基于網(wǎng)絡(luò)連接特征的DDoS檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)是由拒絕服務(wù)(Denial of Service,DoS)發(fā)展而來(lái)的一種攻擊手段,通過耗盡網(wǎng)絡(luò)和服務(wù)資源的方式,達(dá)到阻礙正常用戶使用服務(wù)的目的。DDoS攻擊具有突發(fā)流量大、攻擊強(qiáng)度高、持續(xù)時(shí)間短等特點(diǎn),這些特點(diǎn)要求檢測(cè)方法能快速有效地檢測(cè)出攻擊,然而傳統(tǒng)的入侵檢測(cè)技術(shù)面對(duì)DDoS攻擊顯得無(wú)能為力。本文旨在尋求一種快速、高效的檢測(cè)方法,以最大限度保護(hù)網(wǎng)絡(luò)

2、和服務(wù)器安全。
　　 首先,本文從網(wǎng)絡(luò)傳輸數(shù)據(jù)包的角度出發(fā),分析網(wǎng)絡(luò)在遭受DDoS攻擊時(shí)數(shù)據(jù)包與網(wǎng)絡(luò)連接之間的關(guān)系。當(dāng)發(fā)生DDoS攻擊時(shí),被攻擊網(wǎng)絡(luò)中存在大量與服務(wù)器無(wú)法建立正常通信的數(shù)據(jù)包--單邊連接包,單邊連接密度能直觀地體現(xiàn)當(dāng)前網(wǎng)絡(luò)中單邊連接包的量。論文采用更新丟棄法計(jì)算單邊連接密度,提高了計(jì)算實(shí)時(shí)性,為降低檢測(cè)時(shí)間奠定了基礎(chǔ)。
　　 其次,采用非參數(shù)CUSUM算法提高檢測(cè)準(zhǔn)確性,同時(shí)改進(jìn)了用于產(chǎn)生負(fù)均值序列的偏移

3、參數(shù)設(shè)置方法,使該參數(shù)能隨著單邊連接密度序列均值的變化而自動(dòng)設(shè)置,增強(qiáng)了非參數(shù)CUSUM算法的自適應(yīng)性。在報(bào)警響應(yīng)部分中,一是引入報(bào)警可信度評(píng)估,實(shí)時(shí)地評(píng)估報(bào)警可信度以供管理員參考；二是增加報(bào)警監(jiān)控,根據(jù)原始單邊連接密度序列值的變化決定何時(shí)解除報(bào)警,實(shí)現(xiàn)了減少報(bào)警資源,反饋攻擊抑制的效果。
　　 最后,設(shè)計(jì)了檢測(cè)系統(tǒng)構(gòu)架,詳細(xì)分析了各個(gè)模塊的功能和實(shí)現(xiàn)技術(shù)。在Linux環(huán)境下實(shí)現(xiàn)該檢測(cè)系統(tǒng),并用實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了檢測(cè)特征和檢測(cè)算法的