[论文解读] Mitigating Link-flooding Attacks With Active Link Obfuscation.
本文提出 Linkbait,一种针对链路洪水攻击(LFA)的主动缓解机制,通过提供虚假链路图来混淆网络拓扑,误导攻击者将目标对准诱饵链路。结合动态链路重路由与基于支持向量机(SVM)的僵尸机检测,Linkbait 在无需事先识别僵尸机的情况下,减少了垃圾流量并保护了合法流量。
Link-flooding attack (LFA) has emerged as a serious threat to Internet which cuts off connections between legitimate hosts and targeted servers by flooding only a few links (e.g., target links). Several mechanisms have been proposed to mitigate LFA, however, they can only mitigate LFA passively after target links have been compromised by adversaries. Based on the fact that adversaries rely on network linkmap to launch LFA, in this paper, we propose an active LFA mitigation mechanism, called Linkbait, that actively mitigates LFA by providing a fake linkmap to adversaries. Inspired by Moving Target Defense (MTD), we propose a link obfuscation algorithm in Linkbait that selectively reroutes detecting flows to hide target links from adversaries and mislead them to consider some bait links as target links. By providing the faked linkmap to adversaries, Linkbait can actively mitigate LFA even without identifying bots and does not affect flows from legitimate hosts. In order to further reduce the junk traffic generated by adversaries from entering the network, we propose a bot detection algorithm in Linkbait that extracts unique traffic patterns from LFA and leverages Support Vector Machine to accurately distinguish bots from legitimate hosts. Finally, we evaluate the feasibility of implementing Linkbait in real Internet, and evaluate its performance by using both a real-world testbed and large-scale simulations. The analyses and experiments results demonstrate the effectiveness of Linkbait.
研究动机与目标
- 应对链路洪水攻击(LFA)日益增长的威胁,此类攻击通过淹没特定网络链路来扰乱合法通信。
- 克服被动 LFA 缓解技术的局限性,后者仅在目标链路已被破坏后才采取反应措施。
- 开发一种主动防御机制,通过拓扑混淆技术主动隐藏真实目标链路,防止攻击者发现。
- 通过基于 LFA 独特流量模式的僵尸机检测,最小化恶意源产生的垃圾流量。
- 确保合法主机流量不受影响,同时将恶意流量误导并限制在可控范围内。
提出的方法
- 设计一种链路混淆算法,选择性地将探测流量重路由,以隐藏真实目标链路,并将攻击者引导至诱饵(诱饵)链路。
- 通过动态响应探测行为改变网络拓扑,构建虚假链路图,使攻击者误以为诱饵链路是实际目标。
- 集成基于支持向量机(SVM)的僵尸机检测模块,依据 LFA 引发的独特流量模式识别恶意流量。
- 利用探测流量检测并映射网络拓扑变化,实现对混淆策略的实时动态调整。
- 结合主动混淆与僵尸机检测,降低进入网络的垃圾流量总量,提升防御韧性。
- 在真实世界测试平台与大规模仿真环境中实现并评估 Linkbait,以验证其实际可行性与性能表现。
实验结果
研究问题
- RQ1主动防御机制是否能在真实目标链路被破坏前有效缓解链路洪水攻击?
- RQ2虚假链路图在多大程度上能误导攻击者,使其将目标对准诱饵链路而非真实目标?
- RQ3在缺乏僵尸机签名信息的前提下,基于流量模式分析与 SVM 的检测方法能否准确识别 LFA 僵尸机?
- RQ4所提出的混淆与检测机制在真实网络环境中的性能开销与可扩展性如何?
- RQ5主动混淆与僵尸机检测的集成如何降低整体垃圾流量并保护合法流量?
主要发现
- Linkbait 通过提供具有说服力的虚假链路图,成功误导攻击者将目标对准诱饵链路,显著降低了对真实目标链路的影响。
- 基于 SVM 的僵尸机检测算法能通过识别 LFA 引发的独特流量模式,准确区分恶意流量与合法流量。
- 主动混淆与僵尸机检测的结合显著减少了进入网络的垃圾流量,提升了整体网络韧性。
- 在真实世界测试平台与大规模仿真环境中的评估表明,Linkbait 在有效缓解 LFA 的同时,维持了合法主机的连通性。
- Linkbait 无需事先识别僵尸机基础设施,即可实现对未知或零日 LFA 变种的主动防御。
- 该机制对合法流量造成的性能开销极小,确保了在真实互联网环境中的实际可部署性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。