久久亚洲中文字幕精_精品国产一区二区三区不卡_99久久久无码国产精品免费手机_国产亚洲精品久久久久动漫

高效識(shí)別DDoS攻擊的檢測(cè)技術(shù)研究發(fā)布者：本站     時(shí)間：2020-05-02 16:05:00

1 引 言

DDoS［1］全名是 Distributed Denial of service ( 分布式拒絕服務(wù)攻擊) ，它是一種分布式的協(xié)同發(fā)起的拒絕服務(wù)攻擊，借助數(shù)百、甚至數(shù)萬(wàn)臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為． 它是危害更大、更易于達(dá)到攻擊效果、更難以抵御和追蹤的一種拒絕服務(wù)攻擊． 在這種嚴(yán)峻的形勢(shì)下，對(duì)DDoS 攻擊的研究逐漸稱為熱點(diǎn)，大量的 DDoS 檢測(cè)和防御技術(shù)應(yīng)運(yùn)而生． 然而 DDoS 攻擊技術(shù)在不斷發(fā)展，呈現(xiàn)出一些新的發(fā)展趨勢(shì)，這對(duì)攻擊檢測(cè)和防御提出了更高的要求． 主要表現(xiàn)有: 攻擊方式不斷更新、隱蔽性越來(lái)越強(qiáng)、攻擊準(zhǔn)備時(shí)間縮短、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，漏洞會(huì)不斷產(chǎn)生、攻擊工具更加智能以及攻擊強(qiáng)度的不斷拉大這些都給檢測(cè)與防御造成很大的困難．根據(jù)防御策略防御可分為攻擊前，攻擊中，攻擊后的三個(gè)階段，防御技術(shù)可分為 4 大類［2］攻擊預(yù)防、攻擊檢測(cè)、攻擊源追蹤和攻擊緩解． DDoS 攻擊的檢測(cè)技術(shù)主要有異常檢測(cè)和誤用檢測(cè)兩大類． 如模式匹配［3］等． 本文研究重點(diǎn)在 DDoS 攻擊的檢測(cè)技術(shù)，怎樣及時(shí)高效的識(shí)別 DDoS 攻擊．傳統(tǒng)的 DDoS 檢測(cè)方法效率低下、系統(tǒng)開銷大、易產(chǎn)生單點(diǎn)失效且單點(diǎn)的異常檢測(cè)對(duì)分布式異常檢測(cè)處理能力弱． 基于協(xié)議特征分析的 DDoS 檢測(cè)方法不能檢測(cè)沒有明顯協(xié)議區(qū)別特征的 DDoS 攻擊，而基于網(wǎng)絡(luò)流量統(tǒng)計(jì)的 DDoS 檢測(cè)方法不能區(qū)分正常的大流量和 DDoS 的攻擊流量，可能會(huì)發(fā)生誤判且不可恢復(fù)． 由于存在這樣的問題迫切需要一種及時(shí)快速有效的檢測(cè)系統(tǒng)，盡早發(fā)現(xiàn)潛在的攻擊從而可以采取必要的措施來(lái)使損失降到最低．本文在現(xiàn)在有的檢測(cè)基礎(chǔ)上提出了一種新的檢測(cè)方法．我們通過在 P2P 骨干網(wǎng)的路由節(jié)點(diǎn)上部署 DDoS 檢測(cè)系統(tǒng)，在單點(diǎn)局部檢測(cè)的基礎(chǔ)上對(duì)檢測(cè)結(jié)果進(jìn)行信息融合，采用全局決策的方式來(lái)判斷是否產(chǎn)生了 DDoS 攻擊． 目前單點(diǎn)檢測(cè)存在的問題有準(zhǔn)確性不高，單點(diǎn)檢測(cè)閾值不好估算，計(jì)算量大，協(xié)同通信量大等問題，因此我們?cè)趩吸c(diǎn)檢測(cè)上基礎(chǔ)上修改了數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，采用了信息熵與子空間以及聚類算法的方式來(lái)提空檢測(cè)效率．本文的貢獻(xiàn)主要有: 突破傳統(tǒng)集中式單點(diǎn)檢測(cè)在分布式情況下的局限性，利用局部檢測(cè)節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并發(fā)現(xiàn)潛在的被攻擊目標(biāo)，再通過全網(wǎng)檢測(cè)節(jié)點(diǎn)信息的協(xié)同融合，實(shí)現(xiàn)在攻擊流量到達(dá)目標(biāo)之前發(fā)現(xiàn)攻擊行為的目的． 利用連續(xù)的概要矩陣存儲(chǔ)采集得到的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)報(bào)文的目的 IP地址信息進(jìn)行壓縮存儲(chǔ)，即便于數(shù)據(jù)分析，采用信息熵的理論對(duì)網(wǎng)絡(luò)流量的變化進(jìn)行統(tǒng)計(jì)，然后用子空間與聚類方法相結(jié)合的方式來(lái)來(lái)確認(rèn)可疑的網(wǎng)絡(luò)行為． 優(yōu)化了存儲(chǔ)空間，可以實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，提高了單點(diǎn)檢測(cè)的準(zhǔn)確性與及時(shí)性．通過對(duì)本文中分布式協(xié)同 DDoS 協(xié)同檢測(cè)系統(tǒng)的功能進(jìn)行模擬仿真測(cè)試表明本系統(tǒng)可以滿足檢測(cè)率和假陽(yáng)率的要求，與其它方案相比也具有很好的及時(shí)性與準(zhǔn)確性，能夠及時(shí)準(zhǔn)確的檢測(cè)到 DDoS 的攻擊．

2 相關(guān)研究

針對(duì) DDoS 攻擊流量的大幅度增加特點(diǎn)利用流量變化來(lái)檢測(cè) DDoS 是應(yīng)用最廣泛的方法． 由此可以將檢測(cè)策略分為基于正常流特征和異常流特征的檢測(cè)． 如文獻(xiàn)［4，5］提到的基于 IPv6 下對(duì)泛洪 DDoS 攻擊時(shí)發(fā)生時(shí)流量顯著變化的特點(diǎn)進(jìn)行檢測(cè)的方法．Jin［6］提出了一種利用協(xié)方差分析檢測(cè) SYN flooding 攻擊的方法，它是通過對(duì)單位時(shí)間內(nèi)不同的 TCP 報(bào)文累積量化計(jì)算協(xié)方差矩陣來(lái)得出其變化情況從而判斷是否發(fā)生了攻擊．此外，基于熵的攻擊檢測(cè)方式也越來(lái)越受到關(guān)注，如: 文獻(xiàn)［7］提到的基于小波理論與信息相結(jié)合的方式進(jìn)行 DDoS攻擊的檢測(cè)方法以及 文獻(xiàn)［8］提到的應(yīng)用滑動(dòng)窗口理論的目的 IP 熵計(jì)算方法來(lái)檢測(cè) DDoS 攻擊． 但是存在存儲(chǔ)空間大、只是單點(diǎn)檢測(cè)沒有多個(gè)節(jié)點(diǎn)協(xié)同檢測(cè)的缺點(diǎn)．由此可見，僅通過攻擊流特征或者正常流特征難以準(zhǔn)確識(shí)別 DDoS 攻擊． 根據(jù)現(xiàn)在檢測(cè)方法的不足，提出了基于 DHT技術(shù)的協(xié)同分布式拒絕服務(wù)攻擊檢測(cè)系統(tǒng)，攻擊檢測(cè)平臺(tái)的工作內(nèi)容主要著眼為: 單個(gè)檢測(cè)點(diǎn)和全局協(xié)同判斷． 單點(diǎn)檢測(cè)描述了如何收集和壓縮大量的網(wǎng)絡(luò)信息，并從中判斷出可疑行為． 全局檢測(cè)主要介紹在分布式網(wǎng)絡(luò)中運(yùn)行 DHT 技術(shù)貯存信息的優(yōu)勢(shì)，并解釋為了使用網(wǎng)絡(luò)中單個(gè)檢測(cè)節(jié)點(diǎn)協(xié)同工作，是如何運(yùn)用 DHT 技術(shù)進(jìn)行信息共享從而做出全局決策的． 本文著重介紹了基于熵的聚類算法來(lái)分析流量特征的單點(diǎn)檢測(cè)技術(shù)．3 熵聚類的單點(diǎn)檢測(cè)技術(shù)。