返回
ddos攻击从检测到流量识别总体防御方案探究

ddos攻击从检测到流量识别总体防御方案探究

ID:5235294

大小:39.50 KB

页数:14页

时间:2017-12-06

ddos攻击从检测到流量识别总体防御方案探究_第1页
ddos攻击从检测到流量识别总体防御方案探究_第2页
ddos攻击从检测到流量识别总体防御方案探究_第3页
ddos攻击从检测到流量识别总体防御方案探究_第4页
ddos攻击从检测到流量识别总体防御方案探究_第5页
资源描述:

《ddos攻击从检测到流量识别总体防御方案探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、DDoS攻击从检测到流量识别总体防御方案探究  摘要:分布式拒绝服务(DDoS)攻击是互联网安全的严重威胁,攻击发生时会有大规模流量淹没目标网络和主机。能够准确快速地检测到攻击,区分合法拥塞流量和攻击流量,对攻击流量加以清洗,对于DDoS攻击的防御来说十分重要。采用信息熵对流量参数进行实时统计来检测攻击,用累积和(CUSUM)算法控制熵值连续变化情况。检测到攻击后,依据目的IP数量前后增长情况找出受害者,对流向受害者处的流量进行重点观察。由于大规模的攻击流量与合法的拥塞流量非常相似,难以识别,在此

2、对流本身的相似性进行考察,使用流相关系数算法辨别攻击流量和合法拥塞流量,为流量清洗工作提供依据。关键词:DDOS攻击;信息熵;CUSUM;相关系数;流量识别中图分类号:TN964?34文献标识码:A文章编号:1004?373X(2013)22?0062?050引言14目前分布式拒绝服务(DDoS)攻击[1]是破坏互联网安全的最常用手段之一。攻击发生时,分布在各处的傀儡机发出大量数据包涌向受害目标,不仅引起网络链路堵塞,也会使目标服务器资源耗尽而停止服务,从而使网络和服务器陷入瘫痪,带来严重后果和损

3、失。防御DDoS攻击近年来一直是网络安全领域的研究热点。如何快速准确地检测出攻击,对攻击流量进行识别并加以清洗,是DDoS攻击防御中的重点内容。由于攻击流量与合法拥塞流量非常相似,对它们进行区分比较困难。本文提出一套防御DDoS攻击的方案,该方案抵抗DDoS攻击的流程如图1所示。从骨干网上对流量进行采集解析后,使用信息熵来跟踪流量特征参数的变化,采用滑动窗口对特征值序列进行动态存储。考虑到准确性,使用累积和(CumulativeSUM,CUSUM)控制流量特征的变化以减缓抖动性,CUSUM通过特征

4、值的连续变化情况判断攻击是否发生。DDoS攻击发生后,使用保存快照方式将攻击发生时的参数与快照中的参数进行比较找出受害者。将通往受害者的网络流量作为重点观测对象,通过流自身相似度辨别是否攻击流量,采用Pearson相关系数分析流量之间的相关性。14本文提出的方案面向DDoS攻击本身,从DDoS攻击的检测,到受害者的确定,再到攻击流量的识别清洗,形成一套比较完整的DDoS攻击防御方案。与传统的对抗DDoS攻击研究相比,本方案不仅仅只停留在DDoS攻击检测方面,对检测到的DDoS攻击如何响应,攻击流量

5、如何处理也进行了表述。方法比较简单,计算量小,能够实时准确地检测到攻击,并能较好地对攻击流量进行识别过滤,适合骨干网大规模流量下DDoS攻击的防御。1相关工作根据能否对攻击数据包进行检测和过滤,DDoS攻击根据可检测程度分为3个等级[2]:可过滤、有特征但不易过滤和无法识别。可过滤的DDoS攻击具有较为明显的特征,直接过滤具有这些特征的包,就可有效对抗攻击。对付这种攻击可以使用特征匹配的方法进行检测,特征匹配方法比较有代表性的是专家系统[3]、模式匹配[4]、状态转移分析[5]。有特征但不易过滤的

6、DDoS攻击,通常伪造数据包模仿合法用户的请求,虽具有一些可识别特征,但是如果对有这些特征的数据包进行过滤,同时也会影响到合法用户的正常使用。对付这种类型的攻击通常使用异常检测方法,目前在异常检测领域已有大量研究。Lakhina提出流特征分布熵,采用信息熵作为工具来量化流特征分布的离散程度,影响广泛[6]。Chen、Shin等依据正常情况下TCP连接中SYN请求包数目与FIN、RST等回应包数目相对应关系,提出针对SYNFlood攻击的检测方法[7?8]。Jin利用协方差分析检测SYNFlood攻

7、击,通过网络中各类型报文数量的变化情况感知异常[9]。14无法识别的DDoS攻击,攻击包与合法数据包没有明显特征可以区分。高速模拟拥塞攻击利用傀儡网络假装正常主机发起攻击,用高速合法数据包淹没目标使其拒绝服务。关于如何对付这种类型攻击的研究还比较少。Shui,Theerasak提出使用流相关系数对流量进行分析,区分模拟拥塞攻击流量和正常拥塞流量,但其算法比较复杂,计算开销量大[10?11]。本文在其所提方法的基础之上做了简化和改进,应用在攻击流量识别阶段。在前人已做大量研究工作的前提下,本文所提方

8、法立足于异常检测技术,主要面向DDoS攻击的后两种情况。2DDoS攻击检测对于DDoS攻击的检测,利用信息熵检测流量异常,选取特定的流量特征参数作为检测依据,采用滑动窗口对这些基于时间的特征值序列进行存储,通过CUSUM算法来控制流量特征的连续增大或减小情况。2.1信息熵熵的概念最初源于物理学,香农提出信息熵[12],用来表示信息量的多寡。熵值越高,表示所含的信息量越大,熵值越低,则意味所含信息量越小。设有属性集合[X=ni,i=1,2,…,N],表示第i种属性在总的属性集合中出现

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。