低速率拒绝服务攻击的协同检测方法研究

发布时间：2020-06-11 13:04

【摘要】：现代社会高度依赖互联网,人们在享受网络服务带来的便利时同样承受着网络攻击带来的风险。其中拒绝服务攻击(DoS)是危害网络的典型代表。低速率拒绝服务攻击(LDoS)作为一种特殊的DoS攻击,其攻击效果类似于传统的DoS攻击,但隐蔽性更佳。现有的LDoS攻击的检测方法普遍存在高检测成本、高误报率等缺陷,因此,对LDoS攻击的检测方法仍需进一步研究以期获得更高效的检测方法。本文根据实际网络定义了三种不同的网络环境,在三种网络环境中TCP流量的分布和波动具有显著差异。本文根据发生LDoS攻击的网络环境中大时间尺度上TCp-流量分布趋于离散、其他两种网络环境中TCP流量趋于集中这一现象,提出使用两步聚类分析算法检测LDoS攻击,将发生LDoS攻击的流量从网络流量中分离出来。通过分析三种网络环境中小时间尺度上TCP流量的波动形态,发现发生LDoS攻击的网络环境中小时间尺度上TCP流量波动剧烈,其他两种网络环境中TCP流量波动趋于平稳。提出了数据片的概念,并根据相关阈值判断数据片是否异常。提出异常数据片分析算法检测LDoS攻击,根据待测试的网络中异常数据片的占比检测当前网络流量中是否包含LDoS攻击。通过实验验证了这两种方法的可行性和有效性,但同时这两种方法也存在各自的使用场景和特点。两步聚类分析算法检测速度快但存在一定的误报率;异常数据片分析算法检测误报率低但检测速度较慢。基于这两种检测方法优势的互补性,本文最后提出采用协同检测方法检测LDoS攻击,将两种检测方法采用串行的检测方式,在保证检测误报率低的情况下,能够在较短的时间内以较小的检测代价得到检测结果。本文最后分别基于NS-2平台和公共数据集LBNL验证协同检测算法的可行性、有效性和准确性。实验结果表明,协同检测方法能够有效检测LDoS攻击,且检测误报率低且检测速度较快。
【图文】：

会根据拥塞窗口的设定使ＴＣＰ流量指数或线性增长。ＴＣＰ／ＩＰ拥塞控制机制在能逡逑保证网络资源能得到充分利用的同时，又能有效避免过多的网络流量的注入，造逡逑成拥塞。正常的无攻击的网络情况下，ＴＣＰ／ＩＰ拥塞控制机制的反应如图２．１所示。逡逑痴塞窗口逡逑ｃｗｎｄ逡逑ｓｓｔｈｒｅｓｈ的初始值邋１６邋■逦＼逡逑新的ｓｓｔｈｒｅｓｈ邋值邋１２邋＊逦／逦＼逡逑；７邋＼ｊ逡逑ｙ逦传辏轮次逡逑０逦２逦４逦６逦８逦１０逦１２逦１４逦１６逦１８逦２０逦２２逦２４逡逑图２．丨正常网络环境下拥塞窗口变化示意图逡逑图２．１的横坐标表示ＴＣＰ流量传输的轮次，纵坐标表示控制ＴＣＰ流量进入的拥逡逑塞窗口ｃｗｎｄ。正常网络环境下，，ＴＣＰ开始建立连接，拥塞窗口ｃｗｎｄ从１开始，执逡逑行慢启动算法，随着传输轮次的增加拥塞窗口邋ｃｗｎｄ以指数规律增长，当拥塞窗口逡逑ｃｗｎｄ到达设定的初始门限ｓｓｔｈｒｅｓｈ时，改为执行拥塞避免算法，拥塞窗口ｃｗｎｄ按逡逑７逡逑

逡逑照线性规律增长。假设当拥塞窗口邋ｃｗｎｄ增长到如图２．１中所示的２４时，网络超时或逡逑ＴＣＰ连接开始丢包，根据此现象，ＴＣＰ／ＩＰ协议认为网络中可能出现了拥塞，会将逡逑拥塞窗口ｃｗｎｄ重置为１，并将门限ｓｓｔｈｒｅｓｈ值变为出现超时时拥塞窗口ｃｗｎｄ值的一逡逑半，即新的ｓｓｔｈｒｅｓｈ为１２。与此同时，重新开始执行慢启动算法，拥塞窗口ｃｗｎｄ逡逑增长至新的门限值后，执行拥塞避免算法，直至新的拥塞出现。逡逑正常的网络环境中，网络拥塞情况会反复出现，但是出现网络拥塞情况之间逡逑的传输轮次的间隔较大，即前后两次出现拥塞情况之间的时间较长，拥塞窗口逡逑ｃｗｎｄ的值有足够长的时间用来恢复和增长，因此门限ｓｓｔｈｒｅｓｈ的平均值大，网络逡逑中的吞吐量大。逡逑当发生ＬＤｏＳ攻击时
【学位授予单位】：湖南大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】

相关期刊论文 前3条

1 文坤;杨家海;张宾;;低速率拒绝服务攻击研究与进展综述[J];软件学报;2014年03期

2 孙长华;刘斌;;分布式拒绝服务攻击研究新进展综述[J];电子学报;2009年07期

3 何炎祥;曹强;刘陶;韩奕;熊琦;;一种基于小波特征提取的低速率DoS检测方法[J];软件学报;2009年04期

本文编号：2707948