返回
基于统计特征的synflood检测方法

基于统计特征的synflood检测方法

ID:31304312

大小:123.49 KB

页数:14页

时间:2019-01-08

基于统计特征的synflood检测方法_第1页
基于统计特征的synflood检测方法_第2页
基于统计特征的synflood检测方法_第3页
基于统计特征的synflood检测方法_第4页
基于统计特征的synflood检测方法_第5页
资源描述:

《基于统计特征的synflood检测方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于统计特征的SYNFlood检测方法1弓【言(Intraduction)SYNFlood是当前最流行的拒绝服务(DoS)与分布式拒绝服务(DDoS)攻击方式之一,也是一种非常流行的利用协议漏洞的资源匮乏型攻击,它对网络破坏力惊人[1]。因SYNFlood攻击技术操作方便、容易达到目的、更难于防范和追查,越来越成为黑客最常使用的网络攻击方式Z-[2]o它主要利用TCP协议三次握手缺陷和IP欺骗技术,向目标服务器发送大量带有伪造IP地址的SYN报文,使目标服务器的TCP半连接队列被迅速占满而不能及时释放,造成无法建立正常的TCP连

2、接,从而导致拒绝服务。由于完整的TCP连接包括连接的建立和终止两个过程,在这些过程中SYN报文、ACK扌艮文、SYN/ACK报文、FIN报文、RST报文的数量具有一定对称性。目前,针对SYNFIood攻击的检测技术主要根据这种对称性是否被破坏,以判断网络中是否存在SYNFlood攻击[3]。另外,提出一种基于重尾特性的SYNFlood检测方法,该方法将SYN报文的比重与流量的重尾特性相结合提高检测的正确率[4]。在攻击者发动SYNFIood攻击时,如果有意传送对等的SYN/ACK报文、ACK报文、RST报文、FIN报文、FIN/

3、ACK报文,上述检测方法将失去作用。2SYNFIood攻击特征分析(SYNfloodattackfeatureanalysis)本文从构造一个SYN攻击报文的角度分析,SYNFlood攻击会引起网络中基于IP地址、标志位、端口号、序列号的统计特征异常。据此,提出一种基于统计特征的SYNFlood攻击检测的方法。该方法首先从半连接队列中获取半连接信息,从全连接队列中获取IP地址存储到BloomFilter屮,再分别提取基于IP地址、标志位、端口号、序列号的统计特征,最后使用LMBP算法得到检测结果。根据SYNFlood攻击原理得知

4、,攻击端在发动攻击使需要大量构造SYN报文,而构造一个完整的SYN攻击报文不仅需要在网络层伪造IP地址,而且在传输层伪造源端口号、目的端口号、序列号[5]。为了快速检测出SYNFlood攻击和新型防检测的攻击形式,本文将从IP地址、TCP半连接队列、端口号、序列号、标志位五个角度进行特征分析。(1)IP地址数据显示,在正常网络中大约82.9%IP地址出现过;当网络中存在SYNFlood攻击时,只有0.6%—14%的IP地址是从前出现过。这是SYNFlood攻击带给IP地址的第一个统计特征。另外,当SYN攻击报文中IP地址为固定值

5、时,IP地址的统计特征将呈现聚集趋势;当SYN攻击报文中IP地址为随机值时,这时IP地址的统计特征呈现发散趋势。这是SYNFIood攻击带给IP地址的第二个统计特征。(2)端口号当构造SYN攻击报文时,源端口号/目的端口号为固定值时,使得源端口号/目的端口号统计特征呈现聚集趋势;当构造SYN攻击报文时,源端口号/□的端口号为随机值时,使得源端口号/H的端口号统计特征呈现发散趋势。(1)序列号与端口号相似,当构造SYN攻击报文时,报文的序列号也存在固定值和随机值,也会导致序列号的统计特征也呈现聚集或发散趋势。(2)标志位根据TCP

6、/IP协议,与TCP连接相关的标志位主要为ACK、RST、SYN、FINo在TCP连接正常建立和终止过程中,网络中这些标志位的报文数量存在一定对称性。然而,当网络中存在SYNFIood攻击时,这种数量上的对称性将遭到破坏。需要注意的是当恶意攻击者在大量发送SYN报文的同时,向目标服务器发送相应数量的SYN/ACK报文、ACK扌艮文、RST报文、FIN报文、FIN/ACK报文时,会促使冃前大多数SYNFlood检测技术失去作用。针对这种新型防检测的SYNFlood攻击,需要严格按照报文的源地址和冃的地址进行报文统计分析。(3)TC

7、P半连接队列由SYNFlood攻击原理可以看岀,攻击的最终冃的是耗尽TCP半连接队列,从而导致拒绝服务。因此,TCP半连接队列是SYNFlood攻击最根本目标,也能最直接、准确反应出SYNFlood攻击的存在。3基于统计特征的检测算法(Detectionalgorithmbasedonstatisticalfeatures)该算法主要分为获取TCP连接信息、提取统计特征、检测攻击三个部分。第一部分主要从半连接队列和全连接队列中获取所需的连接信息。第二部分根据第一部分的连接信息,提取半连接队列长度、IP地址、标志位、源端口号、目的

8、端口号、序列号的统计特征。第三部分,根据第二部分的统计特征,通过BP神经网络判断网络屮是否存在SYNFlood攻击。图1基于统计特征的检测算;去Fig.1DetectionalgorithmbasedonstatisticalfeaturesFig.1Detec

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。