【摘要】：現(xiàn)代社會(huì)高度依賴互聯(lián)網(wǎng),人們?cè)谙硎芫W(wǎng)絡(luò)服務(wù)帶來的便利時(shí)同樣承受著網(wǎng)絡(luò)攻擊帶來的風(fēng)險(xiǎn)。其中拒絕服務(wù)攻擊(DoS)是危害網(wǎng)絡(luò)的典型代表。低速率拒絕服務(wù)攻擊(LDoS)作為一種特殊的DoS攻擊,其攻擊效果類似于傳統(tǒng)的DoS攻擊,但隱蔽性更佳�，F(xiàn)有的LDoS攻擊的檢測(cè)方法普遍存在高檢測(cè)成本、高誤報(bào)率等缺陷,因此,對(duì)LDoS攻擊的檢測(cè)方法仍需進(jìn)一步研究以期獲得更高效的檢測(cè)方法。本文根據(jù)實(shí)際網(wǎng)絡(luò)定義了三種不同的網(wǎng)絡(luò)環(huán)境,在三種網(wǎng)絡(luò)環(huán)境中TCP流量的分布和波動(dòng)具有顯著差異。本文根據(jù)發(fā)生LDoS攻擊的網(wǎng)絡(luò)環(huán)境中大時(shí)間尺度上TCp-流量分布趨于離散、其他兩種網(wǎng)絡(luò)環(huán)境中TCP流量趨于集中這一現(xiàn)象,提出使用兩步聚類分析算法檢測(cè)LDoS攻擊,將發(fā)生LDoS攻擊的流量從網(wǎng)絡(luò)流量中分離出來。通過分析三種網(wǎng)絡(luò)環(huán)境中小時(shí)間尺度上TCP流量的波動(dòng)形態(tài),發(fā)現(xiàn)發(fā)生LDoS攻擊的網(wǎng)絡(luò)環(huán)境中小時(shí)間尺度上TCP流量波動(dòng)劇烈,其他兩種網(wǎng)絡(luò)環(huán)境中TCP流量波動(dòng)趨于平穩(wěn)。提出了數(shù)據(jù)片的概念,并根據(jù)相關(guān)閾值判斷數(shù)據(jù)片是否異常。提出異常數(shù)據(jù)片分析算法檢測(cè)LDoS攻擊,根據(jù)待測(cè)試的網(wǎng)絡(luò)中異常數(shù)據(jù)片的占比檢測(cè)當(dāng)前網(wǎng)絡(luò)流量中是否包含LDoS攻擊。通過實(shí)驗(yàn)驗(yàn)證了這兩種方法的可行性和有效性,但同時(shí)這兩種方法也存在各自的使用場(chǎng)景和特點(diǎn)。兩步聚類分析算法檢測(cè)速度快但存在一定的誤報(bào)率;異常數(shù)據(jù)片分析算法檢測(cè)誤報(bào)率低但檢測(cè)速度較慢�；谶@兩種檢測(cè)方法優(yōu)勢(shì)的互補(bǔ)性,本文最后提出采用協(xié)同檢測(cè)方法檢測(cè)LDoS攻擊,將兩種檢測(cè)方法采用串行的檢測(cè)方式,在保證檢測(cè)誤報(bào)率低的情況下,能夠在較短的時(shí)間內(nèi)以較小的檢測(cè)代價(jià)得到檢測(cè)結(jié)果。本文最后分別基于NS-2平臺(tái)和公共數(shù)據(jù)集LBNL驗(yàn)證協(xié)同檢測(cè)算法的可行性、有效性和準(zhǔn)確性。實(shí)驗(yàn)結(jié)果表明,協(xié)同檢測(cè)方法能夠有效檢測(cè)LDoS攻擊,且檢測(cè)誤報(bào)率低且檢測(cè)速度較快。
【圖文】：

會(huì)根據(jù)擁塞窗口的設(shè)定使ＴＣＰ流量指數(shù)或線性增長。ＴＣＰ／ＩＰ擁塞控制機(jī)制在能逡逑保證網(wǎng)絡(luò)資源能得到充分利用的同時(shí)，又能有效避免過多的網(wǎng)絡(luò)流量的注入，造逡逑成擁塞。正常的無攻擊的網(wǎng)絡(luò)情況下，ＴＣＰ／ＩＰ擁塞控制機(jī)制的反應(yīng)如圖２．１所示。逡逑癡塞窗口逡逑ｃｗｎｄ逡逑ｓｓｔｈｒｅｓｈ的初始值邋１６邋■邐＼逡逑新的ｓｓｔｈｒｅｓｈ邋值邋１２邋＊邐／邐＼逡逑；７邋＼ｊ逡逑ｙ邐傳輳輪次逡逑０邐２邐４邐６邐８邐１０邐１２邐１４邐１６邐１８邐２０邐２２邐２４逡逑圖２．丨正常網(wǎng)絡(luò)環(huán)境下?lián)砣翱谧兓疽鈭D逡逑圖２．１的橫坐標(biāo)表示ＴＣＰ流量傳輸?shù)妮喆危v坐標(biāo)表示控制ＴＣＰ流量進(jìn)入的擁逡逑塞窗口ｃｗｎｄ。正常網(wǎng)絡(luò)環(huán)境下，，ＴＣＰ開始建立連接，擁塞窗口ｃｗｎｄ從１開始，執(zhí)逡逑行慢啟動(dòng)算法，隨著傳輸輪次的增加擁塞窗口邋ｃｗｎｄ以指數(shù)規(guī)律增長，當(dāng)擁塞窗口逡逑ｃｗｎｄ到達(dá)設(shè)定的初始門限ｓｓｔｈｒｅｓｈ時(shí)，改為執(zhí)行擁塞避免算法，擁塞窗口ｃｗｎｄ按逡逑７逡逑

逡逑照線性規(guī)律增長。假設(shè)當(dāng)擁塞窗口邋ｃｗｎｄ增長到如圖２．１中所示的２４時(shí)，網(wǎng)絡(luò)超時(shí)或逡逑ＴＣＰ連接開始丟包，根據(jù)此現(xiàn)象，ＴＣＰ／ＩＰ協(xié)議認(rèn)為網(wǎng)絡(luò)中可能出現(xiàn)了擁塞，會(huì)將逡逑擁塞窗口ｃｗｎｄ重置為１，并將門限ｓｓｔｈｒｅｓｈ值變?yōu)槌霈F(xiàn)超時(shí)時(shí)擁塞窗口ｃｗｎｄ值的一逡逑半，即新的ｓｓｔｈｒｅｓｈ為１２。與此同時(shí)，重新開始執(zhí)行慢啟動(dòng)算法，擁塞窗口ｃｗｎｄ逡逑增長至新的門限值后，執(zhí)行擁塞避免算法，直至新的擁塞出現(xiàn)。逡逑正常的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)擁塞情況會(huì)反復(fù)出現(xiàn)，但是出現(xiàn)網(wǎng)絡(luò)擁塞情況之間逡逑的傳輸輪次的間隔較大，即前后兩次出現(xiàn)擁塞情況之間的時(shí)間較長，擁塞窗口逡逑ｃｗｎｄ的值有足夠長的時(shí)間用來恢復(fù)和增長，因此門限ｓｓｔｈｒｅｓｈ的平均值大，網(wǎng)絡(luò)逡逑中的吞吐量大。逡逑當(dāng)發(fā)生ＬＤｏＳ攻擊時(shí)
【學(xué)位授予單位】：湖南大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前3條

1 文坤;楊家海;張賓;;低速率拒絕服務(wù)攻擊研究與進(jìn)展綜述[J];軟件學(xué)報(bào);2014年03期

2 孫長華;劉斌;;分布式拒絕服務(wù)攻擊研究新進(jìn)展綜述[J];電子學(xué)報(bào);2009年07期

3 何炎祥;曹強(qiáng);劉陶;韓奕;熊琦;;一種基于小波特征提取的低速率DoS檢測(cè)方法[J];軟件學(xué)報(bào);2009年04期

本文編號(hào)：2707948