基于流量的分布式拒絕服務攻擊檢測.pdf

1、分布式拒絕服務攻擊(DDoS)因其分布區(qū)域廣、參與攻擊的機器多等已成為網(wǎng)絡安全領域最難解決的問題之一。目前，對DDoS攻擊的研究主要集中在檢測領域，而基于流量的攻擊檢測是其中的重要方向之一。在檢測DDoS攻擊研究中，還有很多困難和急待解決的問題，主要表現(xiàn)在以下三個方面：一是正常突發(fā)流量與攻擊異常流量難以區(qū)分，導致檢測效果不佳的問題；二是偽造攻擊包致使攻擊者難以追蹤的問題。第三，研究檢測方法的文獻較多，而對攻擊存在時，如何保障服務器正常運

2、行等問題研究的較少，動態(tài)自適應解決方案則更難見到。
　　 本論文主要開展基于流量的攻擊檢測研究，以致力解決檢測算法中正常突變流量與異常攻擊流量難以區(qū)分的問題，并同時開展對流量自應控制的研究，探索自動檢測和自動應對DDoS攻擊的方法和途徑。
　　 論文首先介紹了開展DDoS攻擊檢測的研究背景、分類及其使用的檢測技術，為開展攻擊檢測問題的研究奠定基礎。
　　 為了解決檢測算法中正常突變流量與攻擊異常流量的區(qū)分問題，減

3、小其對檢測算法的干擾，論文對正常流量的特征開展了分析研究。首先利用概率論理論知識，給出了網(wǎng)絡流量的分布，并據(jù)此給出了流量具有的穩(wěn)定性和周期性特征；其次，通過流量不純度分析研究了流量的成份分布，得出流量構成相對穩(wěn)定的結論。流量具有的這些特征為建立基于流量的攻擊檢測模型提供了前提條件。另外，論文還根據(jù)流量不純度基本穩(wěn)定的事實，分析了它與流量自相似特征可能存在的內(nèi)在聯(lián)系。
　　 通過對正常流量特征的分析研究，本文提出了可用于攻擊檢測的

4、新測度。利用流量具有的穩(wěn)定性和周期性特征，對此測度進行了理論分析，論證了該測度與流量大小或正常用戶數(shù)量無關，而與攻擊異常流量有關，從而較好解決了正常突變流量與攻擊異常流量難以區(qū)分的問題。同時利用該測度建立了統(tǒng)計檢測模型，給出了攻擊檢測實現(xiàn)算法，通過實際數(shù)據(jù)檢驗表明，該算法具有較好的檢測效果。
　　 為了減小流量中隨機因素對檢測模型的影響，論文將小波技術引入到檢測模型中。在檢測中，通過利用小波變換具有的分解和重構功能，將要檢測的流

5、量數(shù)據(jù)進行多層分解，通過對比分析發(fā)現(xiàn)，中高頻層數(shù)據(jù)更能體現(xiàn)攻擊流量的特征，并據(jù)此找出了有較小干擾、適用于檢測分析的數(shù)據(jù)層。使用該層數(shù)據(jù)并通過假設檢驗和方差估計方法，給出了基于小波的攻擊檢測算法。通過實際數(shù)據(jù)檢測表明，該方法有較好的抗干擾性能和良好的識別率。
　　 在研究檢測模型的同時，為了提高算法的實時檢測能力，對一些重要數(shù)據(jù)的計算和存儲給出了遞推算法和存放建議。
　　 檢測攻擊只是預防攻擊的第一步，要達到阻止攻擊，并保

6、護服務器在受到攻擊時仍能為合法用戶提供良好服務，還需要對檢測結果做出響應，從而形成即有檢測又有應對的檢測防御系統(tǒng)，即建立自適應的流量控制系統(tǒng)。本文從自適應控制系統(tǒng)的分類入手，提出了可用于流量檢測和控制的自適應控制模型。該模型有兩部分組成，一是檢測部分，二是控制部分。為達到自適應控制的目的，論文提出一個可用于自適應控制的非線性方程，通過分析此方程的穩(wěn)定性和控制策略，給出了流量自適應控制應遵循的原則。為了解決路由器處理能力不足，同時避免受害

7、者在遭受嚴重攻擊時難以向上層路由器提出報警等問題，論文提出增加一個專用應用服務器的構想，從而使控制系統(tǒng)更加健壯。論文基于攻擊者身份難以界定的事實，通過將用戶分類，并從保護常用用戶利益的角度出發(fā)，提出了基于非線性方程的自動檢測與控制算法。由于控制算法比較復雜，論文按照運行場所將算法分成三部分，即受害者、應用服務器和路由器上的算法分別論述，并給出了較詳細的算法實現(xiàn)流程圖。仿真實驗表明，該算法達到了設計初衷，流量檢測控制系統(tǒng)具有良好的自適應能