基于节奏矩阵的AL-DDoS攻击检测技术研究

发布时间：2017-09-27 06:40

  本文关键词：基于节奏矩阵的AL-DDoS攻击检测技术研究

  更多相关文章： 节奏矩阵 网络安全 DDoS攻击 TCM-KNN 异常检测

【摘要】：近二十年来,分布式拒绝服务攻击(DDoS)一直是网络安全的一个关键威胁。第一次DDoS攻击出现于1995到1996年间,它通过SYN标识的TCP包洪泛来淹没网络设备和服务器的网络通信并严重影响正常网络服务。拒绝服务攻击的样式和种类在近几年发生了很大的变化。在SYN洪泛、ICMP和UDP洪流等许多传统攻击方式依然盛行的同时,越来越多的应用层的DDoS攻击流量被发现,如HTTP、HTTPS 和 DNS等服务的请求指令洪泛模式。本文中,我们统称这类DDoS攻击为应用层拒绝服务攻击,并采用了与文献相同的缩写AL-DDoS。当前现状是黑客发起攻击的门槛越来越低,各种应用层的DDoS攻击工具都可以从网络上下载使用,用于发动攻击的代理可以免费获取,僵尸网络像商品一样被出租,有不良企图的人能够对任意一个网站发起攻击。两份最近的DDoS攻击安全分析报告[2,3]揭示了一个现象：近年来网络中的大部分DDoS攻击的连续攻击时间在缩短(如,超过90%的DDoS攻击持续不到30分钟),然而攻击的重复频率在增加,同时向高容量和高速率的趋势发展。因此,要阻止一次分布式拒绝服务攻击,检测必须在攻击的表现阶段内完成,即攻击发起至其达到某个足以对正常的网络服务造成影响的阈值之前的时间段。同时攻击响应也必须快速实施才能真正达到有效预防DDoS攻击的效果。为了实现DDoS攻击的快速检测方法,我们借鉴了这两篇文章的思路,他们通过提取节奏模式来表达音乐短片段的各类特性。我们从网络层选择数据特征(即,IP包大小和流中连续包的到达时间间隔),而没有使用IP地址以及其他一些可能表露用户信息的特征。通过对两个特征进行线性变换,可以构建节奏矩阵以准确表达网络流量片段的统计特征。得益于数据特征都是来自网络层,节奏矩阵不会泄露用户敏感信息,而且,它不仅能通过IP包的大小信息来描绘一定时间内用户访问热点内容的相对分布,也能根据包的时间间隔来统计用户访问服务器的方式。此外,我们观察发现：基于同一服务的相同类型流量构建的节奏矩阵之间具有高相似度,而不同类型流量构建的节奏矩阵间则保持较低的相似度。因此,结合在线学习方法——直推式置信机k-近邻算法(Transductive Confidence Machines for K-Nearest Neighbors TCM-KNN),我们可以在边界路由器设备上动态检测出经过的恶意流量。实验结果表明,当流量中的大部分数据由DDoS攻击产生时,我们的方法能以很高的精度检测出来。本研究论文的主要贡献有：·我们基于网络层特征定义了一个组合特征(本文称之为节奏矩阵),能精准描述网络流量的统计特征,能有效地区分DDoS攻击流量和正常流量。·我们改进了一款在线学习方法,使其结合节奏矩阵以达到对应用层拒绝服务攻击的实时检测。改进后的方法使得我们的系统适应性更强,也显著降低了检测系统的误报率且没有造成检测时间的显著延长。·我们基于真实的网络数据集设计了一系列实验,通过检测三种模式的AL-DDoS攻击来评估我们所提出的方法的有效性。·两个著名的公开数据集被我们改造,并用于验证我们的检测方法在网络合法流量瞬间拥塞(本文称之为Flash Crowd)的情况下也能保持很低的误报率。
【关键词】：节奏矩阵 网络安全 DDoS攻击 TCM-KNN 异常检测
【学位授予单位】：山东大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要8-10
• ABSTRACT10-13
• 第1章 绪论13-27
• 1.1 本文的研究背景13-19
• 1.1.1 DDoS攻击简介13-15
• 1.1.2 DDoS攻击现状15-19
• 1.2 相关研究的发展现状19-24
• 1.2.1 DDoS攻击检测一般框架19-22
• 1.2.2 DDoS攻击检测现有技术22-24
• 1.3 研究的目标和意义24
• 1.4 研究内容和创新点24-26
• 1.4.1 研究内容24-25
• 1.4.2 创新点25-26
• 1.5 本文结构26-27
• 第2章 问题描述与解决思路27-35
• 2.1 问题描述27-31
• 2.1.1 Web服务通信及HTTP洪泛攻击27-29
• 2.1.2 HTTP洪泛攻击的模式分析29-31
• 2.2 研究思路31-35
• 2.2.1 论依据31-32
• 2.2.2 研究思路和检测方案32-35
• 第3章 节奏矩阵35-42
• 3.1 原始特征的变换35-38
• 3.2 节奏矩阵的构建38-40
• 3.3 用节奏矩阵描述不同流量40-42
• 第4章 在线学习算法——TCM-KNN42-45
• 4.1 直推置信机-K近邻算法(TCM-KNN)42-43
• 4.2 提高算法检测精度43-44
• 4.3 算法复杂度分析44-45
• 第5章 DDoS攻击检测的实验设置和结果45-52
• 5.1 DDoS攻击数据集45-46
• 5.2 突发拥塞数据集46-47
• 5.3 实验结果及分析47-52
• 5.3.1 DDoS攻击检测的性能48-50
• 5.3.2 突发拥塞时的误报率50-51
• 5.3.3 与其他相关工作的比较51-52
• 第6章 总结与展望52-54
• 6.1 相关讨论52-53
• 6.2 总结和下一步工作53-54
• 插图索引54-55
• 表格索引55-56
• 公式索引56-57
• 参考文献57-60
• 致谢60-61
• 学位论文评阅及答辩情况表61

【相似文献】

中国期刊全文数据库 前10条

1 何宗耀,崔雪冰;DDOS攻击的原理及对策[J];平顶山工学院学报;2002年04期

2 周伟,王丽娜,张焕国,傅建明;一种新的DDoS攻击方法及对策[J];计算机工程与应用;2003年01期

3 杨升;DDoS攻击及其应对措施[J];南平师专学报;2003年02期

4 樊爱京;DDoS攻击的原理及防范[J];平顶山师专学报;2003年05期

5 ;天目抗DoS/DDoS[J];信息安全与通信保密;2004年12期

6 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期

7 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

8 唐佳佳;;DDoS攻击和防御分类机制[J];电脑知识与技术;2006年29期

9 邱晓理;;抵御DDoS攻击的三大法宝[J];华南金融电脑;2006年10期

10 王永杰;鲜明;陈志杰;王国玉;;DDoS攻击分类与效能评估方法研究[J];计算机科学;2006年10期

中国重要会议论文全文数据库 前10条

1 蒋平;;DDoS攻击分类及趋势预测[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

2 张镔;黄遵国;;DDoS防弹墙验证调度层设计与实现[A];中国电子学会第十六届信息论学术年会论文集[C];2009年

3 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年

4 王永强;;分布式拒绝服务攻击(DDoS)分析及防范[A];第二十一次全国计算机安全学术交流会论文集[C];2006年

5 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年

6 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年

7 王欣;方滨兴;;DDoS攻击中的相变理论研究[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

8 孙红杰;方滨兴;张宏莉;云晓春;;基于链路特征的DDoS攻击检测方法[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年

10 张少俊;李建华;陈秀真;;动态博弈论在DDoS防御中的应用[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

中国重要报纸全文数据库 前10条

1 边歆;DDoS成为“商业武器”？[N];网络世界;2006年

2 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年

3 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年

4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年

5 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年

6 ;DDoS攻防那些事儿[N];网络世界;2012年

7 本报记者 李旭阳;DDoS防护需新手段[N];计算机世界;2012年

8 合泰云天（北京）信息科技公司创办人 Cisco Arbor Networks流量清洗技术工程师 郭庆;云清洗三打DDoS[N];网络世界;2013年

9 本报记者 姜姝;DDoS之殇 拷问防御能力[N];中国电脑教育报;2013年

10 刘佳源;英国1/5公司遭遇DDoS攻击[N];中国电子报;2013年

中国博士学位论文全文数据库 前10条

1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年

2 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年

3 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年

4 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年

5 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年

6 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年

7 王冬琦;分布式拒绝服务攻击检测和防御若干技术问题研究[D];东北大学;2011年

8 于明;DDoS攻击流及其源端网络自适应检测算法的研究[D];西安电子科技大学;2007年

9 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年

10 吕良福;DDoS攻击的检测及网络安全可视化研究[D];天津大学;2008年

中国硕士学位论文全文数据库 前10条

1 嵇海进;DDoS攻击的防御方法研究[D];江南大学;2008年

2 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年

3 纪锴;内蒙古联通DDoS安全解决方案及应用[D];北京邮电大学;2012年

4 李鹤飞;基于软件定义网络的DDoS攻击检测方法和缓解机制的研究[D];华东师范大学;2015年

5 游荣;内容中心网络的DDoS攻击检测及防范[D];上海交通大学;2015年

6 姜宏;大规模DDoS攻击检测关键技术研究[D];解放军信息工程大学;2015年

7 龚冉;基于SDN的负载均衡和DDOS攻击检测技术的研究[D];安徽大学;2016年

8 梅梦U，

本文编号：928199