基于Bloom Filter的SYN Flood檢測方法的研究.pdf

1、隨著網(wǎng)絡技術的迅猛發(fā)展，網(wǎng)絡逐漸深入到生活和工作的各個方面，隨之而來的網(wǎng)絡安全問題日益嚴峻。黑客攻擊屢見不鮮，分布式拒絕服務攻擊DDoS是黑客慣用的一種方便有效的攻擊手段，是互聯(lián)網(wǎng)中最具破壞力的攻擊方式之一。據(jù)統(tǒng)計，90％以上的DDoS攻擊使用TCP協(xié)議，而其中的SYNFlood正是利用TCP協(xié)議的漏洞對目標服務器進行攻擊，消耗服務器資源，是最為常見的一種DDoS攻擊方式。因此討論如何有效檢測出SYNFlood的發(fā)生，降低SYNFloo

2、d攻擊帶來的破壞，對保護互聯(lián)網(wǎng)安全具有現(xiàn)實意義。
　　 本文首先對現(xiàn)有的SYNFlood檢測和防御方法進行深入研究，并對攻擊原理進行分析。通過分析得知，網(wǎng)絡擁塞和SYNFlood攻擊發(fā)生時最主要的區(qū)別就是源ip地址是否曾經(jīng)出現(xiàn)過，并結合當前攻擊包的特點，提出了基于BloomFilter的SYNFlood檢測方法。
　　 本文主要使用兩個結構完全一致的計數(shù)式Bloom Filter數(shù)據(jù)結構，分別統(tǒng)計進入網(wǎng)絡端口的偽造源ip

3、地址出現(xiàn)的總次數(shù)，以及已成功建立TCP連接的真實源ip的歷史信息，因此能很好的區(qū)分網(wǎng)絡擁塞和攻擊流量。首先通過基于BloomFilter的信息提取算法得到初始統(tǒng)計序列；經(jīng)由平滑處理之后結合自適應的偏移常數(shù)，獲得合法的統(tǒng)計序列作為非參數(shù)CUSUM的輸入；由非參數(shù)CUSUM算法判斷輸入的統(tǒng)計序列是否保持一致，而CUSUM判斷閾值是根據(jù)網(wǎng)絡正常流量自適應的變化，這樣能更好的減少漏判和誤判發(fā)生的概率，提高檢測效率；MULTOPS能在發(fā)現(xiàn)攻擊的同