DDoS的全局檢測方法.pdf

1、DDoS攻擊有近10年的歷史，它以占用網(wǎng)絡(luò)帶寬，消耗主機(jī)資源從而使合法用戶不能得到正常服務(wù)而聞名。許多知名的網(wǎng)站曾經(jīng)遭受過它的攻擊，據(jù)統(tǒng)計(jì)全球13個根服務(wù)器都曾經(jīng)多次遭受它的攻擊。但是目前對于DDoS的檢測仍然沒有非常好的辦法。在受害者網(wǎng)絡(luò)中有利于檢測卻不利于攻擊的防御和數(shù)據(jù)包過濾；攻擊者網(wǎng)絡(luò)有利于過濾和防御，但是檢測比較困難。目前認(rèn)為分布式防御機(jī)制是一種較好的DDoS防御方法，但現(xiàn)有的方法主要是針對局部網(wǎng)絡(luò)或者是單條鏈路，檢測精度不高

2、，對后期的防御作用較小。本文針對目前分布式防御機(jī)制存在的問題，研究DDoS的全局檢測方法和技術(shù)，取得了如下研究成果和進(jìn)展。 與傳統(tǒng)的檢測方式不同，我們將流量矩陣作為檢測對象，研究利用攻擊流之間在時間域的相關(guān)特性進(jìn)行檢測。由于攻擊流和正常背景流本身都存在較強(qiáng)的相關(guān)特性，因此不能直接分析流量矩陣的相關(guān)性來檢測攻擊。我們首先利用PCA變換將高維的流量矩陣分解為正?？臻g和異?？臻g，去除背景流量的相關(guān)性，然后分析異?？臻g的相關(guān)性從而檢測攻

3、擊。仿真實(shí)驗(yàn)證明該方法能有效檢測DDoS攻擊。 時間域檢測要求有比較大的攻擊流，同時研究表明DDoS異常流量信號的頻率域特征與正常流量有較大區(qū)別，因此我們將流量信號檢測域從時域轉(zhuǎn)換到頻域。異常流量與背景流量在不同頻帶的能量是不相同，異常流量的能量在總能量中所占比例越高，異常檢測就越容易?；陬l域的檢測將異常空間變換到瞬頻域，通過計(jì)算瞬時頻率的相關(guān)特性檢測攻擊。在獲得了異?？臻g數(shù)據(jù)后，首先用希爾波特變換計(jì)算異?？臻g的解析信號，通過

4、滑動時窗由解析信號計(jì)算瞬時頻率。仿真表明該方法對于噪聲信號檢測效果明顯，同時對于規(guī)則信號也具有比較好的檢測效果。 好的檢測方法還需要好的防御機(jī)制相配合。針對本文的全局檢測方法，提出了一種新的分布式全局防御體系，該體系構(gòu)建在本地和全局雙層檢測基礎(chǔ)之上。本地節(jié)點(diǎn)采集鏈路流數(shù)據(jù)，在進(jìn)行本地檢測的同時向中心節(jié)點(diǎn)傳輸鏈路數(shù)據(jù)和路由信息，用于中心節(jié)點(diǎn)實(shí)施全局檢測。一旦本地節(jié)點(diǎn)檢測到可疑流量，即通知中心節(jié)點(diǎn)發(fā)起全局檢測。為使攻擊檢測能實(shí)時可靠