指數(shù)平滑變動點偵測算法在偵測SYN洪泛攻擊中的應(yīng)用.pdf

1、大規(guī)模的計算機(jī)網(wǎng)絡(luò)攻擊，在其最后階段通過觀測網(wǎng)絡(luò)流量的突增可以很容易地確定的。然而，在攻擊早期這些變化是很難察并且難以和正常流量的波動加以區(qū)分。SYN洪泛攻擊的理論基礎(chǔ)是TCP三次握手機(jī)制以及其設(shè)計缺陷，同時根據(jù)對TCP相關(guān)理論進(jìn)行分析，在正常的TCP三次握手過程中發(fā)出的SYN請求報文的通常會在一個往返時間內(nèi)引發(fā)一個相應(yīng)的應(yīng)答報文，以及一個正常的關(guān)閉TCP連接的過程需要一個FIN報文。根據(jù)這一TCP內(nèi)在協(xié)議行為特征，可以對處于不同IP欺

2、騙類型的SYN洪泛攻擊的下SYN-FIN報文對以及SYN-SYN/ACK報文對構(gòu)建偵測序列，通過相應(yīng)的算法分析發(fā)現(xiàn)其內(nèi)在異常行為。
　　 本文采用一種新的SYN洪泛攻擊偵測機(jī)制SFDS，該機(jī)制通過監(jiān)控進(jìn)入網(wǎng)絡(luò)的TCP業(yè)務(wù)的SYN報文、SYN/ACK報文以及FIN報文的均衡性，并使用指數(shù)平滑變動點偵測算方法對其均衡性變化進(jìn)行偵測。由于網(wǎng)絡(luò)包數(shù)量具有在一定時間內(nèi)成幾何級增長并達(dá)到峰值的特性，SFDS采用計數(shù)式布魯姆過濾器作為SYN-