本书第1章首先介绍了RoQ攻击的主要研究背景,对当前相关研究现状进行了总结、归类与分析。第2章对RoQ攻击的原理进行了详细介绍,对目前已提出的各种RoQ攻击方式进行了分类描述和建模。第3,4,5,6章结合其攻击特征及规律,分别对RoQ攻击的单点检测、协同检测、主动防御方法进行了探讨,介绍了一些检测和防范方法,并通过仿真模拟实验对这些防范方法的有效性进行了验证,对检测性能进行了分析。第7,8章对特定网络环境下RoQ攻击存在的可能性进行了讨论。第9章总结了全书的内容,并展望了未来技术的发展趋势。
降质服务(Reduction of Quality ,RoQ)攻击是近年来出现的一类新型攻击,与传统洪泛式拒绝服务攻击相比,RoQ攻击具有攻击效率高、难察觉和难检测等特点。RoQ攻击不像DoS攻击那样需要维持高速率的攻击流,而是利用目标系统中适应性控制机制本身所存在的安全漏洞,通过周期性地发送攻击脉冲,降低目标系统的运行效率。由于RoQ攻击的平均速率低,目标系统有可能性能被长时间地侵害而毫无察觉,因此RoQ攻击的隐蔽性更强,且难以用已有的方法进行防范。
RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点,及时检测和防范降质服务攻击是保证网络计算环境安全的重要前提。目前国内对于降质服务攻击的研究刚刚起步,本书将针对RoQ攻击,研究其攻击形成原理,归纳此类攻击的特征,并在此基础上研究检测和防范RoQ攻击的方法,为网络的可靠性和可信性提供安全保证机制。
拒绝服务(Denial of Service,DoS)攻击一直是Internet面临的最为严峻的威胁之一。它主要通过连续向攻击目标发送超出其处理能力的过量数据,消耗其有限的网络链路或操作系统资源,使之无法为合法用户提供有效服务。在过去的几年中,DoS攻击技术不断发展,造成的破坏性也越来越大。但近年来,出现了一类近似DoS攻击的新型攻击——降质服务(Reduction of Quality,RoQ)攻击。与传统DoS攻击相比,RoQ攻击的攻击效率更高、隐蔽性更强、检测难度更大、更具有威胁性。
传统的DoS攻击尽管破坏性很大,但是其洪泛式、高频率、完全拒绝服务等特征致使其与正常网络流量相比具有一种异常统计特性,这样对其进行检测相对比较简单。RoQ攻击与DoS攻击不同,其攻击目的不再是使目标系统完全丧失对正常请求的服务能力,而是降低目标系统对正常请求的服务质量。RoQ攻击效果虽然不及DoS攻击明显,但隐蔽性更强,目标系统可能长时间地被RoQ攻击侵害而毫无察觉。而且,RoQ攻击不再需要维持高速率攻击流来耗尽受害者端所有可用资源,而是利用网络或终端系统常见的自适应机制中存在的安全漏洞,通过间歇性地发送高强度攻击脉冲,降低受害者端的服务性能。RoQ攻击可以看做是在DoS攻击基础上的改进形式,与DoS攻击相比,RoQ攻击更加彻底地做到了有的放矢,因此攻击效率有了大幅度的提高,且更加有效地躲避了检测和防范。RoQ攻击的提出给攻击防范问题的研究带来了新的挑战。
RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点,及时检测和防范降质服务攻击是保证网络计算环境安全的重要目标。目前国内对于降质服务攻击的研究刚刚起步。本书针对RoQ攻击,分别从攻击原理、攻击特征分析、攻击检测、攻击防御等方面,结合武汉大学网络安全团队的多年研究积累,进行了全面介绍。
本书共分9章,各章的主要内容组织如下:
第1章为绪论。该章介绍了本书的主要研究背景及研究意义;对当前相关研究现状进行了总结、归类与分析;给出了本书的研究目标和研究内容。
第2章详细介绍了RoQ攻击原理,对目前已提出的各种RoQ攻击方式进行了分类描述和建模。与传统DoS持续性攻击方式不同,RoQ攻击在短暂时间段内发送脉冲式攻击流,攻击脉冲必须与系统的恢复时间同步,以达到低强度、高效能的攻击目的。因此,精确选择攻击脉冲发送时间对攻击效果来说非常重要。该章主要对各种RoQ攻击的目标系统及攻击同步方法进行研究,并通过在NS2平台上进行的仿真实验对各种RoQ攻击的效果进行了分析。
第3章结合RoQ的攻击特征及规律,对Internet正常网络流与RoQ攻击流的差异进行了分析研究。首先介绍了一种基于小波特征提取的RoQ攻击单点检测方法,并详细讨论从整体框架到各部件的设计与实现。然后在NS2上进行仿真实验,评估系统的检测性能。
第4章结合RoQ的攻击特征及规律,对Internet正常网络流与RoQ攻击流的差异进行了分析研究,介绍了一种基于支持向量机的RoQ攻击单点检测方法。检测系统对攻击流量进行时频双域特征分析,使用CUSUM和离散傅里叶变换的方法对网络流量进行特征提取,将攻击的检测归结为一个多分类问题。引入支持向量机来解决这一分类问题,通过将获取到的实时网络流量归入不同的类,来判断该网络流量中是否含有攻击成分。由于综合考虑了时频两域中的多个特征,所以不仅能够对多种类型的攻击(DoS攻击、周期固定的RoQ攻击、周期变化的 RoQ攻击)进行检测,而且保证了检测的准确率。NS2上模拟实验结果表明,该检测方法具有高检测率和低误警率,并且能检测出RoQ变种攻击,消耗计算资源少,具有良好的实用价值。
第5章对分布式RoQ攻击的检测方法进行研究。针对DRoQ攻击特点,介绍了一种位于中间网络的分布式协同检测方法DCRD(Distributed Collaborative RoQ Detection)。该章在单点小波流量特征提取的基础上,介绍了一种基于D-S证据理论的多点协同检测方法——通过各检测结点间的协同交互,组合各种特征证据对攻击进行综合判决。各检测结点之间采用分布式协同算法实现信息交互。仿真实验结果表明,DCRD能够以较高精确度对分布式RoQ攻击进行检测,并于靠近攻击源处对其进行响应,有效减小了攻击及防范机制本身对合法流量的影响。
第6章以针对内容自适应机制的RoQ攻击为例,研究了针对终端系统的RoQ攻击免疫方法。本章介绍了一种改进的内容自适应机制,针对传统的内容自适应机制对于RoQ攻击防御能力差的缺陷,将Q学习机制引入到内容自适应决策流程中。通过对攻击态势的实时感知,Q学习机制及时做出决策,对内容自适应机制的相应参数进行智能调整,实现了对RoQ攻击的免疫。本章最后通过实际网络实验对这一机制进行了验证。实验结果表明,所介绍的免疫机制能够有效地降低RoQ攻击对内容自适应机制决策的影响,从而保证其对外的服务质量。
第7章探索结构化P2P网络中RoQ攻击实现方式,通过周期性组织受控结点恶意退出,构造高搅动环境,大大地降低了系统的查询成功率,并增加了成功查询的时延。p2psim上的仿真实验结果表明了对攻击影响理论估计的有效性。同时,也讨论了对这种攻击的检测和防范。
第8章对无线网络中的RoQ攻击进行详细分析,同时探讨相应的检测与防范方法。考虑到Adhoc网络是目前应用最为广泛的无线网络,我们以其为例分析无线网络环境下的RoQ攻击。
第9章对本书进行总结,对RoQ攻击相关研究中有待解决的问题进行了思考,并展望了后续工作。
本书所介绍的研究工作是经过武汉大学计算机学院众多科研人员多年学习、研究和工程实践沉淀的成果。参与本研究工作的人员包括:曹强、韩奕、钟海、陈伟、董伟、刘建博等;另外,钟海在本书的校正、协助编辑整理、修改书稿等方面做了大量工作,在此对他们表示衷心的感谢。
本书是国内第一部专门针对RoQ攻击的研究著作,对相关领域的研究人员具有一定的借鉴意义和参考价值。本书的出版得到国家自然科学基金“低速率的拒绝服务攻击模型和防范研究”(2007,项目编号: 60642006)、国家自然科学基金“面向低速率拒绝服务攻击防范的安全适应性机制研究”(2008,项目编号:60773008)、国家自然科学基金可信软件重大研究计划项目“可信编译理论与实现方法研究” (2009,项目编号:90818018)和湖北省自然科学基金计划重点项目“可信计算的软件理论与关键技术研究”(2009,项目批准号:2008CDA007)等项目的资助,在此一并表示感谢。
降质服务攻击原理及其检测防范方法是当前处于科学前沿的论题,许多理论和思想还处于探索阶段,由于作者的水平和经验有限,错误和不妥之处在所难免,恳请读者给予批评指正,共同推进计算机网络安全研究的进步和发展。
作者
2011年4月于武汉
计算机\安全
降质服务(Reducation of Quality ,RoQ)攻击是近年来出现的一类新型攻击,与传统洪泛式拒绝服务攻击相比,RoQ攻击具有攻击效率高、难察觉和难检测等特点。RoQ攻击不像DoS攻击那样需要维持高速率的攻击流,而是利用目标系统中适应性控制机制本身所存在的安全漏洞,通过周期性地发送攻击脉冲,降低目标系统的运行效率。由于RoQ攻击的平均速率低,目标系统有可能性能被长时间地侵害而毫无察觉,因此RoQ攻击的隐蔽性更强,且难以用已有的方法进行防范。
RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点,及时检测和防范降质服务攻击是保证网络计算环境安全的重要前提。目前国内对于降质服务攻击的研究刚刚起步,本书将针对RoQ攻击,研究其攻击形成原理,归纳此类攻击的特征,并在此基础上研究检测和防范RoQ攻击的方法,为网络的可靠性和可信性提供安全保证机制。
前言
第1章绪论
11研究背景及意义
12RoQ攻击相关研究现状
121攻击方法研究
122攻击检测防范方法研究
13研究目标及内容
第2章降质服务攻击原理及攻击建模
21引言
22降质服务攻击的基本原理
221针对网络资源的RoQ攻击
222针对终端系统的RoQ攻击
223降质服务攻击的其他实现形式
23仿真实验与效果分析
231针对TCP拥塞控制机制的RoQ攻击
232针对路由器主动队列管理机制的RoQ攻击
24本章小结
第3章一种基于小波分析的RoQ攻击单点检测方法
31入侵检测系统与网络流量分析
32基于小波特征提取的RoQ检测框架
33小波分析原理及实现算法
331小波分析的数学原理
332二进正交小波变换的实现算法:Mallat算法
333小波分析的时频性质
34RoQ攻击特征提取
35采用BP网络的综合诊断模块
351人工神经元模型
352神经网络与BP模型
353BP网络的学习算法
354BP网络设计的关键问题
36基于小波分析的攻击源追踪策略
361攻击数据包定位
362攻击源追踪
37仿真实验与检测系统性能分析
371NS简介
372Internet中RoQ攻击检测系统
373检测系统参数选取与性能测试
38本章小结
第4章一种基于支持向量机的RoQ攻击时频双域单点检测方法
41引言
42相关工作介绍
43RoQ攻击流特征分析
431攻击流特征分析
432包过程及其均值的定义
44基于CUSUM和DFT的RoQ攻击特征提取
441基于CUSUM的攻击流时域统计量分析
442基于DFT的攻击流频域特征分析
45基于支持向量机的RoQ攻击诊断方法
451支持向量机原理
452攻击诊断方法
46仿真实验结果与检测性能分析
461实验配置及参数设置
462攻击特征提取
463建立数据集
464检测性能分析
47本章小结
第5章基于DS证据理论的分布式RoQ攻击协同检测方法
51引言
52分布式RoQ攻击方法
53DRoQ分布式协同检测方法
531DCRD检测系统总体架构
532DRoQ攻击流特征本地提取
533基于DS证据理论的DRoQ攻击判决方法
534协同通信
54仿真实验结果分析
541基本概率分配函数参数的确定
542特征综合判决
55本章小结
第6章一种基于Q学习的RoQ攻击系统自免疫方法
61引言
62内容自适应机制原理及脆弱性分析
621内容自适应机制原理
622内容自适应机制RoQ脆弱性分析
63一种基于Q学习的改进内容自适应机制
631Q学习原理介绍
632改进的自适应机制及算法
64仿真实验与效果分析
641实验环境及参数配置介绍
642实验结果及其分析
65本章小结
第7章结构化P2P网络中的RoQ攻击及其防范
71P2P网络概述
72Chord及其他结构化P2P网络
721Chord——简单、精确的环形P2P网络
722其他结构化P2P网络
73结构化P2P网络的动态性和容错性
731结构化P2P网络的动态性
732结构化P2P网络的容错性
74结构化P2P网络中的RoQ攻击原理分析
741RoQ攻击的一般模型
742DHT中的RoQ攻击原理
743DHT中的RoQ攻击影响分析
75结构化P2P网络中的RoQ攻击防范策略
76结构化P2P网络中的RoQ攻击效能分析
761p2psim简介
762结构化P2P网络中的RoQ攻击效果评估
77本章小结
第8章Adhoc网络中的RoQ攻击及其防范
81Adhoc网络及其MAC接入协议
811CSMA/CA协议
812信道预约机制
82攻击分析
821攻击模型
822攻击形式
823攻击效果分析
83检测方法
831检测攻击方违反协议的行为
832确认RoQ攻击
84Adhoc网络中的RoQ攻击效果
841攻击周期和脉冲长度对攻击效果的影响
842攻击脉冲强度对攻击效果的影响
843攻击方的 CWMin、CWMax值对RoQ攻击流的影响
844攻击方位置对攻击效果的影响
85本章小结
第9章总结及展望
91总结
92展望
参考文献