大規(guī)模網(wǎng)絡(luò)資源消耗型攻擊的檢測和防范方法研究.pdf

1、隨著互聯(lián)網(wǎng)應(yīng)用的深入，人們對網(wǎng)絡(luò)的依賴越來越大，網(wǎng)絡(luò)已經(jīng)徹底改變了人們的生活方式。Internet逐漸成為人們?nèi)粘Ｉ钪胁豢扇鄙俚墓ぞ?。但是隨著互聯(lián)網(wǎng)應(yīng)用的深入，一旦網(wǎng)絡(luò)癱瘓，將會造成巨大的經(jīng)濟(jì)損失。而互聯(lián)網(wǎng)又是個一個巨大的開放式系統(tǒng)，它本身在協(xié)議的設(shè)計和實現(xiàn)上存在著許多的缺陷，再加上上層應(yīng)用軟件自身漏洞，互聯(lián)網(wǎng)的安全問題越來越成為焦點(diǎn)問題。與其它網(wǎng)絡(luò)安全威脅如網(wǎng)絡(luò)入侵、病毒等相比較，網(wǎng)絡(luò)資源消耗型攻擊（AbuseAttack）影響范圍

2、更廣，攻擊速度更快，破壞力更大。根據(jù)網(wǎng)絡(luò)資源消耗型攻擊（AbuseAttack）的目標(biāo)類型，可以把網(wǎng)絡(luò)資源消耗型攻擊分成兩大類：1）無目的性的資源消耗型攻擊；此類攻擊對中間路由器的影響大，在本為被稱之為I類網(wǎng)絡(luò)資源消耗型攻擊。2）有目的性的資源消耗型攻擊，此類攻擊主要針對終端服務(wù)器，在本文被稱之為II類網(wǎng)絡(luò)資源消耗型攻擊；由于蠕蟲是現(xiàn)在I類攻擊的典型代表，所以本文針對這蠕蟲攻擊和II類網(wǎng)絡(luò)資源消耗型攻擊檢測和防范技術(shù)做了深入的研究。

3、r>　　為了有效地遏制蠕蟲的傳播，防范蠕蟲的攻擊，在設(shè)計有效的蠕蟲遏制系統(tǒng)或者算法之前，必須非常清楚的了解蠕蟲的攻擊機(jī)理、行為模型和它的傳播方式。只有在充分的了解蠕蟲的各項原理之后，才能設(shè)計一個有效的遏制和防范系統(tǒng)。并且當(dāng)設(shè)計一個蠕蟲的遏制和防范系統(tǒng)或者算法的時候，也只有在了解蠕蟲內(nèi)部工作機(jī)理，才能有效地評估此防范系統(tǒng)或者算法的有效性。所以本文首先分析了蠕蟲的工作機(jī)理，針對不同的掃描方法，描述了它們各自的傳播模型。并且對蠕蟲數(shù)據(jù)流的擁塞

4、控制的非響應(yīng)性以及高帶寬性等特點(diǎn)進(jìn)行了深入研究。分析了在蠕蟲爆發(fā)的情況下，網(wǎng)絡(luò)資源分配不公平的問題。
　　其次，本文提出了一種基于小波預(yù)處理的蠕蟲早期預(yù)警算法。當(dāng)用戶使用計算機(jī)系統(tǒng)和網(wǎng)絡(luò)一段時間以后，各種約束會讓用戶產(chǎn)生一定的用戶習(xí)慣。但是，被感染蠕蟲的主機(jī)的用戶訪問習(xí)慣會被大大的坡壞。所以蠕蟲早期預(yù)警算法首先利用基于用戶訪問習(xí)慣來檢測網(wǎng)絡(luò)上是否存在異常的主機(jī)。然后蠕蟲早期預(yù)警算法利用最小二乘濾波來驗證是否符合的蠕蟲傳播模型以此來

5、判斷是否真的存在蠕蟲攻擊。同時由于一些不確定性的因素影響，主機(jī)異常數(shù)目變換的過程會存在著大量的高頻噪聲，如果直接利用最小二乘濾波方法去分析主機(jī)異常數(shù)目的變換過程，則會影響早期預(yù)警的時間。所以，本文利用小波變化對數(shù)據(jù)進(jìn)行預(yù)處理，濾除掉高頻噪聲，盡可能的保證數(shù)據(jù)的核心信息。
　　再次，根據(jù)蠕蟲的攻擊機(jī)理，提出了一個基于連接度的蠕蟲防范方法。該方法首先監(jiān)測網(wǎng)絡(luò)上的主機(jī)連接度，檢測網(wǎng)絡(luò)是否有異常的主機(jī)存在。如果有，則認(rèn)為網(wǎng)絡(luò)上有蠕蟲存在。

6、遏制算法就會記錄蠕蟲的攻擊狀態(tài)，根據(jù)攻擊狀態(tài)的不同，對于疑似蠕蟲的攻擊數(shù)據(jù)包以概率大小丟棄。由于遏制算法是根據(jù)檢測結(jié)果自適應(yīng)的調(diào)節(jié)丟包的概率，所以此方法在非常高的誤報率情況下，仍然保證了對正常主機(jī)的低的干擾率。最后，實驗結(jié)果證明了該方法能夠有效的遏制蠕蟲的傳播。
　　最后，針對II類網(wǎng)絡(luò)資源消耗型攻擊，本文提出了基于差分濾包的的防范方法。通過將網(wǎng)絡(luò)用戶分成兩大類：1）惡意攻擊用戶；2）正常服務(wù)索取用戶。并且對惡意攻擊用戶報文提出了