僅讓主機1與服務器建立TCP連接，控制機控制傀儡機按照預設參數(shù)在50 s時發(fā)起LDoS攻擊和FDoS攻擊。利用表1中參數(shù)的排列熵算法對得到的ACK序號步長序列計算其排列熵，計算結果如圖5所示。

圖5 單條TCP流正常狀況下和受到LDoS攻擊時ACK序號步長排列熵

在正常情況下，由于接收端接收窗口的限定，接收端每次接收的數(shù)據(jù)量基本恒定，回傳給發(fā)送端的ACK序號步長波動范圍規(guī)則有序，故其排列熵值一直處于最低的0狀態(tài)，直到50 s時遭受DoS攻擊。當受到FDoS攻擊時，由于FDoS攻擊使網(wǎng)絡流量瞬間激增，鏈路發(fā)生嚴重擁塞，致使網(wǎng)絡進入癱瘓狀態(tài)。因此ACK流量在50 s處發(fā)生突變，ACK序號的步長開始混亂，其排列熵值在50 s處突變增大，之后由于鏈路癱瘓，ACK數(shù)據(jù)分組不再回傳，ACK序號步長一直為0不再波動，所以排列熵值降到0，代表鏈路再次進入平穩(wěn)狀態(tài)（其實此時是空白鏈路，沒有數(shù)據(jù)交互）。當受到LDoS攻擊時，LDoS攻擊也會導致ACK流量突變，排列熵值在（50.78, 0.165 8）時產(chǎn)生熵值跳變點，之后由于不斷的快速重傳，ACK序號步長波動劇烈，其排列熵值一直處于較高狀態(tài)，與FDoS攻擊相比具有明顯差別，基于此可以區(qū)分2種攻擊類型。而且預測LDoS攻擊時刻與實際遭受攻擊時刻相差0.78 s，在允許誤差范圍之內。該方法可在早期判斷出攻擊時刻，具有一定時效性。

2) 多條TCP流

針對多條TCP流共存情況下受到LDoS攻擊時驗證本文方法的有效性，分為2種情況：①多條路徑具有相同RTT；②多條路徑具有不同RTT，即讓主機1~主機3同時與服務器建立TCP連接，共用瓶頸鏈路傳輸數(shù)據(jù)，攻擊流量同樣在50 s時發(fā)起。由于DoS攻擊會降低一個路由域內所有節(jié)點的服務質量，各鏈路均表現(xiàn)出一樣的異常特征，因此選取其中一條鏈路，得到一個觀測窗口內的ACK序號步長序列。

依據(jù)切比雪夫不等式來設置ACK序號步長排列熵的閾值，對于ACK序號步長的排列熵樣本，無論其服從何種分布，都滿足切比雪夫不等式，即

圖6 相同RTT的TCP流共存時ACK序號步長的排列熵

圖7 不同RTT的TCP流共存時ACK序號步長的排列熵

由圖6和圖7可知，正常情況下，由于各TCP流之間存在相互競爭，導致ACK流量分布不均，ACK序號步長波動混亂，其排列熵數(shù)值較高。受到DoS攻擊后，DoS攻擊會使各鏈路表現(xiàn)出相同的擁塞狀態(tài)，ACK流量反而比正常情況下排列得更有序，所以熵值波動范圍比正常情況時要低。當受到FDoS攻擊時，接收端立刻進行ACK重傳，ACK序號步長突降為0，其排列熵值發(fā)生突變，之后由于鏈路嚴重阻塞，導致不再有ACK數(shù)據(jù)分組的回傳，ACK序號步長持續(xù)為0，排列有序，排列熵值也一直處于0狀態(tài)；受到LDoS攻擊時，由于快速重傳機制的影響，使ACK序號步長不會降至最低，而是在一定范圍內波動，其排列熵值相比FDoS攻擊時要大，但基本不會超過閾值。所設閾值可以有效預測LDoS攻擊時刻，具有相同RTT的TCP流共存時預測LDoS攻擊發(fā)生在51.25 s，與實際受到攻擊時刻相差1.25 s；具有不同RTT的TCP流共存時預測LDoS攻擊發(fā)生在51.37 s，與實際受到攻擊時刻相差1.37 s。2個時間差在允許誤差范圍之內，可以實現(xiàn)在攻擊初期及早發(fā)現(xiàn)攻擊時刻的目標。而且閾值可以明顯區(qū)分正常時與受到LDoS時ACK序號步長排列熵的變化情況。

針對不同網(wǎng)絡場景進行100次實驗，統(tǒng)計各檢測性能指標，得到本文方法的檢測性能指標和誤差結果如表2所示。

表2 不同網(wǎng)絡情況下的檢測性能指標和誤差結果

由表2可知，單條TCP流時，網(wǎng)絡場景最為簡單，不存在其他鏈路的影響，所以檢測率最高，可達100%，誤報率、漏報率和預測攻擊時刻誤差也均比較低；多條TCP流時，由于TCP流之間存在相互競爭的影響，相同RTT的檢測率為96.0%，誤報率為3.0%，漏報率為4.0%，預測攻擊時刻誤差為1.25 s。不同RTT的檢測率為98.0%，誤報率為7.0%，漏報率為2.0%，預測攻擊時刻誤差為1.37 s。誤差均在可承受范圍之內。

4.3 比較分析

根據(jù)現(xiàn)實場景，主要利用多條不同RTT的TCP進行對比實驗，對比傳統(tǒng)經(jīng)典檢測算法NCPSD[5]和基于ACK異常流量[8]的檢測方法，并對各檢測性能指標進行了統(tǒng)計，如表3所示。

表3 各檢測算法性能比較

由表3可知，相比傳統(tǒng)基于頻域的檢測方法，本文檢測方法可獲得更高的報警率，同時虛警率和漏警率也比較低?；贏CK流量異常的檢測方法，需要統(tǒng)計較長時間內的ACK流量數(shù)據(jù)，在LDoS攻擊中期檢測效果較為理想，而在LDoS攻擊初期存在一定的誤報率。本文檢測方法可在LDoS攻擊初期實現(xiàn)及時檢測，降低了攻擊初期的漏報率。

5 結束語

本文分析了網(wǎng)絡數(shù)據(jù)傳輸過程中ACK數(shù)據(jù)分組序號步長的意義，研究了正常情況和存在LDoS攻擊時ACK序號步長的波動差異，并利用排列熵算法進行特征提取，最后設計了判決準則，實現(xiàn)了對LDoS攻擊的檢測。排列熵算法具有計算簡單、抗噪性強、頑健性高的特點，可以有效地發(fā)現(xiàn)早期的信號異常突變，具有較好的實時性和穩(wěn)定性。實驗結果表明，基于ACK序號步長排列熵的LDoS攻擊檢測方法可以準確判斷是否發(fā)生攻擊，并可以在LDoS攻擊的初期階段較準確地找到攻擊發(fā)起時刻，使相關網(wǎng)絡管理人員可以及早地發(fā)現(xiàn)攻擊，避免造成更大損失，為后續(xù)的防御和過濾起到了重要作用。

[1] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks and counter strategies[J]. IEEE/ACM Transactions on Networking, 2006, 14(4): 683-696.

[2] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks: the shrew vs. the mice and elephants[C]//ACM SIGCOMM 2003 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication. 2003: 75-86.

[3] 文坤, 楊家海, 張賓. 低速率拒絕服務攻擊研究與進展綜述[J]. 軟件學報, 2014, 25(3): 591-605.

WEN K, YANG J H, ZHANG B. Survey on research and progress of low-rate denial of service attacks[J]. Journal of Software, 2014, 25(3): 591-605.

[4] 何炎祥, 劉陶, 曹強, 等. 低速率拒絕服務攻擊研究綜述[J]. 計算機科學與探索, 2008, 2(1): 1-19.

HE Y X, LIU T, CAO Q, et al. A survey of low-rate denial-of-service attacks[J]. Journal of Frontiers of Computer Science and Technology, 2008, 2(1): 1-19.

[5] KWOK Y K, TRIPATHI R, CHEN Y, et al. HAWK: halting anomalies with weighted choking to rescue well-behaved TCP sessions from shrew DDoS attacks[C]//International Conference on NETWORKING and Mobile Computing. 2005: 423-432.

[6] XIANG Y, LI K, ZHOU W. Low-rate DDoS attacks detection and trace back by using new information metrics[J]. IEEE Transactions Information Forensics and Security, 2011, 6(2): 426-437.

[7] YUHEI H, JIA Y Z. SATOSHI N. Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function[C]//IEEE International Symposium on Local and Metropolitan Area Networks. 2017: 1-2.

[8] CHENG C M, KUNG H, TAN K S. Use of spectral analysis in defense against DoS attacks[C]//IEEE Global Telecommunications.2002: 2143-2148.

[9] 何炎祥, 曹強, 劉陶, 等. 一種基于小波特征提取的低速率DoS檢測方法[J]. 軟件學報, 2009, 20(4): 930-941.

HE Y X, CAO Q, LIU T, et al. A low-rate Dos detection method based on feature extraction using wavelet transform[J]. Journal of Software, 2009, 20(4): 930-941.

[10] PAUL C, MYONG K, ALEXANDER V. Spectral analysis of low rate of denial of service attacks detection based on fisher and Siegel tests[C]//IEEE International Conference on Communications(ICC). 2016: 1-6.

[11] WEI W, FENG C, XIA Y, et al. A rank correlation based detection against distributed reflection DoS attacks[J]. IEEE Communications Letters, 2013, 17(1): 173-175.

[12] BHUYAN M H, KALWAR A, GOSWAMI A, et al. Low-rate and high-rate distributed DoS attack detection using partial rank correlation[C]//Fifth International Conference on Communication Systems and Network Technologies. 2015: 706-710.

[13] CHEN K, LIU H Y, CHEN X S. Detecting LDoS attacks based on abnormal network traffic[J]. KSII Transactions on Internet and Information Systems, 2012, 6(7):1831-1853.

[14] FALL K R, RICHARD S W. TCP/IP詳解卷1: 協(xié)議[M]. 北京: 機械工業(yè)出版社, 2016.

FALL K R, RICHARD S W. TCP/IP illustrated volume 1: the protocols[M]. Beijing: China Machine Press, 2016.

[15] FENG F Z, RAO G Q, WEI S A. Application and development of permutation entropy algorithm[J]. Journal of Academy of Armored Force Engineering, 2012, 26(2):34-38.

[16] 饒國強, 馮輔周, 司愛威. 排列熵算法參數(shù)的優(yōu)化確定方法研究[J]. 振動與沖擊, 2014, 33(1): 188-193.

RAO G Q, FENG F Z, SI A W. Method for optimal determination of parameters in permutation entropy algorithm[J]. Journal of Vibration and Shock, 2014, 33(1): 188-193.

[17] 王海燕, 盛昭瀚. 混沌時間序列相空間重構參數(shù)的選取方法[J]. 東南大學學報(自然科學版), 2000, 30(5): 113-117.

WANA H Y, CHENG Z H, Choice of the parameters for the phase space reconstruction of Chaotic time series[J]. Journal of Southeast University(Natural Science Edition), 2000, 30(5): 113-117.

[18] 劉永斌. 基于非線性信號分析的滾動軸承狀態(tài)監(jiān)測診斷研究[D]. 合肥: 中國科學技術大學, 2011.

LIU Y B. Nonlinear signal analysis for rolling bearing condition monitoring and fault diagnosis[D]. Hefei: University of Science and Technology, 2011.

Detection method of LDoS attack based on ACK serial number step-length

WU Zhijun, PAN Qingbo, YUE Meng

School of Electronic Information & Automation, Civil Aviation University of China, Tianjin 300300, China

Low-rate denial of service (LDoS) attack is a potential security threat to big data centers and cloud computing platforms because of its strong concealment. Based on the analysis of network traffic during the LDoS attack, statistical analysis was given of ACK packets returned by the data receiver to the sender, and result reveals the sequence number step had the characteristics of volatility during the LDoS attack. The permutation entropy method was adopted to extract the characteristics of volatility. Hence, an LDoS attack detection method based on ACK serial number step permutation entropy was proposed. The serial number was sampled and the step length was calculated through collecting the ACK packets that received at the end of sender. Then, the permutation entropy algorithm with strong time-sensitive was used to detect the mutation step time, and achieve the goal of detecting LDoS attack. A test-bed was designed and built in the actual network environment for the purpose of verifying the proposed approach performance. Experimental results show that the proposed approach has better detection performance and has achieved better detection effect.

low-rate denial of service, ACK serial number step-length, permutation entropy, detection

TP302

A

10.11959/j.issn.1000?436x.2018126

2017?12?26；

2018?05?08

國家自然基金委員會與中國民航局聯(lián)合基金資助項目（No.U1533107）；天津市自然基金重點資助項目（No.17JCZDJC30900）

The Joint Foundation of National Natural Science Foundation and Civil Aviation Administration of China (No.U1533107), The Major Program of Natural Science Foundation of Tianjin (No.17JCZDJC30900)

吳志軍（1965?），男，新疆庫爾勒人，博士，中國民航大學教授、博士生導師，主要研究方向為網(wǎng)絡空間安全。

潘卿波（1992?），男，山西太原人，中國民航大學碩士生，主要研究方向為網(wǎng)絡信息安全、低速率拒絕服務攻擊的檢測。

岳猛（1984?），男，河北滄州人，博士，中國民航大學講師，主要研究方向為信息安全、云計算、低速率拒絕服務攻擊的檢測。