骨干通信網(wǎng)的DDoS攻擊檢測方法研究.pdf

1、隨著信息技術的快速發(fā)展，網(wǎng)絡異常行為事件爆發(fā)的頻率越來越高，給人們日常生活帶來的負面影響也日益顯著。近年來，越來越多的國內外研究學者開始關注網(wǎng)絡異常行為，他們對網(wǎng)絡異常行為的分析展開了很多研究。在此背景下，本文針對網(wǎng)絡異常行為中的分布式拒絕服務（DDoS）攻擊，以SYN flood攻擊行為作為重點研究對象。傳統(tǒng)SYN flood攻擊行為檢測算法大都以深度包分析方法為主，通過報文統(tǒng)計的手段對網(wǎng)絡流數(shù)據(jù)報文進行細致解析。然而骨干通信網(wǎng)絡存在

2、著規(guī)模持續(xù)增大、數(shù)據(jù)量超大的基本特性，會導致傳統(tǒng)檢測方法的運行時間成倍增加，方法成本開銷加劇并且方法的實時性效率降低。此外，由于突發(fā)訪問行為與分布式拒絕服務攻擊在表現(xiàn)形式上有諸多相似之處，現(xiàn)有異常行為識別方法的識別效果都會有不小的誤檢率和誤識別率。為了解決上述問題，本文在流連接圖基礎上提出了基于Counting Bloom Filter的SYN flood攻擊檢測算法，并且提出了一種基于圖挖掘的SYN flood攻擊檢測算法。本文主要工

3、作如下：
　?。?）提出了一種基于Counting Bloom Filter的SYN flood攻擊檢測算法：根據(jù)TCP三次握手過程中SYN、SYN|ACK、ACK報文數(shù)量大致相等的特性，監(jiān)測時間片內SYN|ACK與ACK報文數(shù)量是否平衡，用差值與時間窗口內的ACK報文數(shù)值相比。再通過自適應調整時間窗口的大小，實時檢測網(wǎng)絡狀態(tài)，并且用基于信息熵的方法去確定疑似的被攻擊的目標。最后通過與其他兩種報文統(tǒng)計的檢測算法相比較，驗證了本文算

4、法在保證較高檢測率的同時，又能有效地與突發(fā)訪問進行區(qū)分。
　?。?）提出了一種基于圖挖掘的SYN flood檢測算法：根據(jù)SYN flood攻擊對虛假源IP地址的重復利用率將其分為兩類。利用圖挖掘技術，將兩類不同的SYN flood攻擊構圖進行模式匹配，從而檢測到網(wǎng)絡是否發(fā)生異常。當發(fā)生突發(fā)訪問時，其網(wǎng)絡行為表現(xiàn)形式與第二類SYN flood攻擊有諸多相似之處，再利用第三級判斷區(qū)分出第二類SYN flood攻擊與突發(fā)訪問，最后實驗