基于网络流量异常特征的DDOS攻击检测及防御

VIP免费
3.0 高德中 2024-11-19 5 4 962.03KB 63 页 15积分
侵权投诉
DDoS
随着计算机网络的迅速发展,网络攻击形式也变得越来越复杂、难于防御,
尤其是DDoS攻击的出现,更是对网络安全造成巨大的威胁。DDoS攻击是一种特
殊形式的拒绝服务(DoS)攻击,采用了分布、协作的大规模攻击方式,其对网络安
全的威胁程度相当大,每年都造成巨大的经济损失。所以,如何构建一个高效的、
完善的安全系统就成为安全管理领域的研究热点。
课题来源于网络系统对安全性的需求。首先,本文详细介绍了DDoS攻击的历
史、特点以及发展趋势;接着介绍了目前对DDoS攻击检测防御的研究现状。
本文在研究和分析现有的安全机制的基础上,有针对性地指出当前研究的安
全技术在防范与反应现在广泛流行的DDoS攻击时所体现的不足。通过总结分析目
前国内外先进研究成果,在此基础上更进一步地提出了基于网络异常流量特征的
检测模型,在该系统模型中结合自回归滑动平均模型预测(ARMA)和异常信息融
合的技术手段识别突发流量过载。异常和报警信息的相关性分析能够降低信息间
的冗余度,减少误检率,从而达到异常检测的目的。最后本文在流量预测研究和
异常判别的基础上,设计了该检测模型在RRD(Round Robin Database)存储环境下
的应用方案。
本文的网络异常检测系统模型主要分为四个模块:数据采集类分析模块、
量预测模块、异常判定模块和告警分析模块。模拟分析结果表明,该基于网络异常
特征检测算法的流量异常监控系统模型对于短时间内的突发流量能有效地检测、
判别、实时报警,达到理想的效果。
关键词:DDoS 攻击 流量预测 ARMA 模型 异常检测
ABSTRACT
With the rapid development of computer network, attacks also become more and
more sophisticated, complex. DDoS is one of the attacks which present an especially
damaging type of network security threat to the network security. Distributed denial of
service (DDoS) attack is a special kind of Denial of Service (DoS). It is distributed and
cooperative large-scale attack, and has brought tremendous threat to the security of
Internet. It also brought huge economic losses every year. And thenHow to design an
efficient and reliable security prevention system has been the hot topic in networks
security management field.
This subject comes from the demand of network security. At first, this paper
describes the history of DDoS attack, its feature and developing trend in detail. Then,
this paper also describes the current research situation of how to detect and prevent the
DDoS attacks.
Based on research and analysis of the recent security mechanism, this paper makes
pointed references to the limitations of the security technology, which is used to prevent
the popular DDoS attacks now. Then this paper compares many advanced research
results both at home and abroad, and proposes a detection mode based on the character
of network traffic anomaly. The mode uses ARMA and abnormality information
gathering to identify the burst traffic overlap. As a flexible measure for detection, this
method could predict abrupt traffic changes in networks with low delay. The alarm
event correlation gathering could reduce redundancy among events, which is used to
improve detection efficiency. And then, the Application in RRD (Round Robin
Database) environment is designed based on the research of traffic prediction and
anomaly detection.
In this paper, the network anomaly detection system model is mainly divided into
four modules: Data gathering analysis module traffic prediction module, anomaly
judgment module, and alarm analysis module. Finally, the simulation results
demonstrate: the traffic anomaly monitor system model, which based on the character of
network traffic anomaly, can detect and judge the burst traffic in a short time,
meanwhile, this system model can realize the purpose of real-time alarm.
Key Words: DDoS attack, traffic prediction, ARMA modelanomaly
detection
目 录
中文摘要
ABSTRACT
第一章........................................................1
§1.1 课题研究的背景和意义.........................................1
§1.2 国内外的发展和现状...........................................2
§1.3 论文的主要工作和内容.........................................3
§1.4 论文的组织与结构.............................................4
DOS/DDOS 攻击研究.............................................5
§2.1 拒绝服务攻击.................................................5
§2.1.1 简单的拒绝服务攻击:......................................
5
§2.1.2 分布式拒绝服务攻击:......................................
5
§2.1.3 分布式反拒绝服务攻击:..................................
5
§2.2 TCP .....................................................6
§2.3 服务缓冲区队列(BACKLOG QUEUE)..............................8
§2.4 本章结.....................................................9
DDOS 攻击检测防御技术研究....................................10
§3.1 防御 DDOS攻击的常规方法.....................................10
§3.2 DDOS防御研究现状...........................................11
§3.3 常见 DDOS攻击防御的分类.....................................12
§3.4 本章结....................................................17
第四章 基于网络流量异常特征的检测方法..............................18
§4.1 研究背景.....................................................18
§4.2 检测流程.....................................................18
§4.3 时间序列模型和流量预测.......................................19
§4.3.1 时间序列模型及其基本性.................................
19
§4.3.2 模型的识别和定.........................................
23
§4.3.3 模型数的计...........................................
24
§4.3.4 流量预测.................................................
25
§4.4 相关性分析...................................................25
§4.5 本章小节.....................................................26
章 基于网络流量异常特征监控系统模型设计与实现..................27
§5.1 监控系统总体构.............................................27
§5.2 数据采集分析模块.............................................28
§5.3 流量模型的建...............................................29
§5.4 流量预测模块.................................................36
§5.5 网络异常判别模块.............................................43
§5.6 报警模块.....................................................45
§5.7 结果与分析...................................................50
§5.8 本章结.....................................................51
章 总结与展..................................................53
§6.1 总结.........................................................53
§6.2 展.........................................................53
参考............................................................55
第一章 绪 论
第一章 绪 论
§1.1 课题研究的背景和意义
分布式拒绝服务(DDoS)攻击是网络攻击事件中最常用的攻击方式,其攻击实
简单但破坏力极大,以进行防范,成为系统和网络安全亟待解决
[1]
DDoS 主要应用了 TCP/IP 的本漏洞与不足,是一种基于 DoS 的分布、
协作的大规模攻击方式,主要准商业公司搜索引府部门等比
点,间接通上其他受制的计算机攻击目系统网络源的
用性导致网络系统不堪重负停止供正常的网络服务,使合法
不能访问或正使用该源,造成拒绝服务攻击。DoS 次只行一种
攻击方式攻击一个目DDoS DoS 攻击方式,也
时攻个目,现生活中,攻击者往往千被控制向受
点发动大规模的协攻击。与 DoS ,其破坏性和危害程度更大及范
更广,时也更难发现攻击
DDoS 攻击最出现在 1999 夏天21 世纪以来,网络遭受攻击事件
YahooBuy.comeBayAmazonCNNSina 曾遭
DDoS 攻击,造成网络达数2003 FBI 计算机与安全
调查”统计显示DDoS 攻击是排名的网络犯罪并且数量不断攀升
目前 Internet 网络上充斥着大量的以发DDoS 攻击的工具软件使稍微
有一定网络识的以发DDoS 攻击。DDoS 攻击的普遍性和危害
使DDoS 攻击机理和防范对的研究成了当前网络信息安全领域的一个研究
热点,吸引众多网络信息安全人员开展相关研究。
2000 16
RSA 安全会议论了种攻击并试图制定对付措施2001 年,加州研究机
构发布的一报告中指出世界期至4拒绝服务攻击。众多
公司开始研究预防和检测 DDoS Arbor Networks PeakFlow
DoSTripwire 公司Tripwire for RoutersAsta 网络公司Vantage 系统。国内也有
SYN/ACK FloodUDP Flood ICMP FloodTCP Flood 流行 DDoS 攻击的防
火墙的研究机构和组织与到该课题的研究中来。
调查,当前对 DDoS 攻击的研究主要集中于对特定类型 DDoS 攻击的分析、
检测和防及攻击源追踪,相应的研究成果也主要针对特定的 DDoS 攻击模式,
1
Error: Reference source not found攻击检测及防御
用性不是很强。如,预防和检测 DDoS 攻击的研究在日益深入Random
DropSyn CookieSyn proxy 等之类的防算法能够在中低度的 DDoS 攻击环境
良好的防效果,但这些算法在高度的攻击中不能比较理想的效
果。本课题主要是在检测与防御 DDoS 攻击方进行相关分析和若干研究。
§1.2 国内外的发展和现状
网络攻击中 DDoS 攻击是个利器迫切希望能有有效的方案和
DDoS 攻击。解决 DDoS 难在于其分布式特性,以及攻击采用造、随机
报文源 IP 、随机变攻击报文内容方法使DDoS 的攻击特征难以
,攻击源的位置难以定。
统防范 DoS 攻击的技术主要有:(1)加固操作系统,配置操作系统
2,主要有种算法技术 Random Drop
SYN Cookie 算法六次手技术以降低攻率3)带宽制和 QoS
保证4)负载均技术。
统方法防范流量、对结构的个别 DoS 攻击有效,随着网络带宽
以及 DoS 攻击方式(DDoSDRDoS)的出现,统的防范方法难以
足需求。
目前,国内外针对 DDoS 攻击检测和防御方法,主要有以下种:
(1)基于 Internet 全网的防范控制,其目弥补现有的网结构
立新DDoS 渗透的网络模式,如 Scott Shyne 等人提出的建主动式网
(the Active Network Backbone,Abone)DDoS 攻击的模型,
DARPA 种方法虽然实是DDoS 攻击的最佳途径尚处于理
体的实现方法;于目前 Internet
使理论上成难在短广应用。
(2)基于用的防范控制,其目攻击源,如西通大
学者韩军提出的通过强“火墙的对内控制以DDoS 攻击的方法,规
有通过认证的用能自由访问网络。种控制略必须Internet 体系
结构进行所有的网络都采种模型,的网络安
一种在现Internet 构和
管理方式下难以实现。
(3)基于攻击对的防范控制。如J.B.D.Cabrera 等人提出的管理
信息源(Management Information Base, MIB)流量变使用网络管理系统(Network
Management System, NMS)来检测 DDoS ,理是从与攻击的系统中
2
摘要:

基于网络流量异常特征的DDoS攻击检测及防御摘要随着计算机网络的迅速发展,网络攻击形式也变得越来越复杂、难于防御,尤其是DDoS攻击的出现,更是对网络安全造成巨大的威胁。DDoS攻击是一种特殊形式的拒绝服务(DoS)攻击,采用了分布、协作的大规模攻击方式,其对网络安全的威胁程度相当大,每年都造成巨大的经济损失。所以,如何构建一个高效的、完善的安全系统就成为安全管理领域的研究热点。课题来源于网络系统对安全性的需求。首先,本文详细介绍了DDoS攻击的历史、特点以及发展趋势;接着介绍了目前对DDoS攻击检测防御的研究现状。本文在研究和分析现有的安全机制的基础上,有针对性地指出当前研究的安全技术在防范...

展开>> 收起<<
基于网络流量异常特征的DDOS攻击检测及防御.doc

共63页,预览7页

还剩页未读, 继续阅读

相关推荐

更多
立即下载
作者:高德中 分类:高等教育资料 价格:15积分 属性:63 页 大小:962.03KB 格式:DOC 时间:2024-11-19

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务

作者详情

相关内容

更多

推荐作者

热门标签

/ 63
评分 收藏
分享
立即下载 VIP免费下载
客服
关注