基于网络流量异常特征的DDOS攻击检测及防御
VIP免费
基于网络流量异常特征的 DDoS
攻击检测及防御
摘 要
随着计算机网络的迅速发展,网络攻击形式也变得越来越复杂、难于防御,
尤其是DDoS攻击的出现,更是对网络安全造成巨大的威胁。DDoS攻击是一种特
殊形式的拒绝服务(DoS)攻击,采用了分布、协作的大规模攻击方式,其对网络安
全的威胁程度相当大,每年都造成巨大的经济损失。所以,如何构建一个高效的、
完善的安全系统就成为安全管理领域的研究热点。
课题来源于网络系统对安全性的需求。首先,本文详细介绍了DDoS攻击的历
史、特点以及发展趋势;接着介绍了目前对DDoS攻击检测防御的研究现状。
本文在研究和分析现有的安全机制的基础上,有针对性地指出当前研究的安
全技术在防范与反应现在广泛流行的DDoS攻击时所体现的不足。通过总结分析目
前国内外先进研究成果,在此基础上更进一步地提出了基于网络异常流量特征的
检测模型,在该系统模型中结合自回归滑动平均模型预测(ARMA)和异常信息融
合的技术手段识别突发流量过载。异常和报警信息的相关性分析能够降低信息间
的冗余度,减少误检率,从而达到异常检测的目的。最后本文在流量预测研究和
异常判别的基础上,设计了该检测模型在RRD(Round Robin Database)存储环境下
的应用方案。
本文的网络异常检测系统模型主要分为四个模块:数据采集类分析模块、流
量预测模块、异常判定模块和告警分析模块。模拟分析结果表明,该基于网络异常
特征检测算法的流量异常监控系统模型对于短时间内的突发流量能有效地检测、
判别、实时报警,达到理想的效果。
关键词:DDoS 攻击 流量预测 ARMA 模型 异常检测
ABSTRACT
With the rapid development of computer network, attacks also become more and
more sophisticated, complex. DDoS is one of the attacks which present an especially
damaging type of network security threat to the network security. Distributed denial of
service (DDoS) attack is a special kind of Denial of Service (DoS). It is distributed and
cooperative large-scale attack, and has brought tremendous threat to the security of
Internet. It also brought huge economic losses every year. And then,How to design an
efficient and reliable security prevention system has been the hot topic in networks
security management field.
This subject comes from the demand of network security. At first, this paper
describes the history of DDoS attack, its feature and developing trend in detail. Then,
this paper also describes the current research situation of how to detect and prevent the
DDoS attacks.
Based on research and analysis of the recent security mechanism, this paper makes
pointed references to the limitations of the security technology, which is used to prevent
the popular DDoS attacks now. Then ,this paper compares many advanced research
results both at home and abroad, and proposes a detection mode based on the character
of network traffic anomaly. The mode uses ARMA and abnormality information
gathering to identify the burst traffic overlap. As a flexible measure for detection, this
method could predict abrupt traffic changes in networks with low delay. The alarm
event correlation gathering could reduce redundancy among events, which is used to
improve detection efficiency. And then, the Application in RRD (Round Robin
Database) environment is designed based on the research of traffic prediction and
anomaly detection.
In this paper, the network anomaly detection system model is mainly divided into
four modules: Data gathering analysis module ,traffic prediction module, anomaly
judgment module, and alarm analysis module. Finally, the simulation results
demonstrate: the traffic anomaly monitor system model, which based on the character of
network traffic anomaly, can detect and judge the burst traffic in a short time,
meanwhile, this system model can realize the purpose of real-time alarm.
Key Words: DDoS attack, traffic prediction, ARMA model,anomaly
detection
目 录
中文摘要
ABSTRACT
第一章 绪 论........................................................1
§1.1 课题研究的背景和意义.........................................1
§1.2 国内外的发展和现状...........................................2
§1.3 论文的主要工作和内容.........................................3
§1.4 论文的组织与结构.............................................4
第二章 DOS/DDOS 攻击研究.............................................5
§2.1 拒绝服务攻击.................................................5
§2.1.1 简单的拒绝服务攻击:......................................
5
§2.1.2 分布式拒绝服务攻击:......................................
5
§2.1.3 分布式反射拒绝服务攻击:..................................
5
§2.2 TCP 协议.....................................................6
§2.3 服务器的缓冲区队列(BACKLOG QUEUE)..............................8
§2.4 本章小结.....................................................9
第三章 DDOS 攻击检测防御技术研究....................................10
§3.1 防御 DDOS攻击的常规方法.....................................10
§3.2 DDOS防御研究现状...........................................11
§3.3 常见 DDOS攻击防御的分类.....................................12
§3.4 本章小结....................................................17
第四章 基于网络流量异常特征的检测方法..............................18
§4.1 研究背景.....................................................18
§4.2 检测流程.....................................................18
§4.3 时间序列模型和流量预测.......................................19
§4.3.1 时间序列模型及其基本性质.................................
19
§4.3.2 模型的识别和定阶.........................................
23
§4.3.3 模型参数的估计...........................................
24
§4.3.4 流量预测.................................................
25
§4.4 相关性分析...................................................25
§4.5 本章小节.....................................................26
第五章 基于网络流量异常特征监控系统模型设计与实现..................27
§5.1 监控系统总体架构.............................................27
§5.2 数据采集分析模块.............................................28
§5.3 流量模型的建立...............................................29
§5.4 流量预测模块.................................................36
§5.5 网络异常判别模块.............................................43
§5.6 报警模块.....................................................45
§5.7 结果与分析...................................................50
§5.8 本章小结.....................................................51
第六章 总结与展望..................................................53
第一章 绪 论
第一章 绪 论
§1.1 课题研究的背景和意义
分布式拒绝服务(DDoS)攻击是网络攻击事件中最常用的攻击方式,其攻击实
现简单,但破坏力极大,同时又难以进行防范,成为系统和网络安全亟待解决的
重要问题[1]。
DDoS 主要应用了 TCP/IP 协议的本身漏洞与不足,是一种基于 DoS 的分布、
协作的大规模攻击方式,主要瞄准商业公司、搜索引擎和政府部门等比较大的站
点,直接或间接通过互联网上其他受控制的计算机攻击目标系统或网络资源的可
用性,导致网络或系统不堪重负以至于瘫痪而停止提供正常的网络服务,使合法
用户不能访问或正常使用该资源,造成拒绝服务攻击。同DoS 一次只能运行一种
攻击方式攻击一个目标不同,DDoS 可以同时运用多种DoS 攻击方式,也可以同
时攻击多个目标,现实生活中,攻击者往往利用成百上千被“控制”节点向受害
节点发动大规模的协同攻击。与 DoS 相比,其破坏性和危害程度更大,涉及范围
更广,同时也更难发现攻击者。
DDoS 攻击最早出现在 1999 年夏天。进入21 世纪以来,网络遭受攻击事件不
断发生,像Yahoo、Buy.com、eBay、Amazon、CNN、Sina 等著名网站都曾遭受
DDoS 攻击,造成网络长达数小时的瘫痪。根据“2003 年FBI 计算机犯罪与安全
调查”统计显示,DDoS 攻击是排名第二的网络犯罪,并且数量不断攀升。
目前 Internet 网络上充斥着大量的可以发起DDoS 攻击的工具软件,使得稍微
具有一定网络知识的人都可以发起DDoS 攻击。由于DDoS 攻击的普遍性和危害性
使得DDoS 攻击机理和防范对策的研究成了当前网络信息安全领域里的一个研究
热点,吸引了众多网络信息安全人员开展相关研究。
2000 年1月下旬,来自美国的网络安全专家们在加利福尼亚举行的第 6次
RSA 安全会议上讨论了这种攻击并试图制定对付措施。2001 年,加州大学研究机
构发布的一份报告中指出:世界范围每星期至少发生4千次拒绝服务攻击。众多
的公司开始研究预防和检测 DDoS 的产品,如 Arbor Networks 公司的PeakFlow
DoS、Tripwire 公司的Tripwire for Routers、Asta 网络公司的Vantage 系统。国内也有
抵御SYN/ACK Flood、UDP Flood 、ICMP Flood、TCP Flood 等流行 DDoS 攻击的防
火墙,并不断有新的研究机构和组织参与到该课题的研究中来。
据调查,当前对 DDoS 攻击的研究主要集中于对特定类型 DDoS 攻击的分析、
检测和防护及攻击源追踪,相应的研究成果也主要针对特定的 DDoS 攻击模式,通
1
Error: Reference source not found攻击检测及防御
用性不是很强。如今,预防和检测 DDoS 攻击的研究在日益深入,Random
Drop、Syn Cookie、Syn proxy 等之类的防护算法能够在中低强度的 DDoS 攻击环境
下起到良好的防护效果,但这些算法在高强度的攻击中却不能起到比较理想的效
果。本课题主要是在检测与防御 DDoS 攻击方面进行相关分析和若干研究。
§1.2 国内外的发展和现状
网络攻击中 DDoS 攻击是个利器,迫切希望能有有效的解决方案和产品来防
御DDoS 攻击。解决 DDoS 的困难在于其分布式特性,以及攻击者采用伪造、随机
变化报文源 IP 地址、随机变化攻击报文内容等方法,使得DDoS 的攻击特征难以
提取,攻击源的位置难以确定。
传统防范 DoS 攻击的技术主要有:(1)加固操作系统,配置操作系统各种参数
以加强系统稳固性;(2)利用防火墙,主要有两种算法技术 Random Drop 算法
与SYN Cookie 算法(采用六次握手技术以降低受攻率);(3)带宽限制和 QoS
保证;(4)负载均衡技术。
传统方法防范流量小、对结构简单的个别 DoS 攻击很有效,但随着网络带宽
的增长以及 DoS 攻击新方式(如DDoS、DRDoS)的出现,传统的防范方法已难以满
足需求。
目前,国内外针对 DDoS 攻击检测和防御方法,主要有以下几种:
(1)基于 Internet 全网的防范控制策略,其目标是弥补现有的互联网结构缺陷,
建立新型的 DDoS 无法渗透的网络模式,如 Scott Shyne 等人提出的建立主动式网
络架构(the Active Network Backbone,Abone)抵御DDoS 攻击的模型,这个项目由
美国DARPA 资助。这种方法虽然确实是抵御DDoS 攻击的最佳途径,但尚处于理
论探索阶段,没有给出具体的实现方法;同时,由于目前 Internet 已在全球普及,
即使理论上成熟也很难在短期内推广应用。
(2)基于用户端的防范控制策略,其目标是遏制攻击源,如我国西安交通大学
学者韩军等提出的通过加强“防火墙”的对内控制以抑制DDoS 攻击的方法,规
定只有通过认证的用户才能自由访问外部网络。这种控制策略必须对Internet 体系
结构进行改变,只有所有的接入网络都采用这种模型,全面的网络安全才可保证
显然,该策略类似于前一种,虽然理论上可行,但在现有 Internet 的体系结构和
管理方式下难以实现。
(3)基于攻击对象的防范控制策略。如美国J.B.D.Cabrera 等人提出的依据管理
信息源(Management Information Base, MIB)流量变化使用网络管理系统(Network
Management System, NMS)来检测 DDoS 攻击,基本原理是从参与攻击的系统中收
2
摘要:
展开>>
收起<<
基于网络流量异常特征的DDoS攻击检测及防御摘要随着计算机网络的迅速发展,网络攻击形式也变得越来越复杂、难于防御,尤其是DDoS攻击的出现,更是对网络安全造成巨大的威胁。DDoS攻击是一种特殊形式的拒绝服务(DoS)攻击,采用了分布、协作的大规模攻击方式,其对网络安全的威胁程度相当大,每年都造成巨大的经济损失。所以,如何构建一个高效的、完善的安全系统就成为安全管理领域的研究热点。课题来源于网络系统对安全性的需求。首先,本文详细介绍了DDoS攻击的历史、特点以及发展趋势;接着介绍了目前对DDoS攻击检测防御的研究现状。本文在研究和分析现有的安全机制的基础上,有针对性地指出当前研究的安全技术在防范...
相关推荐
作者:高德中
分类:高等教育资料
价格:15积分
属性:63 页
大小:962.03KB
格式:DOC
时间:2024-11-19
