基于TCP 時頻域特征的低速率拒絕服務攻擊檢測方法

王家豪 方智陽 王俊峰

摘 要： 低速率拒絕服務（ LDoS） 攻擊是DoS攻擊的特殊變體，其可以利用TCP協議中的自適應機制來降低客戶端和服務器的連接質量. 由于攻擊速率低且隱蔽，使用傳統的 DoS 防御機制不能有效識別LDoS. 本文提出了一種基于TCP 流量的時頻域特征和改進Stacking 算法的LDoS 攻擊檢測方法（TF-Stacking），分析了正常流量和包含LDoS 攻擊的流量在時域和頻域上表現出的差異，構建網絡流量特征集，用于流量數據的特征計算，以從網絡流量數據中提取最有用的信息，減少網絡數據規模. 同時，改進Stacking 算法來緩解元模型樣本權重的不平衡問題，用于流量分類. 本文在NS3 仿真平臺上進行了實驗來評估TF-Stacking 方法的性能，實驗結果表明，TF-Stacking 檢測準確率達到了98. 07%，且僅有1. 55% 的漏報率，可以有效檢測LDoS 攻擊.

關鍵詞： 統計特征； 集成學習； Stacking； 攻擊檢測

中圖分類號： TP391. 1 文獻標志碼： A DOI： 10. 19907/j. 0490-6756. 2024. 033002

1 引言

隨著互聯網的發展，網絡安全問題也變得越來越復雜，網絡基礎設施和在線應用程序通常是安全攻擊的目標，尤其是拒絕服務（Denial of Service，DoS ）攻擊. 攻擊者主要通過泛洪攻擊的方式占用目標系統資源或者破壞目標系統服務，使得合法用戶無法正常使用. 這種泛洪式DoS 攻擊由于其高速流量特性表現出明顯特征，因此，可以通過現有的DoS 檢測策略進行識別. 隨著攻擊技術不斷演進，DoS 攻擊形式也在不斷變化. 低速率拒絕服務（Low-rate DoS， LDoS）攻擊是DoS 攻擊的特殊變種，這種類型的DoS 攻擊通過產生可以隱匿在正常傳輸控制協議（TCP）中的低速率攻擊流量，同時利用網絡協議的自適應機制，在網絡中造成虛假擁塞，損害客戶端和服務器的連接質量，使得服務器無法為用戶提供正常服務.

與傳統高速率拒絕服務（DoS）攻擊相比，LDoS 攻擊更加隱蔽和難以檢測，因為他們使用低速率的攻擊流量，足以占用目標系統的關鍵資源，但又不足以觸發傳統DoS 防御機制［1］. LDoS 攻擊由Kuzmanovic 等人［2］在2003 年首先提出，他們給出了LDoS 攻擊的一種有效實施方案，并將其命名為“Shrew”攻擊. 與泛洪式攻擊不同的是，Shrew攻擊利用TCP 協議中的超時重傳（RTO）和加增減乘（AMID）機制將正常TCP 流量限定在一個很小的范圍，從而降低網絡服務質量，因此，Guirguis等人［3］也將其稱為降質攻擊（Reduction of Qualityattack）. Luo 等人［4］在2005 年提出了脈沖式拒絕服務攻擊（PDoS），其中補充了針對AMID 機制的攻擊模型. LDoS 攻擊也出現在云平臺和大數據中心，Ficco 等人［5］將其稱為隱形攻擊. 針對CUBIC擁塞控制算法和RED 隊列管理機制的攻擊場景，Yue 等人［6］提出了LDoS 雙脈沖攻擊模型，從而最大化攻擊效能. 此外，研究人員還研究了針對不同網絡協議和網絡環境下的LDoS 攻擊，包括針對物聯網的LDoS［7］、軟件定義網絡下的LDoS［8］、針對HTTP/2 的LDoS［9］以及應用層協議下的Slowloris攻擊［10］.

LDoS 攻擊對于現代網絡和云計算環境構成了嚴重威脅. 由于其低速率特性，LDoS 攻擊往往能夠繞過傳統入侵檢測系統（IDS）和入侵防御系統（IPS），因為這些系統通常更加關注高速率攻擊流量［11］. 此外，LDoS 攻擊還可以利用云計算環境中共享資源的特性，通過占用共享資源而對多個租戶或用戶造成影響［12］. 傳統DoS 攻擊檢測方法在檢測LDoS 攻擊方面存在一些困難. 由于攻擊流量的低速率，傳統入侵檢測系統通常很難將LDoS 攻擊流量與正常流量區分開來. 此外，LDoS攻擊通常利用目標系統的特定弱點或漏洞，這使得傳統的基于簽名或規則的檢測方法無法準確地檢測和識別這些攻擊.

本文提出了一種基于TCP 時頻域特征和改進Stacking 算法（TF-Stacking）的攻擊檢測方法，可以在傳輸層識別LDoS. 在介紹檢測方法之前，本文首先描述了在LDoS 攻擊影響下，TCP 數據流在時域和頻域表現出的兩種異常. 其次，通過對TCP數據流在LDoS 攻擊下的數據分布進行分析，從中提取出異常特征. 最后，通過改進Stacking 算法來分類檢測，能夠準確學習異常特征，從而擁有檢測含有LDoS 攻擊流量的能力. 通過在NS3 環境中進行仿真實驗來評估本文方法的效率，結果表明，本文檢測模型具有較高的準確率和較低的誤報率，可以有效地檢測網絡中的 LDoS 攻擊.

2 相關工作

LDoS 攻擊是一種低速、隱蔽的拒絕服務攻擊，給網絡系統的安全性和可用性帶來嚴重威脅.為了及時發現和應對LDoS 攻擊，研究者們提出了多種檢測方法和技術. 近幾年提出的LDoS 檢測方法可以分為三類：基于頻域的方法、基于時域的方法和基于流量統計分析的方法.

2. 1 基于時域的LDoS 檢測方法

基于時域的LDoS 攻擊檢測方法通過對流量數據在時間上的變化進行分析和建模，該方法主要關注流量的持續時間、間隔和速率等時域特征，以區分正常流量和LDoS 攻擊流量之間的差異.Ding 等人［13］分析了攻擊流量和正常流量之間的時域特征，利用數據包到達時間的差異，提出了一種檢測潛在LDoS 攻擊行為并嘗試追蹤攻擊者位置的方法. Tang 等人［14］針對LDoS 攻擊引起的ACK流量分布異常，總結ACK 流量的分布特征，提出一種自適應的基于AEWMA 算法的檢測方法. Wu等人［15］研究了基于序列對齊的LDoS 攻擊脈沖之間的時序關系，提出了可以使用生物信息學中的序列匹配比對檢測原理來檢測 LDoS 攻擊. 同時，他們在對攻擊隊列分析的基礎上，提出了基于KPCA 及神經網絡的檢測方法［16］，該方法將平均隊列和瞬時隊列在遭受LDoS 攻擊時的劇烈變化作為依據，經KPCA 提取特征后，利用BP 神經網絡進行檢測.

2. 2 基于頻域的LDoS 檢測方法

基于頻域的LDoS 攻擊檢測方法利用信號處理和頻域分析技術來區分正常流量和LDoS 攻擊流量之間的差異. 該方法通過將流量轉換到頻域，并分析頻域特征來揭示LDoS 攻擊的隱藏模式和特征. Toklu 等人［17］提出了一種針對高速率DDoS攻擊和低速率DDoS 攻擊的混合過濾方案. 在該方案中，平均變換用于過濾高速率DDoS 攻擊的網絡流量，傅里葉變換用于過濾低速率DDoS 攻擊的網絡流量. Agrawal 等人［18］提出了一種基于功率譜密度的LDDoS 攻擊檢測方法. 他們指出，對于LDDoS 攻擊流量，攻擊頻譜主要分布在低頻區域，而合法流量則是均勻分布的. Chen 等人［19］將功率譜分析和信息熵相結合，通過將流量進行傅里葉變換和小波變換，計算變換后的信息熵，以此來區分正常流量和LDoS 攻擊. Liu 等人［20］首先聚合和壓縮網絡流量以降低數據存儲成本并優化檢測效率，同時改進了小波變換，通過分別計算每個壓縮流量的能量分數，結合動態閾值，實現了正常流量和 LDoS 攻擊流量的有效區分.

2. 3 基于統計分析的LDoS 檢測方法

基于統計分析的LDoS 攻擊檢測方法利用流量數據的統計特性來區分正常流量和LDoS 攻擊流量之間的差異. 該方法通過對流量數據的分布、頻率和模式進行統計分析，以發現LDoS 攻擊特征和異常行為. Liu 等人［21］提出了一種基于多特征融合的檢測方法，包含確認字符（ACK）序列號、數據包大小和隊列長度的攻擊特征集用于對正常和LDoS 攻擊流量進行分類. Tang 等人［22］基于對網絡流量的分析，構造了一個網絡流量的特征集，結合CNN 算法用于分類檢測. Bojovi? 等人［23］提供了一種使用指數移動平均（EMA）和香農熵檢測序列的方法來識別網絡流量中是否包含低速率DoS 攻擊. Duan 等人［24］將網絡流量的前16 個數據包大小以及時間間隔作為統計特征數據，同時對正常流量特征數據進行建模，根據重構序列與輸入數據的重構誤差進行攻擊判定.

基于時域的檢測研究通常具有處理過程簡單快速、特征直觀等優點，但在檢測LDoS 攻擊時可能缺乏對其周期性頻譜信息的充分利用. 這是因為時域分析主要關注信號在時間上的變化，而忽略了信號頻譜的細節. 相比之下，基于頻域的檢測方法可以更好地捕捉LDoS 攻擊的頻譜特征. 頻域分析方法將信號轉換到頻域，通過分析頻譜特征來揭示LDoS 攻擊的周期性特征. 然而，頻域分析方法缺乏信號隨時間變化的特征信息，無法捕捉到時域上的動態變化. 為了克服時域和頻域方法各自的局限性，基于時頻域的檢測研究應運而生. 時頻域分析方法能夠綜合考慮信號在時域和頻域兩個方面包含的細節信息，有效彌補了時域和頻域方法的不足. 在LDoS 攻擊檢測中，基于時頻域的方法可以更全面地揭示LDoS 攻擊的特征和模式. 通過分析信號在時頻域上的變化，可以同時捕獲到信號的時域動態和頻域周期性信息，從而提高對LDoS 攻擊的檢測能力. 因此，本文基于網絡流量的時頻特性，提出了一種基于時頻域特征的LDoS 攻擊檢測方法.

3 攻擊模型以及原理

LDoS 攻擊利用TCP 協議的自適應機制，通過不斷在穩定與不穩定狀態之間切換，從而對網絡性能造成嚴重影響. 在LDoS 攻擊期間，擁塞控制機制被反復觸發，導致網絡流量極其不穩定. 在網絡頻繁切換穩定與不穩定狀態的情況下，自適應機制無法及時適應這種變化，不能快速有效地調整發送速率、窗口大小等參數，導致網絡性能下降、延遲增加或數據丟失. 這種頻繁的狀態切換對網絡的正常功能和用戶體驗產生負面影響，導致網絡服務的可靠性和效率下降.

不同于DoS/DDoS 攻擊，LDoS 無需維持大規模的攻擊流量，而是周期性地發送攻擊流量來降低受害目標的服務質量［1］. 在一個攻擊周期內，攻擊脈沖的持續時間較小，即使這樣，短時的高速率攻擊流量也足以占滿瓶頸鏈路和路由器，造成正常流量數據丟包. 當攻擊脈沖間歇性停頓時，網絡自適應機制會根據流量的變化和網絡狀況調整參數，以適應正常的流量和恢復網絡性能. 而當網絡剛恢復正常性能時，下一個周期的脈沖又接踵而至，從而使得網絡不斷地在穩定狀態和不穩定狀態之間切換，造成網絡性能的大幅度降低.