本文關(guān)鍵詞：基于節(jié)奏矩陣的AL-DDoS攻擊檢測技術(shù)研究

  更多相關(guān)文章： 節(jié)奏矩陣 網(wǎng)絡(luò)安全 DDoS攻擊 TCM-KNN 異常檢測

【摘要】：近二十年來,分布式拒絕服務(wù)攻擊(DDoS)一直是網(wǎng)絡(luò)安全的一個關(guān)鍵威脅。第一次DDoS攻擊出現(xiàn)于1995到1996年間,它通過SYN標(biāo)識的TCP包洪泛來淹沒網(wǎng)絡(luò)設(shè)備和服務(wù)器的網(wǎng)絡(luò)通信并嚴(yán)重影響正常網(wǎng)絡(luò)服務(wù)。拒絕服務(wù)攻擊的樣式和種類在近幾年發(fā)生了很大的變化。在SYN洪泛、ICMP和UDP洪流等許多傳統(tǒng)攻擊方式依然盛行的同時,越來越多的應(yīng)用層的DDoS攻擊流量被發(fā)現(xiàn),如HTTP、HTTPS 和 DNS等服務(wù)的請求指令洪泛模式。本文中,我們統(tǒng)稱這類DDoS攻擊為應(yīng)用層拒絕服務(wù)攻擊,并采用了與文獻(xiàn)相同的縮寫AL-DDoS。當(dāng)前現(xiàn)狀是黑客發(fā)起攻擊的門檻越來越低,各種應(yīng)用層的DDoS攻擊工具都可以從網(wǎng)絡(luò)上下載使用,用于發(fā)動攻擊的代理可以免費(fèi)獲取,僵尸網(wǎng)絡(luò)像商品一樣被出租,有不良企圖的人能夠?qū)θ我庖粋�網(wǎng)站發(fā)起攻擊。兩份最近的DDoS攻擊安全分析報(bào)告[2,3]揭示了一個現(xiàn)象：近年來網(wǎng)絡(luò)中的大部分DDoS攻擊的連續(xù)攻擊時間在縮短(如,超過90%的DDoS攻擊持續(xù)不到30分鐘),然而攻擊的重復(fù)頻率在增加,同時向高容量和高速率的趨勢發(fā)展。因此,要阻止一次分布式拒絕服務(wù)攻擊,檢測必須在攻擊的表現(xiàn)階段內(nèi)完成,即攻擊發(fā)起至其達(dá)到某個足以對正常的網(wǎng)絡(luò)服務(wù)造成影響的閾值之前的時間段。同時攻擊響應(yīng)也必須快速實(shí)施才能真正達(dá)到有效預(yù)防DDoS攻擊的效果。為了實(shí)現(xiàn)DDoS攻擊的快速檢測方法,我們借鑒了這兩篇文章的思路,他們通過提取節(jié)奏模式來表達(dá)音樂短片段的各類特性。我們從網(wǎng)絡(luò)層選擇數(shù)據(jù)特征(即,IP包大小和流中連續(xù)包的到達(dá)時間間隔),而沒有使用IP地址以及其他一些可能表露用戶信息的特征。通過對兩個特征進(jìn)行線性變換,可以構(gòu)建節(jié)奏矩陣以準(zhǔn)確表達(dá)網(wǎng)絡(luò)流量片段的統(tǒng)計(jì)特征。得益于數(shù)據(jù)特征都是來自網(wǎng)絡(luò)層,節(jié)奏矩陣不會泄露用戶敏感信息,而且,它不僅能通過IP包的大小信息來描繪一定時間內(nèi)用戶訪問熱點(diǎn)內(nèi)容的相對分布,也能根據(jù)包的時間間隔來統(tǒng)計(jì)用戶訪問服務(wù)器的方式。此外,我們觀察發(fā)現(xiàn)：基于同一服務(wù)的相同類型流量構(gòu)建的節(jié)奏矩陣之間具有高相似度,而不同類型流量構(gòu)建的節(jié)奏矩陣間則保持較低的相似度。因此,結(jié)合在線學(xué)習(xí)方法——直推式置信機(jī)k-近鄰算法(Transductive Confidence Machines for K-Nearest Neighbors TCM-KNN),我們可以在邊界路由器設(shè)備上動態(tài)檢測出經(jīng)過的惡意流量。實(shí)驗(yàn)結(jié)果表明,當(dāng)流量中的大部分?jǐn)?shù)據(jù)由DDoS攻擊產(chǎn)生時,我們的方法能以很高的精度檢測出來。本研究論文的主要貢獻(xiàn)有：·我們基于網(wǎng)絡(luò)層特征定義了一個組合特征(本文稱之為節(jié)奏矩陣),能精準(zhǔn)描述網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征,能有效地區(qū)分DDoS攻擊流量和正常流量�！の覀兏倪M(jìn)了一款在線學(xué)習(xí)方法,使其結(jié)合節(jié)奏矩陣以達(dá)到對應(yīng)用層拒絕服務(wù)攻擊的實(shí)時檢測。改進(jìn)后的方法使得我們的系統(tǒng)適應(yīng)性更強(qiáng),也顯著降低了檢測系統(tǒng)的誤報(bào)率且沒有造成檢測時間的顯著延長。·我們基于真實(shí)的網(wǎng)絡(luò)數(shù)據(jù)集設(shè)計(jì)了一系列實(shí)驗(yàn),通過檢測三種模式的AL-DDoS攻擊來評估我們所提出的方法的有效性。·兩個著名的公開數(shù)據(jù)集被我們改造,并用于驗(yàn)證我們的檢測方法在網(wǎng)絡(luò)合法流量瞬間擁塞(本文稱之為Flash Crowd)的情況下也能保持很低的誤報(bào)率。
【關(guān)鍵詞】：節(jié)奏矩陣 網(wǎng)絡(luò)安全 DDoS攻擊 TCM-KNN 異常檢測
【學(xué)位授予單位】：山東大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要8-10
• ABSTRACT10-13
• 第1章 緒論13-27
• 1.1 本文的研究背景13-19
• 1.1.1 DDoS攻擊簡介13-15
• 1.1.2 DDoS攻擊現(xiàn)狀15-19
• 1.2 相關(guān)研究的發(fā)展現(xiàn)狀19-24
• 1.2.1 DDoS攻擊檢測一般框架19-22
• 1.2.2 DDoS攻擊檢測現(xiàn)有技術(shù)22-24
• 1.3 研究的目標(biāo)和意義24
• 1.4 研究內(nèi)容和創(chuàng)新點(diǎn)24-26
• 1.4.1 研究內(nèi)容24-25
• 1.4.2 創(chuàng)新點(diǎn)25-26
• 1.5 本文結(jié)構(gòu)26-27
• 第2章 問題描述與解決思路27-35
• 2.1 問題描述27-31
• 2.1.1 Web服務(wù)通信及HTTP洪泛攻擊27-29
• 2.1.2 HTTP洪泛攻擊的模式分析29-31
• 2.2 研究思路31-35
• 2.2.1 論依據(jù)31-32
• 2.2.2 研究思路和檢測方案32-35
• 第3章 節(jié)奏矩陣35-42
• 3.1 原始特征的變換35-38
• 3.2 節(jié)奏矩陣的構(gòu)建38-40
• 3.3 用節(jié)奏矩陣描述不同流量40-42
• 第4章 在線學(xué)習(xí)算法——TCM-KNN42-45
• 4.1 直推置信機(jī)-K近鄰算法(TCM-KNN)42-43
• 4.2 提高算法檢測精度43-44
• 4.3 算法復(fù)雜度分析44-45
• 第5章 DDoS攻擊檢測的實(shí)驗(yàn)設(shè)置和結(jié)果45-52
• 5.1 DDoS攻擊數(shù)據(jù)集45-46
• 5.2 突發(fā)擁塞數(shù)據(jù)集46-47
• 5.3 實(shí)驗(yàn)結(jié)果及分析47-52
• 5.3.1 DDoS攻擊檢測的性能48-50
• 5.3.2 突發(fā)擁塞時的誤報(bào)率50-51
• 5.3.3 與其他相關(guān)工作的比較51-52
• 第6章 總結(jié)與展望52-54
• 6.1 相關(guān)討論52-53
• 6.2 總結(jié)和下一步工作53-54
• 插圖索引54-55
• 表格索引55-56
• 公式索引56-57
• 參考文獻(xiàn)57-60
• 致謝60-61
• 學(xué)位論文評閱及答辯情況表61

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 何宗耀,崔雪冰;DDOS攻擊的原理及對策[J];平頂山工學(xué)院學(xué)報(bào);2002年04期

2 周偉,王麗娜,張煥國,傅建明;一種新的DDoS攻擊方法及對策[J];計(jì)算機(jī)工程與應(yīng)用;2003年01期

3 楊升;DDoS攻擊及其應(yīng)對措施[J];南平師專學(xué)報(bào);2003年02期

4 樊愛京;DDoS攻擊的原理及防范[J];平頂山師專學(xué)報(bào);2003年05期

5 ;天目抗DoS/DDoS[J];信息安全與通信保密;2004年12期

6 喻超;智勝DDoS攻擊解析[J];通信世界;2004年46期

7 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

8 唐佳佳;;DDoS攻擊和防御分類機(jī)制[J];電腦知識與技術(shù);2006年29期

9 邱曉理;;抵御DDoS攻擊的三大法寶[J];華南金融電腦;2006年10期

10 王永杰;鮮明;陳志杰;王國玉;;DDoS攻擊分類與效能評估方法研究[J];計(jì)算機(jī)科學(xué);2006年10期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 蔣平;;DDoS攻擊分類及趨勢預(yù)測[A];第十七次全國計(jì)算機(jī)安全學(xué)術(shù)交流會暨電子政務(wù)安全研討會論文集[C];2002年

2 張鑌;黃遵國;;DDoS防彈墻驗(yàn)證調(diào)度層設(shè)計(jì)與實(shí)現(xiàn)[A];中國電子學(xué)會第十六屆信息論學(xué)術(shù)年會論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2005年

4 王永強(qiáng);;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會議論文集[C];2002年

6 蘇金樹;陳曙輝;;國家級骨干網(wǎng)DDOS及蠕蟲防御技術(shù)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測方法[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測[A];2006中國西部青年通信學(xué)術(shù)會議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

中國重要報(bào)紙全文數(shù)據(jù)庫 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網(wǎng)絡(luò)世界;2006年

2 本報(bào)記者 那罡;網(wǎng)絡(luò)公害DDoS[N];中國計(jì)算機(jī)報(bào);2008年

3 本報(bào)記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計(jì)算機(jī)世界;2008年

4 本報(bào)實(shí)習(xí)記者 張奕;DDoS攻擊 如何對你說“不”[N];計(jì)算機(jī)世界;2009年

5 本報(bào)記者 那罡;DDoS防御進(jìn)入“云”清洗階段[N];中國計(jì)算機(jī)報(bào);2010年

6 ;DDoS攻防那些事兒[N];網(wǎng)絡(luò)世界;2012年

7 本報(bào)記者 李旭陽;DDoS防護(hù)需新手段[N];計(jì)算機(jī)世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

9 本報(bào)記者 姜姝;DDoS之殤 拷問防御能力[N];中國電腦教育報(bào);2013年

10 劉佳源;英國1/5公司遭遇DDoS攻擊[N];中國電子報(bào);2013年

中國博士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 徐圖;超球體多類支持向量機(jī)及其在DDoS攻擊檢測中的應(yīng)用[D];西南交通大學(xué);2008年

2 徐川;應(yīng)用層DDoS攻擊檢測算法研究及實(shí)現(xiàn)[D];重慶大學(xué);2012年

3 周再紅;DDoS分布式檢測和追蹤研究[D];湖南大學(xué);2011年

4 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學(xué);2009年

5 羅光春;入侵檢測若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

6 劉運(yùn);DDoS Flooding攻擊檢測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

7 王冬琦;分布式拒絕服務(wù)攻擊檢測和防御若干技術(shù)問題研究[D];東北大學(xué);2011年

8 于明;DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測算法的研究[D];西安電子科技大學(xué);2007年

9 黃昌來;基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復(fù)旦大學(xué);2009年

10 呂良福;DDoS攻擊的檢測及網(wǎng)絡(luò)安全可視化研究[D];天津大學(xué);2008年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 嵇海進(jìn);DDoS攻擊的防御方法研究[D];江南大學(xué);2008年

2 崔寧;軍隊(duì)局域網(wǎng)中DDOS攻擊模擬和防御的研究[D];東北大學(xué);2009年

3 紀(jì)鍇;內(nèi)蒙古聯(lián)通DDoS安全解決方案及應(yīng)用[D];北京郵電大學(xué);2012年

4 李鶴飛;基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方法和緩解機(jī)制的研究[D];華東師范大學(xué);2015年

5 游榮;內(nèi)容中心網(wǎng)絡(luò)的DDoS攻擊檢測及防范[D];上海交通大學(xué);2015年

6 姜宏;大規(guī)模DDoS攻擊檢測關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2015年

7 龔冉;基于SDN的負(fù)載均衡和DDOS攻擊檢測技術(shù)的研究[D];安徽大學(xué);2016年

8 梅夢U，

本文編號：928199