一種復(fù)合式DDoS攻擊檢測(cè)和防御模型的研究.pdf

1、近年來(lái)，分布式拒絕服務(wù)攻擊(DDoS，Distributed Denial of Service)嚴(yán)重影響著工nternet安全，給Internet的應(yīng)用和發(fā)展帶來(lái)了極大危害。目前，網(wǎng)絡(luò)流量的自相似性、時(shí)間序列分析和工P包過(guò)濾等已經(jīng)成為DDoS攻擊檢測(cè)和防御中重要的策略和技術(shù)。但是，當(dāng)這些策略和技術(shù)單獨(dú)使用時(shí)，DDoS攻擊檢測(cè)和防御效果并不十分理想。原因在于，網(wǎng)絡(luò)流量的自相似性和時(shí)間序列分析僅能檢測(cè)DDoS攻擊，檢測(cè)結(jié)果有延遲、誤報(bào)和漏

2、報(bào)現(xiàn)象，即使檢測(cè)到DDoS攻擊也不能防御。雖然IP包過(guò)濾技術(shù)能較好防御DDoS攻擊，但該技術(shù)中使用的數(shù)據(jù)量非常大，查詢和更新數(shù)據(jù)需要占用大量系統(tǒng)資源(如CPU和內(nèi)存等)，增加了系統(tǒng)開(kāi)銷，且僅使用IP包過(guò)濾技術(shù)無(wú)法檢測(cè)DDoS攻擊。 首先，論文以網(wǎng)絡(luò)流量、TCP/IP協(xié)議為依據(jù)對(duì)DDoS攻擊進(jìn)行了分類，并對(duì)兩種分類方法中的DDoS攻擊類型做了簡(jiǎn)單的分析。此外，還分析了以網(wǎng)絡(luò)流量為分類依據(jù)的各DDoS攻擊類型的檢測(cè)和防御策略，并對(duì)這

3、些策略進(jìn)行了比較。 然后，論文結(jié)合時(shí)間序列分析和IP包過(guò)濾技術(shù)的優(yōu)點(diǎn)，并對(duì)這兩種技術(shù)進(jìn)行了改進(jìn)，提出一種復(fù)合式的DDoS攻擊檢測(cè)和防御模型。模型中的檢測(cè)模塊以時(shí)間序列分析為基礎(chǔ)，定義了一個(gè)時(shí)間序列PDD(Port to Port Data Density)，用非參數(shù)檢驗(yàn)法檢驗(yàn)時(shí)間序列PDD的平穩(wěn)性特征。根據(jù)檢驗(yàn)結(jié)果，論文使用在線分析能力較強(qiáng)、計(jì)算量較小的非平穩(wěn)時(shí)間序列AAR模型處理時(shí)間序列PDD。非參數(shù)CuSUM算法使用AAR模

4、型處理后的時(shí)間序列檢測(cè)DDoS攻擊，針對(duì)檢測(cè)結(jié)果中可能出現(xiàn)的誤報(bào)和漏報(bào)，論文提出了一種檢測(cè)修正算法，修正非參數(shù)CUSUM算法的檢測(cè)結(jié)果。模型中的防御模塊以改進(jìn)后的動(dòng)態(tài)IP包過(guò)濾技術(shù)為基礎(chǔ)防御DDoS攻擊，論文所使用的動(dòng)態(tài)IP包過(guò)濾技術(shù)，在一定程度上解決了數(shù)據(jù)量大、查詢和更新數(shù)據(jù)占用系統(tǒng)資源較多等缺點(diǎn)。為了輔助動(dòng)態(tài)IP包過(guò)濾技術(shù)防御DDoS攻擊，防御模塊中加入了DDoS攻擊(或網(wǎng)絡(luò)擁塞)預(yù)檢技術(shù)。此外，網(wǎng)絡(luò)噪聲對(duì)檢測(cè)結(jié)果會(huì)造成一定的影響，