基于用戶流量行為的DDoS攻擊檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、近年來(lái)，頻發(fā)的分布式拒絕服務(wù)式攻擊(Distributed Denial of Service，DDoS)對(duì)互聯(lián)網(wǎng)的安全性，穩(wěn)定性造成了巨大的危害，且已經(jīng)成為各國(guó)電信運(yùn)營(yíng)商，大型互聯(lián)網(wǎng)公司的首要安全威脅。并且，DDoS攻擊也給人們的生活，學(xué)習(xí)，工作和財(cái)產(chǎn)安全帶來(lái)了巨大影響。因此，有關(guān)檢測(cè)和防御DDoS攻擊的相關(guān)研發(fā)工作具有十分顯著的現(xiàn)實(shí)意義和社會(huì)價(jià)值。
　　 目前，統(tǒng)計(jì)數(shù)據(jù)顯示洪流攻擊已成為DDoS攻擊的主要形式，其主要包括IC

2、MP洪流攻擊，UDP洪流攻擊和SYN洪流攻擊。洪流攻擊是一類利用IP、UDP、TCP協(xié)議漏洞，通過(guò)發(fā)送虛假數(shù)據(jù)包來(lái)消耗受害主機(jī)的系統(tǒng)資源，降低受害網(wǎng)絡(luò)的帶寬，使合法用戶無(wú)法獲得正常網(wǎng)絡(luò)服務(wù)的DDoS攻擊。針對(duì)這類典型的DDoS攻擊形式，如何快速檢測(cè)和識(shí)別攻擊者，正常用戶和受害者是攻擊檢測(cè)的首要任務(wù)。
　　 針對(duì)傳統(tǒng)的CUSUM算法無(wú)法準(zhǔn)確識(shí)別攻擊源和受害者的缺點(diǎn)，基于ICMP，TCP和UDP協(xié)議行為所固有的時(shí)間同步性，本文得出不

3、同用戶流量行為的數(shù)學(xué)模型，并設(shè)計(jì)出了無(wú)參數(shù)Ⅰ-CUSUM算法。在此理論基礎(chǔ)上，本文設(shè)計(jì)實(shí)現(xiàn)了一種在線檢測(cè)用戶安全類型的DDoS攻擊檢測(cè)系統(tǒng)。本系統(tǒng)的貢獻(xiàn)在于通過(guò)檢測(cè)用戶流量行為，并利用無(wú)參數(shù)Ⅰ-CUSUM算法來(lái)識(shí)別攻擊者，受害者和正常用戶。
　　 最后，在真實(shí)的測(cè)試環(huán)境中，各種DDoS攻擊模式的測(cè)試結(jié)果顯示本系統(tǒng)實(shí)現(xiàn)了相應(yīng)的設(shè)計(jì)功能，滿足入侵檢測(cè)系統(tǒng)的穩(wěn)定性要求，適合于監(jiān)控和檢測(cè)中小型網(wǎng)絡(luò)。同時(shí)，通過(guò)與Snort入侵檢測(cè)系統(tǒng)的性