骨干通信網(wǎng)的DDoS攻擊檢測方法研究.pdf

1、隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)異常行為事件爆發(fā)的頻率越來越高，給人們?nèi)粘Ｉ顜淼呢?fù)面影響也日益顯著。近年來，越來越多的國內(nèi)外研究學(xué)者開始關(guān)注網(wǎng)絡(luò)異常行為，他們對網(wǎng)絡(luò)異常行為的分析展開了很多研究。在此背景下，本文針對網(wǎng)絡(luò)異常行為中的分布式拒絕服務(wù)（DDoS）攻擊，以SYN flood攻擊行為作為重點(diǎn)研究對象。傳統(tǒng)SYN flood攻擊行為檢測算法大都以深度包分析方法為主，通過報(bào)文統(tǒng)計(jì)的手段對網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文進(jìn)行細(xì)致解析。然而骨干通信網(wǎng)絡(luò)存在

2、著規(guī)模持續(xù)增大、數(shù)據(jù)量超大的基本特性，會導(dǎo)致傳統(tǒng)檢測方法的運(yùn)行時(shí)間成倍增加，方法成本開銷加劇并且方法的實(shí)時(shí)性效率降低。此外，由于突發(fā)訪問行為與分布式拒絕服務(wù)攻擊在表現(xiàn)形式上有諸多相似之處，現(xiàn)有異常行為識別方法的識別效果都會有不小的誤檢率和誤識別率。為了解決上述問題，本文在流連接圖基礎(chǔ)上提出了基于Counting Bloom Filter的SYN flood攻擊檢測算法，并且提出了一種基于圖挖掘的SYN flood攻擊檢測算法。本文主要工

3、作如下：
　?。?）提出了一種基于Counting Bloom Filter的SYN flood攻擊檢測算法：根據(jù)TCP三次握手過程中SYN、SYN|ACK、ACK報(bào)文數(shù)量大致相等的特性，監(jiān)測時(shí)間片內(nèi)SYN|ACK與ACK報(bào)文數(shù)量是否平衡，用差值與時(shí)間窗口內(nèi)的ACK報(bào)文數(shù)值相比。再通過自適應(yīng)調(diào)整時(shí)間窗口的大小，實(shí)時(shí)檢測網(wǎng)絡(luò)狀態(tài)，并且用基于信息熵的方法去確定疑似的被攻擊的目標(biāo)。最后通過與其他兩種報(bào)文統(tǒng)計(jì)的檢測算法相比較，驗(yàn)證了本文算

4、法在保證較高檢測率的同時(shí)，又能有效地與突發(fā)訪問進(jìn)行區(qū)分。
　?。?）提出了一種基于圖挖掘的SYN flood檢測算法：根據(jù)SYN flood攻擊對虛假源IP地址的重復(fù)利用率將其分為兩類。利用圖挖掘技術(shù)，將兩類不同的SYN flood攻擊構(gòu)圖進(jìn)行模式匹配，從而檢測到網(wǎng)絡(luò)是否發(fā)生異常。當(dāng)發(fā)生突發(fā)訪問時(shí)，其網(wǎng)絡(luò)行為表現(xiàn)形式與第二類SYN flood攻擊有諸多相似之處，再利用第三級判斷區(qū)分出第二類SYN flood攻擊與突發(fā)訪問，最后實(shí)驗(yàn)