DDoS攻擊防御關(guān)鍵技術(shù)的研究——DDoS攻擊檢測(cè).pdf

1、分布式拒絕服務(wù)（DDoS）攻擊以其攻擊手法簡(jiǎn)單，攻擊效果好而著稱。雖然目前大量的安全產(chǎn)品具有檢測(cè)并過濾DDoS攻擊的功能，但是，DDoS攻擊采用IP欺騙的方式和模擬正常網(wǎng)絡(luò)行為，輕易地避開了防火墻和入侵檢測(cè)系統(tǒng)。DDoS攻擊向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)報(bào)文，而防火墻和入侵檢測(cè)系統(tǒng)為了處理這些無用報(bào)文就已經(jīng)耗費(fèi)了大量的網(wǎng)絡(luò)資源和系統(tǒng)資源，因此安全產(chǎn)品本身就可能崩潰。如何有效地防御DDoS攻擊已經(jīng)成為了當(dāng)今網(wǎng)絡(luò)安全的主要課題之一，而防御的首要關(guān)

2、鍵環(huán)節(jié)就是檢測(cè)DDoS。 首先，本文總結(jié)并分析了DDoS攻擊的原理以及幾種經(jīng)典的DDoS Flood攻擊的原理。介紹了入侵檢測(cè)的概念、分類、檢測(cè)技術(shù)以及評(píng)估標(biāo)準(zhǔn)?；贒DoS攻擊在流量方面的表現(xiàn)力，選取了流量強(qiáng)度、流量的對(duì)稱性、協(xié)議分布和異常報(bào)文作為檢測(cè)的流量特征。第一次將ICMP協(xié)議中的ECHO請(qǐng)求應(yīng)答的對(duì)稱性和時(shí)間戳的請(qǐng)求應(yīng)答的對(duì)稱性作為流量特征。 然后，采用基于支持向量機(jī)的流量異常檢測(cè)方法，通過實(shí)驗(yàn)仿真驗(yàn)證選取的流

3、量特征對(duì)區(qū)分正常流量和異常流量上的表現(xiàn)力，并取得了很好的測(cè)試結(jié)果。實(shí)驗(yàn)過程采用交叉驗(yàn)證的技術(shù)評(píng)估參數(shù)在特定范圍內(nèi)的檢測(cè)效果，利用網(wǎng)格搜索的方式給定參數(shù)范圍。 最后，以流量異常檢測(cè)研究為出發(fā)點(diǎn)，將自組織特征映射（SOM）神經(jīng)網(wǎng)絡(luò)運(yùn)用到流量異常檢測(cè)中。根據(jù)網(wǎng)絡(luò)攻擊流量的特征，提出了針對(duì)正常流量和異常流量分類的分析方法，進(jìn)而提出K階鄰近算法同SOM結(jié)合的流量異常檢測(cè)算法。通過實(shí)驗(yàn)仿真，驗(yàn)證了基于K階鄰近的自組織特征映射在檢測(cè)DDoS攻