应用层DDOS攻击检测技术研究

发布时间：2017-09-23 04:23

  本文关键词：应用层DDOS攻击检测技术研究

  更多相关文章： DDOS 自相似特征参数H R/S法 自回归建模 最大似然估计

【摘要】：跨入21世纪以来,互联网发展迅速,已融进我们生活的各个方面,给我们带来巨大方便。人们在享受网络给予的福利的同时,也遇到一些苦恼。一些不法分子出于个人利益,制造大量病毒,窃取个人和企业账号、密码,或者直接攻击网站等,给个人和企业造成很大的经济损失。其中分布式拒绝服务攻击(DDOS)尤为突出,加上不少电脑使用者安全意识薄弱,对电脑安全防御疏忽,就给黑客控制主机提供了更多机会,继而DDOS攻击表现出规模大,造成的损失大的特点。因此,针对DDOS攻击的检测防御技术有着重要的研究意义和实际价值。本文通过对国内外研究现状的调研发现,相关研究人员对基于网络协议或系统漏洞的网络层和传输层DDOS攻击做了大量研究,提出的相关算法能很好地检测到发生在这两个网络分层的各种攻击,但对发生在应用层的攻击的研究就显得相对不足,现有的研究成果较少而且检测效率较低。目前网络攻击者抓住这个瓶颈,更倾向于在应用层发动DDOS攻击。应用层的网络攻击常常采用正规HTTP请求,在突发流期间才向网站发动攻击。而此时产生的攻击在流量特征和HTTP请求序列特征上都与合法用户访问时的特征很接近,这样使得从HTTP请求的内容、数目、速度等方面去进行攻击检测会产生诸多困难。此外,目前的一些改进检测算法(如基于X2的统计检测、SYN风暴检测)尚不能兼顾检测率和应用范畴,经常是一个指标提高了,而另一指标降低了,在DDOS攻击检测的实际应用中经常会出现捉襟见肘的现象。本文就此提出一种基于网络流量自相似特征参数的检测算法来改进DDOS攻击检测。网络流量在不同的时间尺度上具有自相似性,这种特性不受时间规模变化和时间尺度的影响,用Hurst指数H表征自相似程度。当攻击流量在很短时间内大量产生时,会引起流量序列自相关函数R的变化;自相似序列的Hurst指数H有且对应一种自相关函数形式,因此ΔR的变化会引起指数H的明显变化,即自相似指数差值ΔH会明显变化(变化范围超过0.1),而正常流量的ΔH变化范围相对受到攻击后的流量的ΔH变化范围小很多(变化范围在0.1之内),二者区分明显。基于此,则可以用实际测出的ΔH和设定的门限域值比较来判断当前网络是否受到DDOS攻击。本文提出的检测算法中,指数H的估计采用的是R/S法,由得出的H值再做自回归建模进而得出指数差值ΔH;门限域值的设定采用最大似然估计法(MLE)。通过相关实验验证,文中提出的检测算法能检测到多种类型的应用层DDOS攻击,应用范围得到进一步扩展,这说明该检测算法具有一定的可行性;其检测效率与按H范围检测的算法相比,提高了约10%,该对比结果说明该检测算法在检测效率上有所改进。总之,该检测算法比较好的兼顾了检测效率和应用范围,结果令人满意。
【关键词】：DDOS 自相似特征参数H R/S法 自回归建模 最大似然估计
【学位授予单位】：成都理工大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要4-6
• Abstract6-10
• 第1章 绪论10-15
• 1.1 课题研究背景及意义10-12
• 1.1.1 研究背景10-11
• 1.1.2 研究意义11-12
• 1.2 国内外研究状况12-14
• 1.3 本文工作和组织结构14-15
• 第2章 DDOS攻击概述15-34
• 2.1 DDOS攻击来源15-16
• 2.2 DDOS攻击原理16-20
• 2.3 DDOS攻击方法20-28
• 2.3.1 传统DOS攻击20-21
• 2.3.2 应用层DDOS攻击21-28
• 2.4 DDOS攻击工具28-31
• 2.4.1 传统DOS攻击工具28-29
• 2.4.2 典型DDOS攻击工具29-31
• 2.5 DDOS发展趋势31-32
• 2.6 本章小结32-34
• 第3章 DDOS检测技术分析34-41
• 3.1 主机异常现象检测34-35
• 3.2 基于X~2的统计检测35-36
• 3.3 基于信号互相关的LDOS攻击检测36-38
• 3.4 SYN风暴检测38-40
• 3.5 本章小结40-41
• 第4章 网络流量自相似特性分析41-51
• 4.1 自相似概述41-43
• 4.1.1 自相似定义41-42
• 4.1.2 自相似性质42-43
• 4.2 Hurst指数估计43-46
• 4.2.1 时域估计方法43-45
• 4.2.2 频域估计方法45
• 4.2.3 小波分析估计方法45-46
• 4.3 网络流量自相似模型46-50
• 4.4 本章小结50-51
• 第5章 基于网络流量自相似特征参数的检测51-63
• 5.1 攻击检测原理51
• 5.2 攻击检测方案51-56
• 5.2.1 Hurst指数算法选择及改进51-52
• 5.2.2 网络流量自相似模型选择及 ΔH求法52-54
• 5.2.3 门限域值求法54-55
• 5.2.4 攻击检测流程55-56
• 5.3 实验数据的选取56-57
• 5.4 实验结果及其分析57-62
• 5.5 本章小结62-63
• 结论63-64
• 致谢64-65
• 参考文献65-69
• 攻读学位期间取得学术成果69

【参考文献】

中国期刊全文数据库 前4条

1 任勋益;王汝传;王海艳;李金明;;基于自相似检测DDoS攻击的小波选择[J];南京航空航天大学学报;2007年05期

2 李军;;DDoS攻击全面解析[J];网络安全技术与应用;2007年09期

3 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

4 陈刚,杨波;基于SYN Cache/Cookie的防DoS攻击的改进方案[J];计算机工程;2005年21期

，

本文编号：903177