DDoS的全局檢測(cè)方法.pdf

1、DDoS攻擊有近10年的歷史，它以占用網(wǎng)絡(luò)帶寬，消耗主機(jī)資源從而使合法用戶(hù)不能得到正常服務(wù)而聞名。許多知名的網(wǎng)站曾經(jīng)遭受過(guò)它的攻擊，據(jù)統(tǒng)計(jì)全球13個(gè)根服務(wù)器都曾經(jīng)多次遭受它的攻擊。但是目前對(duì)于DDoS的檢測(cè)仍然沒(méi)有非常好的辦法。在受害者網(wǎng)絡(luò)中有利于檢測(cè)卻不利于攻擊的防御和數(shù)據(jù)包過(guò)濾；攻擊者網(wǎng)絡(luò)有利于過(guò)濾和防御，但是檢測(cè)比較困難。目前認(rèn)為分布式防御機(jī)制是一種較好的DDoS防御方法，但現(xiàn)有的方法主要是針對(duì)局部網(wǎng)絡(luò)或者是單條鏈路，檢測(cè)精度不高

2、，對(duì)后期的防御作用較小。本文針對(duì)目前分布式防御機(jī)制存在的問(wèn)題，研究DDoS的全局檢測(cè)方法和技術(shù)，取得了如下研究成果和進(jìn)展。 與傳統(tǒng)的檢測(cè)方式不同，我們將流量矩陣作為檢測(cè)對(duì)象，研究利用攻擊流之間在時(shí)間域的相關(guān)特性進(jìn)行檢測(cè)。由于攻擊流和正常背景流本身都存在較強(qiáng)的相關(guān)特性，因此不能直接分析流量矩陣的相關(guān)性來(lái)檢測(cè)攻擊。我們首先利用PCA變換將高維的流量矩陣分解為正?？臻g和異?？臻g，去除背景流量的相關(guān)性，然后分析異?？臻g的相關(guān)性從而檢測(cè)攻

3、擊。仿真實(shí)驗(yàn)證明該方法能有效檢測(cè)DDoS攻擊。 時(shí)間域檢測(cè)要求有比較大的攻擊流，同時(shí)研究表明DDoS異常流量信號(hào)的頻率域特征與正常流量有較大區(qū)別，因此我們將流量信號(hào)檢測(cè)域從時(shí)域轉(zhuǎn)換到頻域。異常流量與背景流量在不同頻帶的能量是不相同，異常流量的能量在總能量中所占比例越高，異常檢測(cè)就越容易?；陬l域的檢測(cè)將異?？臻g變換到瞬頻域，通過(guò)計(jì)算瞬時(shí)頻率的相關(guān)特性檢測(cè)攻擊。在獲得了異?？臻g數(shù)據(jù)后，首先用希爾波特變換計(jì)算異?？臻g的解析信號(hào)，通過(guò)

4、滑動(dòng)時(shí)窗由解析信號(hào)計(jì)算瞬時(shí)頻率。仿真表明該方法對(duì)于噪聲信號(hào)檢測(cè)效果明顯，同時(shí)對(duì)于規(guī)則信號(hào)也具有比較好的檢測(cè)效果。 好的檢測(cè)方法還需要好的防御機(jī)制相配合。針對(duì)本文的全局檢測(cè)方法，提出了一種新的分布式全局防御體系，該體系構(gòu)建在本地和全局雙層檢測(cè)基礎(chǔ)之上。本地節(jié)點(diǎn)采集鏈路流數(shù)據(jù)，在進(jìn)行本地檢測(cè)的同時(shí)向中心節(jié)點(diǎn)傳輸鏈路數(shù)據(jù)和路由信息，用于中心節(jié)點(diǎn)實(shí)施全局檢測(cè)。一旦本地節(jié)點(diǎn)檢測(cè)到可疑流量，即通知中心節(jié)點(diǎn)發(fā)起全局檢測(cè)。為使攻擊檢測(cè)能實(shí)時(shí)可靠