網(wǎng)絡(luò)惡意數(shù)據(jù)流的檢測與控制技術(shù)研究.pdf

1、隨著 IP技術(shù)的飛速發(fā)展和信息化進(jìn)程的不斷加快，基于網(wǎng)絡(luò)的應(yīng)用服務(wù)變得越來越廣泛，從傳統(tǒng)的www服務(wù)到最新的實(shí)時(shí)多媒體服務(wù)等等，網(wǎng)絡(luò)服務(wù)和應(yīng)用對網(wǎng)絡(luò)的可靠性和安全性提出了更高的要求。與此同時(shí)， Internet以及網(wǎng)絡(luò)技術(shù)的發(fā)展也使得網(wǎng)絡(luò)入侵攻擊變得更為普遍，數(shù)量和破壞程度也隨之增加。特別是以DDoS攻擊和Worm為代表的大規(guī)模網(wǎng)絡(luò)惡意數(shù)據(jù)流對Internet的健壯性和可靠性造成了前所未有的沖擊。這些高帶寬惡意數(shù)據(jù)流在互聯(lián)網(wǎng)上泛濫，使得

2、網(wǎng)絡(luò)正常服務(wù)質(zhì)量（QoS）不能保證，網(wǎng)絡(luò)資源被惡意數(shù)據(jù)流肆意占用，骨干網(wǎng)絡(luò)的關(guān)鍵設(shè)備性能急劇下降，網(wǎng)絡(luò)資源的可用性遭到極大破壞。本文以實(shí)現(xiàn)對惡意數(shù)據(jù)流的有效防御控制為目標(biāo)，著重對網(wǎng)絡(luò)惡意數(shù)據(jù)流的檢測與控制等關(guān)鍵技術(shù)進(jìn)行深入的研究，主要包括以下四個(gè)方面：
　　對網(wǎng)絡(luò)惡意數(shù)據(jù)流進(jìn)行準(zhǔn)確的檢測發(fā)現(xiàn)是惡意數(shù)據(jù)流防御的必要手段。論文首先提出了一種基于矢量量化的網(wǎng)絡(luò)異常檢測方法用于惡意數(shù)據(jù)流的檢測。異常檢測的難點(diǎn)在于怎樣準(zhǔn)確的描述用戶行為模式

3、輪廓（Profile）。本章提出了將數(shù)據(jù)壓縮和矢量量化的思想用于網(wǎng)絡(luò)業(yè)務(wù)量用戶行為模式分析。通過相似性劃分用戶行為空間，矢量量化的碼書（Codebook）能夠精確的描述用戶行為模式輪廓，實(shí)現(xiàn)了面向異常度量的網(wǎng)絡(luò)業(yè)務(wù)量用戶行為空間索引。因?yàn)閷?shí)際環(huán)境中網(wǎng)絡(luò)數(shù)據(jù)量較大特點(diǎn)，要求異常檢測系統(tǒng)有高效的分析和檢測算法。網(wǎng)絡(luò)異常檢測的可用性最為重要，為了提高算法分析的效率和系統(tǒng)的實(shí)用性，針對碼書的結(jié)構(gòu)，設(shè)計(jì)實(shí)現(xiàn)了一種基于向量約減的快速最近鄰搜索算法來

4、實(shí)現(xiàn)高效的網(wǎng)絡(luò)異常檢測。同時(shí)對上述方法行了綜合的性能評價(jià)和比較分析，驗(yàn)證了方法的有效性。
　　已有安全事件證明，高帶寬網(wǎng)絡(luò)惡意數(shù)據(jù)流通過資源濫用對大規(guī)模網(wǎng)絡(luò)的健壯性和服務(wù)質(zhì)量（QoS）造成了巨大的沖擊破壞。本文首次從 Internet網(wǎng)絡(luò)資源控制和分配競爭的角度出發(fā)對惡意數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行了理論分析，建立了網(wǎng)絡(luò)資源控制模型，并在此模型下分析了網(wǎng)絡(luò)惡意數(shù)據(jù)流對Internet資源分配公平性、網(wǎng)絡(luò)健壯性和網(wǎng)絡(luò)控制的影響與關(guān)系。進(jìn)而本

5、文對網(wǎng)絡(luò)惡意數(shù)據(jù)流的擁塞控制的無反應(yīng)性以及高帶寬性等特點(diǎn)進(jìn)行了深入研究。通過實(shí)驗(yàn)分析闡述了高帶寬惡意數(shù)據(jù)流導(dǎo)致的網(wǎng)絡(luò)擁塞崩潰，以及高帶寬惡意數(shù)據(jù)流對網(wǎng)絡(luò)帶寬資源分配的影響。
　　路由器隊(duì)列管理機(jī)制是保證 Internet網(wǎng)絡(luò)健壯性的重要組成部分。在“盡力而為”模式下，Internet通過隊(duì)列管理疏導(dǎo)緩存突發(fā)的網(wǎng)絡(luò)業(yè)務(wù)量，保證最小限度的網(wǎng)絡(luò)公平性。但是在高帶寬惡意數(shù)據(jù)流爆發(fā)的情況下，現(xiàn)有隊(duì)列管理機(jī)制非常脆弱，導(dǎo)致合法用戶網(wǎng)絡(luò)服務(wù)被限

6、制和拒絕服務(wù)。論文研究了在惡意數(shù)據(jù)流爆發(fā)的情況下已有隊(duì)列管理機(jī)制的性能和存在的問題，提出了一種具有安全意識、對惡意數(shù)據(jù)流健壯的主動隊(duì)列管理算法-Clue算法。Clue算法能夠較準(zhǔn)確的區(qū)分惡意數(shù)據(jù)流和正常數(shù)據(jù)流，并且在維持較少狀態(tài)參數(shù)的基礎(chǔ)上對惡意數(shù)據(jù)流進(jìn)行一定的控制，從而減少了惡意數(shù)據(jù)流對網(wǎng)絡(luò)帶寬資源的濫用。論文通過實(shí)驗(yàn)綜合比較了目前主要的隊(duì)列管理算法，證明了Clue算法的優(yōu)越性。
　　最后本文設(shè)計(jì)實(shí)現(xiàn)了一個(gè)協(xié)作式的惡意數(shù)據(jù)流對抗