本文關(guān)鍵詞：應(yīng)用層DDOS攻擊檢測(cè)技術(shù)研究

  更多相關(guān)文章： DDOS 自相似特征參數(shù)H R/S法 自回歸建模 最大似然估計(jì)

【摘要】：跨入21世紀(jì)以來(lái),互聯(lián)網(wǎng)發(fā)展迅速,已融進(jìn)我們生活的各個(gè)方面,給我們帶來(lái)巨大方便。人們?cè)谙硎芫W(wǎng)絡(luò)給予的福利的同時(shí),也遇到一些苦惱。一些不法分子出于個(gè)人利益,制造大量病毒,竊取個(gè)人和企業(yè)賬號(hào)、密碼,或者直接攻擊網(wǎng)站等,給個(gè)人和企業(yè)造成很大的經(jīng)濟(jì)損失。其中分布式拒絕服務(wù)攻擊(DDOS)尤為突出,加上不少電腦使用者安全意識(shí)薄弱,對(duì)電腦安全防御疏忽,就給黑客控制主機(jī)提供了更多機(jī)會(huì),繼而DDOS攻擊表現(xiàn)出規(guī)模大,造成的損失大的特點(diǎn)。因此,針對(duì)DDOS攻擊的檢測(cè)防御技術(shù)有著重要的研究意義和實(shí)際價(jià)值。本文通過(guò)對(duì)國(guó)內(nèi)外研究現(xiàn)狀的調(diào)研發(fā)現(xiàn),相關(guān)研究人員對(duì)基于網(wǎng)絡(luò)協(xié)議或系統(tǒng)漏洞的網(wǎng)絡(luò)層和傳輸層DDOS攻擊做了大量研究,提出的相關(guān)算法能很好地檢測(cè)到發(fā)生在這兩個(gè)網(wǎng)絡(luò)分層的各種攻擊,但對(duì)發(fā)生在應(yīng)用層的攻擊的研究就顯得相對(duì)不足,現(xiàn)有的研究成果較少而且檢測(cè)效率較低。目前網(wǎng)絡(luò)攻擊者抓住這個(gè)瓶頸,更傾向于在應(yīng)用層發(fā)動(dòng)DDOS攻擊。應(yīng)用層的網(wǎng)絡(luò)攻擊常常采用正規(guī)HTTP請(qǐng)求,在突發(fā)流期間才向網(wǎng)站發(fā)動(dòng)攻擊。而此時(shí)產(chǎn)生的攻擊在流量特征和HTTP請(qǐng)求序列特征上都與合法用戶訪問(wèn)時(shí)的特征很接近,這樣使得從HTTP請(qǐng)求的內(nèi)容、數(shù)目、速度等方面去進(jìn)行攻擊檢測(cè)會(huì)產(chǎn)生諸多困難。此外,目前的一些改進(jìn)檢測(cè)算法(如基于X2的統(tǒng)計(jì)檢測(cè)、SYN風(fēng)暴檢測(cè))尚不能兼顧檢測(cè)率和應(yīng)用范疇,經(jīng)常是一個(gè)指標(biāo)提高了,而另一指標(biāo)降低了,在DDOS攻擊檢測(cè)的實(shí)際應(yīng)用中經(jīng)常會(huì)出現(xiàn)捉襟見肘的現(xiàn)象。本文就此提出一種基于網(wǎng)絡(luò)流量自相似特征參數(shù)的檢測(cè)算法來(lái)改進(jìn)DDOS攻擊檢測(cè)。網(wǎng)絡(luò)流量在不同的時(shí)間尺度上具有自相似性,這種特性不受時(shí)間規(guī)模變化和時(shí)間尺度的影響,用Hurst指數(shù)H表征自相似程度。當(dāng)攻擊流量在很短時(shí)間內(nèi)大量產(chǎn)生時(shí),會(huì)引起流量序列自相關(guān)函數(shù)R的變化;自相似序列的Hurst指數(shù)H有且對(duì)應(yīng)一種自相關(guān)函數(shù)形式,因此ΔR的變化會(huì)引起指數(shù)H的明顯變化,即自相似指數(shù)差值ΔH會(huì)明顯變化(變化范圍超過(guò)0.1),而正常流量的ΔH變化范圍相對(duì)受到攻擊后的流量的ΔH變化范圍小很多(變化范圍在0.1之內(nèi)),二者區(qū)分明顯。基于此,則可以用實(shí)際測(cè)出的ΔH和設(shè)定的門限域值比較來(lái)判斷當(dāng)前網(wǎng)絡(luò)是否受到DDOS攻擊。本文提出的檢測(cè)算法中,指數(shù)H的估計(jì)采用的是R/S法,由得出的H值再做自回歸建模進(jìn)而得出指數(shù)差值ΔH;門限域值的設(shè)定采用最大似然估計(jì)法(MLE)。通過(guò)相關(guān)實(shí)驗(yàn)驗(yàn)證,文中提出的檢測(cè)算法能檢測(cè)到多種類型的應(yīng)用層DDOS攻擊,應(yīng)用范圍得到進(jìn)一步擴(kuò)展,這說(shuō)明該檢測(cè)算法具有一定的可行性;其檢測(cè)效率與按H范圍檢測(cè)的算法相比,提高了約10%,該對(duì)比結(jié)果說(shuō)明該檢測(cè)算法在檢測(cè)效率上有所改進(jìn)。總之,該檢測(cè)算法比較好的兼顧了檢測(cè)效率和應(yīng)用范圍,結(jié)果令人滿意。
【關(guān)鍵詞】：DDOS 自相似特征參數(shù)H R/S法 自回歸建模 最大似然估計(jì)
【學(xué)位授予單位】：成都理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• Abstract6-10
• 第1章 緒論10-15
• 1.1 課題研究背景及意義10-12
• 1.1.1 研究背景10-11
• 1.1.2 研究意義11-12
• 1.2 國(guó)內(nèi)外研究狀況12-14
• 1.3 本文工作和組織結(jié)構(gòu)14-15
• 第2章 DDOS攻擊概述15-34
• 2.1 DDOS攻擊來(lái)源15-16
• 2.2 DDOS攻擊原理16-20
• 2.3 DDOS攻擊方法20-28
• 2.3.1 傳統(tǒng)DOS攻擊20-21
• 2.3.2 應(yīng)用層DDOS攻擊21-28
• 2.4 DDOS攻擊工具28-31
• 2.4.1 傳統(tǒng)DOS攻擊工具28-29
• 2.4.2 典型DDOS攻擊工具29-31
• 2.5 DDOS發(fā)展趨勢(shì)31-32
• 2.6 本章小結(jié)32-34
• 第3章 DDOS檢測(cè)技術(shù)分析34-41
• 3.1 主機(jī)異常現(xiàn)象檢測(cè)34-35
• 3.2 基于X~2的統(tǒng)計(jì)檢測(cè)35-36
• 3.3 基于信號(hào)互相關(guān)的LDOS攻擊檢測(cè)36-38
• 3.4 SYN風(fēng)暴檢測(cè)38-40
• 3.5 本章小結(jié)40-41
• 第4章 網(wǎng)絡(luò)流量自相似特性分析41-51
• 4.1 自相似概述41-43
• 4.1.1 自相似定義41-42
• 4.1.2 自相似性質(zhì)42-43
• 4.2 Hurst指數(shù)估計(jì)43-46
• 4.2.1 時(shí)域估計(jì)方法43-45
• 4.2.2 頻域估計(jì)方法45
• 4.2.3 小波分析估計(jì)方法45-46
• 4.3 網(wǎng)絡(luò)流量自相似模型46-50
• 4.4 本章小結(jié)50-51
• 第5章 基于網(wǎng)絡(luò)流量自相似特征參數(shù)的檢測(cè)51-63
• 5.1 攻擊檢測(cè)原理51
• 5.2 攻擊檢測(cè)方案51-56
• 5.2.1 Hurst指數(shù)算法選擇及改進(jìn)51-52
• 5.2.2 網(wǎng)絡(luò)流量自相似模型選擇及 ΔH求法52-54
• 5.2.3 門限域值求法54-55
• 5.2.4 攻擊檢測(cè)流程55-56
• 5.3 實(shí)驗(yàn)數(shù)據(jù)的選取56-57
• 5.4 實(shí)驗(yàn)結(jié)果及其分析57-62
• 5.5 本章小結(jié)62-63
• 結(jié)論63-64
• 致謝64-65
• 參考文獻(xiàn)65-69
• 攻讀學(xué)位期間取得學(xué)術(shù)成果69

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前4條

1 任勛益;王汝傳;王海艷;李金明;;基于自相似檢測(cè)DDoS攻擊的小波選擇[J];南京航空航天大學(xué)學(xué)報(bào);2007年05期

2 李軍;;DDoS攻擊全面解析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2007年09期

3 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

4 陳剛,楊波;基于SYN Cache/Cookie的防DoS攻擊的改進(jìn)方案[J];計(jì)算機(jī)工程;2005年21期

，

本文編號(hào)：903177