低速DDoS攻擊的異常檢測(cè).pdf

1、現(xiàn)代社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性愈來(lái)愈強(qiáng)。從而，網(wǎng)絡(luò)安全是何等重要的問題，不言而喻。在網(wǎng)絡(luò)安全方面，檢測(cè)分布式拒絕服務(wù)攻擊(DDoS)一直是重要研究?jī)?nèi)容。在入侵檢測(cè)方面有兩類系統(tǒng)：基于主機(jī)的入侵檢測(cè)系統(tǒng)(IDS)和基于網(wǎng)絡(luò)的IDS?；诰W(wǎng)絡(luò)的IDS以網(wǎng)絡(luò)流量為檢測(cè)對(duì)象，它又可分為兩類：誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)基于以往攻擊事件的特征庫(kù)，故誤用檢測(cè)的IDS能準(zhǔn)確檢測(cè)舊式攻擊。誤用檢測(cè)對(duì)新變種的DDoS攻擊顯得軟弱無(wú)力，因?yàn)樾伦兎N的DDoS攻

2、擊的新特征尚不在特征庫(kù)內(nèi)，故可以百分之百地逃避誤用檢測(cè)。本文工作屬異常檢測(cè)。
　　 異常檢測(cè)適合新變種的DDoS攻擊。但是．若把異常流量判別為正常則出現(xiàn)漏報(bào)。對(duì)于一次報(bào)警，把異常流量識(shí)別為異常的概率有多大？漏報(bào)概率有多大？這些是異常檢測(cè)的可靠報(bào)警問題，是異常檢測(cè)的棘手問題。所謂可靠報(bào)警，是指所采用的異常檢測(cè)器在原理上就具備那么個(gè)特性。用戶可預(yù)先設(shè)定報(bào)警概率和漏報(bào)概率?？煽繄?bào)警是此文研究的IDS的主要特點(diǎn)。
　　 傳統(tǒng)DD

3、oS攻擊的基本特點(diǎn)是數(shù)據(jù)速率特別高。故IDS常按高速率檢測(cè)，包括我們以前的工作。近年來(lái)，出現(xiàn)了一種低速率DDoS攻擊，其目的是逃避常規(guī)IDS。因此，如何可靠地檢測(cè)低速率DDoS攻擊成了頗有意義的研究問題。本文提出一種可靠檢測(cè)低速率DDoS攻擊的IDS。它有三部分組成:1）網(wǎng)絡(luò)流量的實(shí)時(shí)采集模塊，2）檢測(cè)決策模塊，3）報(bào)警模塊。整個(gè)系統(tǒng)，其輸入是網(wǎng)絡(luò)流量，輸出是就異常流量發(fā)出的報(bào)警信號(hào)。該系統(tǒng)的主要特點(diǎn)是能按用戶指定的檢測(cè)概率作出決策和報(bào)