基于TCP流量分布異常的慢速拒絕服務(wù)攻擊檢測方法.pdf

1、慢速拒絕服務(wù)（Low rate Denial of Service，LDoS）攻擊是一種新型拒絕服務(wù)（Denial of Service，DoS）攻擊，其產(chǎn)生的攻擊效果近似于DoS攻擊但攻擊隱蔽性更強。目前LDoS攻擊檢測存在兩方面的問題：其一是由于攻擊行為特征異于傳統(tǒng)DoS攻擊，傳統(tǒng)DoS攻擊檢測方法難以檢測LDoS攻擊；其二是已有的LDoS攻擊檢測方法普遍存在檢測準確性不高、檢測范圍有限、算法復雜、資源消耗大且實時性弱、自適應(yīng)能力欠

2、缺等缺點。因此，深入開展LDoS攻擊檢測方法的研究對防范惡意網(wǎng)絡(luò)攻擊、保障網(wǎng)絡(luò)安全具有重要的理論價值和現(xiàn)實意義。
　　基于LDoS攻擊的基本原理，借助形式化描述方法構(gòu)建了LDoS攻擊的攻擊模型和攻擊公式，提取了與攻擊效果緊密相關(guān)的若干攻擊參數(shù)，刻畫了攻擊參數(shù)與攻擊效果和攻擊效能之間的關(guān)系。為全面反映LDoS攻擊對數(shù)據(jù)流量的影響，在相關(guān)研究的基礎(chǔ)上建立了三個典型的網(wǎng)絡(luò)場景，以用于分析、歸納并提取LDoS攻擊發(fā)生時有效TCP（Tran

3、smission Control Protocol）流量和其它數(shù)據(jù)流量的頻數(shù)分布特征、有效TCP流量的分布形態(tài)特征和波動形態(tài)特征。此外，為恰當評測LDoS攻擊檢測方法的性能，建立了LDoS攻擊檢測方法的評價指標。
　　大量分析發(fā)現(xiàn)，LDoS攻擊發(fā)生時有效TCP流量的頻數(shù)分布、分布形態(tài)和波動形態(tài)均會發(fā)生異常。為檢測有效TCP流量的頻數(shù)分布異常，借助卡方距離在度量直方圖距離時區(qū)分能力強的優(yōu)勢，通過計算頻數(shù)分布的直方圖距離檢測頻數(shù)分布的

4、異常，提出了一種基于有效TCP流量頻數(shù)分布異常的LDoS攻擊檢測方法，并建立了相關(guān)判斷準則。在檢測有效TCP流量分布形態(tài)異常的過程中，為了消除樣本原始值偶然誤差的負面影響，采用了自適應(yīng)指數(shù)加權(quán)移動平均AEWMA（Adaptive Exponentially Weighted MovingAverage）算法統(tǒng)計樣本原始值，同時通過從離散程度和振蕩頻率兩個方面來分別檢測分布形態(tài)的異常，提出了一種基于有效TCP流量分布形態(tài)異常的LDoS攻擊

5、檢測方法，并建立了相關(guān)判斷準則。在檢測有效TCP流量波動形態(tài)異常的過程中，為了從較小的時間尺度觀察波動形態(tài)，提出了數(shù)據(jù)片的概念，同時依據(jù)所檢測數(shù)據(jù)片內(nèi)波動形態(tài)的異常，提出了一種基于有效TCP流量波動形態(tài)異常的LDoS攻擊檢測方法，并建立了相關(guān)判斷準則。
　　針對僅使用單一檢測方法檢測單一異常特征有可能導致檢測精度不夠的問題，通過分析所提出的三種檢測方法在不同檢測環(huán)境下的優(yōu)勢和不足，結(jié)合三種方法具有的互補特性，構(gòu)建了一個融合多種檢測

6、方法的LDoS攻擊檢測系統(tǒng)原型，給出了該檢測系統(tǒng)的檢測規(guī)則、處理流程及相關(guān)算法。
　　模擬實驗表明，在一定的網(wǎng)絡(luò)環(huán)境下，所提出的三種LDoS檢測方法檢測準確度高，誤報率和漏報率低。此外，基于通用數(shù)據(jù)集LBNL（Lawrence Berkeley National Laboratory）數(shù)據(jù)集與MAWI（MeasurementandAnalysis on the WIDE Internet）數(shù)據(jù)集和DARPA99（DefenseAd