返回
一种追踪ddos攻击源的算法

一种追踪ddos攻击源的算法

ID:22129739

大小:55.00 KB

页数:6页

时间:2018-10-27

一种追踪ddos攻击源的算法_第1页
一种追踪ddos攻击源的算法_第2页
一种追踪ddos攻击源的算法_第3页
一种追踪ddos攻击源的算法_第4页
一种追踪ddos攻击源的算法_第5页
资源描述:

《一种追踪ddos攻击源的算法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一种追踪DDoS攻击源的算法:提出了一个追踪DDoS攻击源的算法,将攻击源快速锁定到规模相对较小的AS实体中,确定攻击源所属的AS自治域系统。由入侵检测系统的X络数据包采集器负责处理X络中传输的报文,采集到的数据经加工处理后,识别、记录和分析攻击行为或异常情况,形成入侵攻击报警信息数据,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图。实验表明,该算法比PPM算法在计算负载上更有效。  关键词:入侵检测;DDoS;攻击路径  :TP393:A:1009-3044(2011)18-4321-03  AnAlgorithmforTra

2、cingDDoSAttackSources  LIQing-hong  (DepartmentofInformationEngineering,ZhuzhouProfessionalTechnologyCollege,Zhuzhou412001,China)  Abstract:AnalgorithmfortracingDDoSattacksourcesrapidlylockattacksourcestoASentitiesallscalesforensuringtheirASautonomysystem.Thegathererofissiv

3、emessageofthealconditionforformingintrusionattackalarminformationdata,thisretracesroutesofintrusionattackstoformingtheeffectiveroutefigures.ExperimentsshoiseffectivethanthePPMalgorithmoncalculatedload.  KeyPtraceback消息的追踪方案利用ICMP分组包来发送标记消息[2],而路由器以低概率从其转发的路由分组中取一个样本,目的节点根据收

4、到的信息来重构攻击路径,但需防止攻击者发送假的ICMPtraceback报文。类似于ICMPtraceback,基于概率数据包标记(PPM)方案[3]在数据包到达路由器时,以某种概率来标记数据包的部分路径信息,当被攻击主机收到的带有标记信息的数据包达到一定数量时,可通过分析来恢复和构建完整的攻击路径。该方法能实现事后追踪,降低系统负载,且不会增加所传送数据包的大小。但数据包标记很容易被攻击者利用,当对付少量攻击包且高度分散的DDoS攻击时,假阳性概率会很高。对于一个平均攻击长度为25的25个用户发动的DDoS攻击事件,如采用PPM算法,被攻击

5、主机需要花费数天的时间才能找到大致的攻击路径,而这里面还包含了一定数量的假阳性路径。  本文提出了一个追踪DDoS攻击源的算法,将攻击源快速锁定到规模相对较小的AS实体中,确定攻击源所属的AS自治域系统。由入侵检测系统的X络数据包采集器负责对X络中传输的报文进行监听、过滤、记录数据包信息,采集到的数据经加工处理后,识别并记录攻击行为或异常情况,对X络事件进行相关性分析,形成入侵攻击报警信息数据,再读取数据库的相关入侵攻击数据,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图,从而实现入侵追踪定位的目标任务。  1追踪处理框架  数

6、据的采集由入侵检测系统的X络数据包采集器负责对X络中传输的报文进行监听、过滤、记录数据包信息,能够对内外X同时监控,为了更有效的采集数据,选取对主机的各种端口和X络关键节点的数据采集相结合。  入侵检测先集中采集数据,再用各种协议对数据分类,利用异常检测技术对数据源检测,如果发现有DDoS攻击行为,把结果反馈给用户,让用户决定是否进行追踪。DDoS攻击在时间上不是孤立产生的,在各个端点采集到的数据之间都有联系。新的入侵类型出现时,只要在控制中心在一定时间间隔内刷新规则库,具有很强的灵活性。  追踪攻击源对内X采用IP与MAC地址绑定的方式,对

7、于外X采取经过路由器的数据包进行概率性的标记并记录。追踪基于Hash函数的SHTE引擎,首先扫描IDS检测到的攻击包,在查询中心查找需要的数据包头并进行综合分析,再对取得的路径信息用重构路径中心回溯攻击源路径。追踪后由用户决定是否对攻击源采取措施,警告攻击源、断开攻击源的连接或关闭对它开放的资源。  追踪定位读取入侵攻击报警数据库中的报警信息,其中包括入侵攻击源的IP地址,利用IP地址作为查询关键字,在注册设备信息数据库进行搜索查询相关入侵攻击者信息。如果入侵源IP地址存在于入侵攻击报警数据库,则输出入侵攻击报警数据库中的报警信息,否则输出警

8、告信息。  注册设备信息数据库中入X注册主机信息包括设备主机IP地址、MAC地址、使用者相关资料等信息。X络入侵检测抓取X络业务数据后,对其进行预处理分析、决策、融

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。