基于網(wǎng)絡(luò)流量分形特性的DDoS攻擊檢測(cè).pdf

1、隨著全球Internet網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為一個(gè)急需解決的問題。在眾多的網(wǎng)絡(luò)安全威脅中，DDoS以其實(shí)施容易，破壞力度大，檢測(cè)困難成為重中之重。近年來(lái)，對(duì)網(wǎng)絡(luò)流量特性的研究發(fā)現(xiàn)實(shí)際網(wǎng)絡(luò)流量具有明顯的尺度特性，在大尺度上表現(xiàn)為自相似(單分形)，在小尺度上表現(xiàn)為多重分形。本文在分析網(wǎng)絡(luò)流量分形特性的基礎(chǔ)上，研究利用網(wǎng)絡(luò)流量分形特性檢測(cè)DDoS攻擊的相關(guān)問題。 論文首先闡述DoS攻擊和DDoS攻擊原理，分析常見的DDoS

2、攻擊類型，總結(jié)在實(shí)施DDoS攻擊過程中常用的工具，分析常見的DDoS攻擊檢測(cè)方法。其次，利用FGN模型生成自相似數(shù)據(jù)，研究自相似Hurst參數(shù)7種常見估算算法的性能，分析典型DDoS攻擊流量的自相似特性和多重分形特性，研究?jī)蓚€(gè)子流量合成一個(gè)新的流量時(shí)，新流量的Hurst參數(shù)與子流量Hurst參數(shù)之間的關(guān)系。 論文的重點(diǎn)內(nèi)容是利用網(wǎng)絡(luò)流量的Hurst參數(shù)和Holder指數(shù)來(lái)檢測(cè)DDoS攻擊。用背景流量模擬沒有攻擊發(fā)生時(shí)網(wǎng)絡(luò)流量的正

3、常情況，將攻擊流量加入到背景流量中描述攻擊發(fā)生時(shí)網(wǎng)絡(luò)流量的變化情況，然后將一定時(shí)間段內(nèi)的網(wǎng)絡(luò)流量聚合在一起，形成一個(gè)非負(fù)的時(shí)間序列，這個(gè)時(shí)間序列就代表了網(wǎng)絡(luò)的流量情況。再利用R/S算法來(lái)估算這個(gè)非負(fù)的時(shí)間序列在一些時(shí)間點(diǎn)的Hurst參數(shù)值。最后，通過繪圖得到時(shí)間序列Hurst參數(shù)值的變化圖。分析發(fā)現(xiàn)，利用Hurst參數(shù)能對(duì)DDoS攻擊進(jìn)行有效的檢測(cè)，但是由于自相似特性體現(xiàn)的長(zhǎng)相關(guān)性，決定了利用網(wǎng)絡(luò)流量的單分形特性檢測(cè)DDoS攻擊會(huì)存在檢

4、測(cè)時(shí)延和檢測(cè)靈敏度的問題。近來(lái)的研究發(fā)現(xiàn)網(wǎng)絡(luò)流量在小尺度下具有多重分形特性，本文將對(duì)利用網(wǎng)絡(luò)流量的Holder指數(shù)檢測(cè)DDoS攻擊進(jìn)行研究。通過實(shí)驗(yàn)分析小尺度下DDoS攻擊發(fā)生時(shí)，網(wǎng)絡(luò)流量Holder指數(shù)的變化情況。通過研究，發(fā)現(xiàn)DDoS攻擊發(fā)生時(shí)，網(wǎng)絡(luò)流量的Holder指數(shù)與正常情況相比有明顯的變化。因?yàn)樾〕叨认碌腍older指數(shù)體現(xiàn)的是局部奇異性，所以利用Holder指數(shù)的變化來(lái)檢測(cè)DDoS攻擊，不存在檢測(cè)時(shí)延和檢測(cè)靈敏度問題，取得