一種抗DDoS的入侵檢測(cè)系統(tǒng)研究.pdf

1、隨著Internet的繁榮，網(wǎng)絡(luò)入侵事件頻繁發(fā)生，各種攻擊手段也層出不窮，其中拒絕服務(wù)攻擊DoS以其攻擊范圍廣、隱蔽性強(qiáng)、簡(jiǎn)單有效、破壞性大和難以防御等特點(diǎn)成為最常見(jiàn)的網(wǎng)絡(luò)攻擊手段之一，極大地影響網(wǎng)絡(luò)和主機(jī)系統(tǒng)的有效服務(wù)，尤其是分布式拒絕服務(wù)攻擊DDoS，其潛伏期長(zhǎng)、攻擊并發(fā)程度高，隱蔽性更強(qiáng)、破壞性更大，嚴(yán)重威脅著Internet的安全。 目前的入侵檢測(cè)系統(tǒng)IDS作為一種主動(dòng)檢測(cè)工具，雖然可以對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)

2、時(shí)檢測(cè)，但對(duì)高分布性的DDoS攻擊的檢測(cè)能力明顯較弱，針對(duì)此問(wèn)題，本文提出一種輕量級(jí)的DDoS攻擊檢測(cè)方法LDDM，進(jìn)而構(gòu)建了一種抗DDoS攻擊的入侵檢測(cè)系統(tǒng)。 該系統(tǒng)融合了輕量級(jí)的DDoS攻擊檢測(cè)方法LDDM和基于C-F模型的Bayes檢測(cè)方法CBDM。LDDM包括特征提取和DDoS攻擊檢測(cè)兩個(gè)模塊，特征提取主要提取TCP建立連接過(guò)程中的SYN包和ACK包等特征，為DDoS攻擊的檢測(cè)做準(zhǔn)備；DDoS攻擊檢測(cè)根據(jù)合法IP地址數(shù)據(jù)

3、庫(kù)判斷偽裝的源IP地址，用改進(jìn)的Bloom Filter進(jìn)行TCP協(xié)議的對(duì)稱性分析，然后利用改進(jìn)的無(wú)參數(shù)CUSUM算法判斷是否存在DDoS攻擊。CBDM用知識(shí)庫(kù)記錄正常行為規(guī)則，通過(guò)特征分類建立正常行為與特征屬性向量的Bayes網(wǎng)絡(luò)實(shí)例，然后訓(xùn)練基于C-F模型的Bayes分類器，并將其應(yīng)用于檢測(cè)過(guò)程中。 本文首先提出了一種輕量級(jí)的DDoS檢測(cè)方法LDDM，該方法使用改進(jìn)的無(wú)參數(shù)CUSUM算法，不僅可以利用少量的資源有效檢測(cè)DDo