防火墻DDoS攻擊檢測過濾技術(shù)研究.pdf

1、近幾年DDoS攻擊的危害越來越明顯，DDoS攻擊直接對經(jīng)濟(jì)、軍事、國土安全等方面造成巨大影響。作為現(xiàn)代互聯(lián)網(wǎng)中重要的防護(hù)屏障，防火墻在保護(hù)網(wǎng)絡(luò)的安全性方面起著不可估量的作用。面對互聯(lián)網(wǎng)攻擊流量逐年增大的趨勢，防火墻已不僅僅要起到重要的防護(hù)作用，還應(yīng)及時應(yīng)對攻擊流量，使其造成的危害最小。在DDoS多種攻擊類型中，SYN Flood攻擊依然是出現(xiàn)頻次最高的攻擊，本文主要針對防火墻端如何快速檢測SYN Flood攻擊以及出現(xiàn)攻擊時系統(tǒng)該如何快

2、速過濾攻擊流量展開的。
　　本文結(jié)合正常流量在時間序列上的特點以及SYN Flood攻擊發(fā)生時的特征，提出了一種實時監(jiān)測的方法-動態(tài)閾值K-NN-LRI。該方法使用K數(shù)組的方式簡化了原始K-NN算法的計算步驟，使其計算量大大降低，同時也改進(jìn)了動態(tài)K-NN累計距離異常點檢測算法中因流量驟減產(chǎn)生的誤報，提高了正確率。該方法結(jié)合流表空間數(shù)以及SYN包數(shù)量、RST包數(shù)量、FIN包數(shù)量等特征采用線性回歸不等式的方法進(jìn)行判斷是否存在SYNFl

3、ood攻擊。最后在MATLAB下進(jìn)行仿真實驗，結(jié)果表明本方法的有著較高的正確率、攻擊檢出率以及較低的誤報率。
　　當(dāng)檢測出SYN Flood攻擊時，為了能為明顯的過濾掉攻擊流量，本文結(jié)合主動隊列管理的機(jī)制提出了一種基于多閾值的流公平SYN-BLUE算法。該算法首先根據(jù)TCP友好公式，推算出丟包率和流的連接數(shù)以及表現(xiàn)流公平特征的窗口值存在二次方的關(guān)系，并根據(jù)SYN Flood攻擊的特點設(shè)定了不同的閾值，根據(jù)閾值的不同，采取不同的力度