大规模DDoS攻击检测关键技术研究
本文关键词:大规模DDoS攻击检测关键技术研究,由笔耕文化传播整理发布。
【摘要】:不断增长的网络规模和链路带宽使得DDoS攻击朝着大规模化方向发展,并加剧了攻击检测和处理的难度。大规模DDoS攻击检测的关键是对攻击流量的汇聚过程进行有效的遏制,当前主要面临三个方面的问题:(1)现有基于流量特征变化的攻击预警方法易被攻陷,不足以应对多变的DDoS攻击威胁;(2)正常用户的突发访问(flash crowds)事件带来的攻击误判;(3)基于分类的DDoS攻击检测方法具有较好的检测适应性,但冗余特征的存在影响了检测的实时性。针对上述问题,本文以国家科技支撑计划“网域空间某关键技术研究”项目中的大规模DDoS攻击检测技术子课题为依托,通过深入分析和研究检测需求,分别提出了基于超点的DDoS攻击预警方法、基于流指纹的DDoS攻击检测方法和基于GAIG特征选择算法的轻量化DDoS攻击检测方法,有效预警了攻击事件、准确判别了DDoS攻击与flash crowds事件,实现了DDoS攻击的快速分类检测,具体研究工作如下:1.针对DDoS攻击的预警问题,通过分析现有DDoS攻击预警方法存在的被攻陷的风险和DDoS攻击威胁的不确定性,提出了一种以源地址与目的地址多对一映射作为预警策略、以目标超点聚合度(Polymerization Degree of Destination Superpoints,PDDS)为安全威胁评估标准的DDoS攻击预警方法,将网络测量中的超点和超点检测应用于DDoS攻击的预警。在此基础上,设计了一个基于Cache结构的轻量化预警算法DDoS-Early-Warning,并验证了该预警算法的有效性和可靠性。2.针对DDoS攻击与flash crowds事件的区分问题,提出了一种基于流指纹的DDoS攻击检测方法,首先通过分析DDoS攻击的超点性和对僵尸网络的平台依赖性,提出了一种基于泛洪行为的区分策略。在此基础上,结合超点和流间相似度分别构建泛洪行为和泛洪攻击两种流指纹,通过目标超点聚合度定位泛洪行为,采用一种滑动判别算法度量流间相似度,从而判别DDoS攻击与flash crowds事件。实验结果表明,该检测方法可以有效区分DDoS攻击和flash crowds事件,以全变分距离(Total Variation Distance,TVD)作为测度时效果最佳,检测率达到98%,相比于现有方法,提升了约6%。3.为了提高基于分类的DDoS攻击检测方法的实时性,结合轻量级入侵检测技术,首先提出了以遗传算法为搜索策略、信息增益为子集评估标准的filter型特征选择算法GAIG,提取具有高区分度的相对最小特征子集,实验结果表明,GAIG算法使分类器在尽可能不降低分类精度的同时,提高分类的实时性,Random Tree具有相对最佳的分类检测性能。在此基础上,构建了一种轻量化的DDoS攻击检测系统,在未知攻击检测场景中,该轻量化攻击检测系统的检测率达到了85%,相比于一般的分类检测模型,提升了5%以上。
【关键词】:DDoS攻击 预警 超点 突发访问事件 流间相似度 轻量级入侵检测
【学位授予单位】:解放军信息工程大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要4-5
- ABSTRACT5-12
- 第一章 绪论12-24
- 1.1 研究背景与意义12-18
- 1.1.1 互联网发展的新特点与互联网安全现状12-15
- 1.1.2 DDOS攻击概述15-17
- 1.1.3 DDOS攻击严重危害网络的正常运行17-18
- 1.1.4 DDOS攻击检测的研究意义18
- 1.2 DDOS攻击检测研究现状18-20
- 1.2.1 DDOS攻击检测方法概述18-19
- 1.2.2 DDOS攻击检测的性能评价标准19-20
- 1.2.3 DDOS攻击检测措施的部署方式20
- 1.3 大规模DDOS攻击检测20-22
- 1.3.1 大规模DDOS攻击检测问题分析20-21
- 1.3.2 研究内容21-22
- 1.4 本文的主要贡献22-23
- 1.5 本文的章节安排23-24
- 第二章 基于超点的DDOS攻击预警方法24-32
- 2.1 引言24-25
- 2.2 基于多对一映射的DDOS攻击预警策略25-26
- 2.2.1 DDOS攻击威胁的不确定性25
- 2.2.2 DDOS攻击的多对一映射特性25-26
- 2.2.3 基于源地址与目的地址多对一映射的DDOS攻击预警策略26
- 2.3 基于超点的DDOS攻击预警方法26-28
- 2.3.1 DDOS攻击的超点描述26
- 2.3.2 相关定义26-28
- 2.3.3 DDOS攻击威胁评估标准28
- 2.4 预警算法设计28-29
- 2.4.1 DDOS-EARLY-WARNING算法的CACHE结构28
- 2.4.2 DDOS-EARLY-WARNING算法流程28-29
- 2.5 仿真实验与分析29-31
- 2.5.1 实验数据集说明29-30
- 2.5.2 实验结果与分析30-31
- 2.6 本章小结31-32
- 第三章 基于流指纹的DDOS攻击检测方法32-42
- 3.1 引言32-33
- 3.2 DDOS攻击特性分析33
- 3.2.1 超点性33
- 3.2.2 平台依赖性33
- 3.3 基于泛洪行为的区分策略33-34
- 3.3.1 异常流量定位33
- 3.3.2 泛洪攻击判别33-34
- 3.4 基于流指纹的DDOS攻击检测方法34-39
- 3.4.1 泛洪行为指纹34-37
- 3.4.2 泛洪攻击指纹37-39
- 3.5 仿真实验与分析39-40
- 3.5.1 实验数据集说明39
- 3.5.2 实验结果与分析39-40
- 3.6 本章小结40-42
- 第四章 基于GAIG特征选择算法的轻量化DDOS攻击检测方法42-52
- 4.1 引言42-43
- 4.2 基本理论43-44
- 4.2.1 特征选择问题的一般化过程43-44
- 4.2.2 GA-BASED特征选择结构44
- 4.3 GAIG特征选择算法44-47
- 4.3.1 GA-BASED搜索策略44-45
- 4.3.2 特征子集评估标准与评价函数45-46
- 4.3.3 算法描述46-47
- 4.4 基于GAIG特征选择算法的轻量化DDOS攻击检测系统47
- 4.5 仿真实验与分析47-50
- 4.5.1 实验目的48
- 4.5.2 实验数据集说明48
- 4.5.3 实验验证与分析48-50
- 4.6 本章小结50-52
- 第五章 结束语52-54
- 5.1 全文总结52-53
- 5.2 下一步工作计划53-54
- 致谢54-56
- 参考文献56-62
- 作者简历 攻读硕士学位期间完成的主要工作62
【参考文献】
中国期刊全文数据库 前10条
1 吴志军;李光;岳猛;;基于信号互相关的低速率拒绝服务攻击检测方法[J];电子学报;2014年09期
2 周颖杰;焦程波;陈慧楠;马力;胡光岷;;基于流量行为特征的DoS&DDoS攻击检测与异常流识别[J];计算机应用;2013年10期
3 戴大蒙;慕德俊;;非完备信息系统的启发式特征选择遗传算法[J];电子学报;2013年03期
4 张永铮;肖军;云晓春;王风宇;;DDoS攻击检测和控制方法[J];软件学报;2012年08期
5 刘运;蔡志平;钟平;殷建平;程杰仁;;基于条件随机场的DDoS攻击检测方法[J];软件学报;2011年08期
6 朱应武;杨家海;张金祥;;基于流量信息结构的异常检测[J];软件学报;2010年10期
7 孙长华;刘斌;;分布式拒绝服务攻击研究新进展综述[J];电子学报;2009年07期
8 ;Adaptive sampling algorithm for detection of superpoints[J];Science in China(Series F:Information Sciences);2008年11期
9 杨新宇;侯光霞;杨树森;;带可信度评估的连续小波分布式拒绝服务攻击检测算法[J];西安交通大学学报;2008年08期
10 徐图;罗瑜;何大可;;多类支持向量机的DDoS攻击检测的方法[J];电子科技大学学报;2008年02期
本文关键词:大规模DDoS攻击检测关键技术研究,由笔耕文化传播整理发布。
,本文编号:326117
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/326117.html