一种新的RoQ攻击的识别方法

金鑫，安茂波，于涛，刘佳

（国家计算机网络与信息安全管理中心，北京　100031）

一种新的RoQ攻击的识别方法

金鑫，安茂波，于涛，刘佳

（国家计算机网络与信息安全管理中心，北京100031）

0　引言

“互联网+”概念的提出，给各行各业提供了一种新的发展模式，但是当前网络安全事件频发给“互联网+”的推动蒙上了一层阴影。本文针对网络安全中常出现的拒绝服务 （DoS）攻击演变过来的一种新的攻击手段——降质（Reduction of Quality，RoQ）攻击，所谓的降质攻击主要是针对网络中的瓶颈链路而非网络终端，同时该攻击手段采用较小的攻击成本，通过瞬间的攻击方式代替传统的DoS的持续攻击方式 （如UDP的flooding攻击等），以降低或者抑制TCP服务质量作为攻击的效果。

当前对于RoQ攻击的研究国内外学者大多数是对RoQ攻击的单连璐的检测分析，如Yang［2］等人提出了一种基于广义熵和信息距离这两种信息度量的监测方法，用于检测链路受到RoQ攻击后的流量；Chen Hao［1］等人提出了使用频谱特征分析的方法，通过RoQ攻击前后流量在时域以及频域等分布情况来确定网络攻击的检测，这些测试方法都是针对单链路的监测，而在实际网络应用中RoQ攻击往往是针对多条链路的攻击，然而针对全网骨干链路的RoQ检测的研究现在还较少，为此本文提出一种新的RoQ攻击的识别方法——L-RoQ（Locating the RoQ attack in backbone network），该方法主要通过频谱分析技术对骨干网流量进行实时监测，当出现流量异常状况时自动识别是否为RoQ攻击，L-RoQ方法实现了多链路流量攻击的监测。

1　一种新的RoQ识别方法介绍

1.1RoO攻击原理

RoQ攻击主要是针对网络中的TCP协议，它利用了TCP拥塞控制的自适应机制，通过持续的流量填充的方式抑制了正常TCP数据的交互，这样就达到了降低网络中基于TCP应用的服务质量，因此将该类攻击称为降质攻击。

如图1描述了RoQ攻击的基本原理，图中横轴表示网络运行时间，时间T表示RoQ攻击的周期，纵轴表示攻击的瞬时网络脉冲速率，其大小的控制以满足足够影响当前TCP数据正常交流为最低脉冲速率要求。图中显示了RoQ攻击所具备的以下几个特征：1＞RoQ需具备流量突变的特性，这样才会产生瞬时高速的流量脉冲；2＞周期攻击性，由图1可以得出RoQ的攻击是周期性的，根据RoQ的攻击原理—通过瞬时流量脉冲占用带宽降低TCP通信的效率，可知RoQ的攻击必须具备周期性攻击的特点，这样才能确保TCP传输效率的周期性降低，达到网络攻击的效果。

图1　 RoQ瞬时攻击脉冲示意图

1.2一种新的RoO攻击的识别方法

（1）动态时间序列

本文所采用的检测技术是基于滑动窗口技术的，这样为了确保时间连续性的同时降低采样数据所需的存储成本，定义滑动窗口模型为w（S，ω，β），其中S为数据流，ω为滑动窗口的长度，β为滑动窗口的滑动步长，如图2所示为一个滑动窗口模型，定义S（i，j）为第i～j节点间的数据流，该数据流遵循w（S，ω，β）协议，滑动窗口宽为ω，步长为β。

图2　滑动窗口协议模型图

（2）检测模型的建立

网络流的检测需要确定检测模型，由于网络结构的复杂性，多链路处理需要对网络结构进行划分为模型中制定的流结构，本文采用文献［4］中提出的检测模型，定义TOD流［3］度量矩阵X（xij），其中xij表示第j个TOD流在第i个记录时刻的时间间隔内的流量值。对TOD流进行P次采样得出X=［X1，X2，…，Xp］，进行n次观测得出观测矩阵X。

流量异常的定位采用统计分布中的T2统计，如公式（1）所示计算器控制限，其中m为全部主特征个数，a为异常个数，α为显著性水平，Fam-1，α为对应于显著水平α且自由度为a（m-1）条件下的F分布临界值，通过查表得出当临界值超过99%的时候则证明网络出现异常（此时T2≈7.8）。

（3）一种新的RoQ攻击识别方法

通过1.2（2）中检测模型的建立，本文提出一种新的RoQ检测算法L-RoQ。

根据以上算法描述，频谱分析的算法复杂度为o （n，logn），相比经典RoQ攻击算法［5］在计算成本上有显著的提升。

2　实验验证

实验通过NS-3进行仿真验证，设置一个50个节点的网络模型，通过设置某几个节点为攻击节点，对网络中链路进行RoQ攻击，其余节点运行L-RoQ算法，对实验数据进行分析计算得出图3所示的T2统计量结果图，根据结果显示当T2值大于7.8时则出现RoQ攻击，并且通过阶段性实验得出图4所示的结果图。

图3　一个周期内的T2统计量结果图

图4　 T2周期检测图

同时对某一节点的流量进行TCP流量统计，如图5所示。

图5中通过L-RoQ算法多网络中多条链路进行监测，通过对实验数据分析得出TCP流量在周期内呈现瞬间下降的现象，通过实验证明L-RoQ算法对复杂网络RoQ攻击的识别的准确度是比较高的。

图5　 L-RoQ对多节点RoQ攻击识别流量图

3　结语

RoQ攻击的监测研究作为网络安全研究的重要研究课题，已得到了学者们的广泛关注，本文提出了一种诊断全网RoQ攻击的L-RoQ算法，该算法从全局角度考虑对多链路进行RoQ攻击识别，实验证明该方法在大规模网络中对RoQ攻击的识别是有效的。

［1］Chen Hao，Chen Yu，Summerville D H，et al.An optimized design of reconfigurable PSD accelerator for online shrew DDoS attack setection［C］.Proc of INFOCOM 2013.Piscataway，NJ:IEEE，2013:1780-1787.

［2］Yang X，Ke L，Wan L.Low-rate DDoS attacks detection and traceback by using new information Forensics and Security，2011，6（2）: 424-438

［3］Gursun G，Grovella M.On traffic matrix completion in the internet［C］.Proc of ACM IMC’12.New York:ACM，2012:399-412.

［4］文坤等．骨干网络中RoQ攻击的检测，定位和识别［J］．计算机研究与发展，2015，52（4）：813-822.

［5］Guirguis M，Tharp，J，Bestavros A，et al.Assessment of vulnerability of content adaptation mechanisms to RoQ attacks［C］.Proc of the8th Int Conf on Networks（09'ICN）.Piscataway，NJ:IEEE，2009:445-450.

金鑫，博士，高级工程师，研究方向为下一代通信网络信息安全

安茂波（1970-），男，山东人，本科，工程师，研究方向为电信网络安全

于涛（1981-），男，青海人，本科，研究方向为网络新媒体在广电的互融

刘佳（1985-），女，河北沧州人，本科，研究方向为网络信息安全与防范、语音识别技术

RoQ Attack；Network Security；Complex Network；Multi-Link

A New Identify Method for RoQ Attack

JIN Xin，AN Mao-bo，YU Tao，LIU Jia
（National Computer Network and Information Security Administration Center，Beijing 100031）

1007-1423（2015）29-0003-04

10.3969/j.issn.1007-1423.2015.29.001

2015-09-29

2015-10-12

RoQ攻击作为当前流行的网络攻击手段，成为学者们研究网络安全的重点课题，传统的RoQ识别主要是针对单链路监测，这在当前复杂网络环境中缺乏说服力，提出一种面向多链路诊断的RoQ识别方法——L-RoQ，该方法从全局角度实时监测网络流量变化情况，发现链路的异常情况并准确的识别攻击，通过实验验证，该方法实时有效地识别RoQ攻击。

RoQ攻击；网络安全；复杂网络；多链路

The RoQ attack as the current popular network attacks，has became the hot research.The traditional RoQ identify mainly monitoring the sing-link，so it is not convincing during the complex network.Proposes an new RoQ identify method which used to survey the multilink—L-RoQ，this arithmetic monitors the network flowing from the global angle，finds the abnormal link and identifies the attack.This algorithm is checked using the experimental，it can identify the RoQ attack accurately.