一種復合式DDoS攻擊檢測和防御模型的研究.pdf

1、近年來，分布式拒絕服務攻擊(DDoS，Distributed Denial of Service)嚴重影響著工nternet安全，給Internet的應用和發(fā)展帶來了極大危害。目前，網(wǎng)絡流量的自相似性、時間序列分析和工P包過濾等已經(jīng)成為DDoS攻擊檢測和防御中重要的策略和技術。但是，當這些策略和技術單獨使用時，DDoS攻擊檢測和防御效果并不十分理想。原因在于，網(wǎng)絡流量的自相似性和時間序列分析僅能檢測DDoS攻擊，檢測結果有延遲、誤報和漏

2、報現(xiàn)象，即使檢測到DDoS攻擊也不能防御。雖然IP包過濾技術能較好防御DDoS攻擊，但該技術中使用的數(shù)據(jù)量非常大，查詢和更新數(shù)據(jù)需要占用大量系統(tǒng)資源(如CPU和內(nèi)存等)，增加了系統(tǒng)開銷，且僅使用IP包過濾技術無法檢測DDoS攻擊。 首先，論文以網(wǎng)絡流量、TCP/IP協(xié)議為依據(jù)對DDoS攻擊進行了分類，并對兩種分類方法中的DDoS攻擊類型做了簡單的分析。此外，還分析了以網(wǎng)絡流量為分類依據(jù)的各DDoS攻擊類型的檢測和防御策略，并對這

3、些策略進行了比較。 然后，論文結合時間序列分析和IP包過濾技術的優(yōu)點，并對這兩種技術進行了改進，提出一種復合式的DDoS攻擊檢測和防御模型。模型中的檢測模塊以時間序列分析為基礎，定義了一個時間序列PDD(Port to Port Data Density)，用非參數(shù)檢驗法檢驗時間序列PDD的平穩(wěn)性特征。根據(jù)檢驗結果，論文使用在線分析能力較強、計算量較小的非平穩(wěn)時間序列AAR模型處理時間序列PDD。非參數(shù)CuSUM算法使用AAR模

4、型處理后的時間序列檢測DDoS攻擊，針對檢測結果中可能出現(xiàn)的誤報和漏報，論文提出了一種檢測修正算法，修正非參數(shù)CUSUM算法的檢測結果。模型中的防御模塊以改進后的動態(tài)IP包過濾技術為基礎防御DDoS攻擊，論文所使用的動態(tài)IP包過濾技術，在一定程度上解決了數(shù)據(jù)量大、查詢和更新數(shù)據(jù)占用系統(tǒng)資源較多等缺點。為了輔助動態(tài)IP包過濾技術防御DDoS攻擊，防御模塊中加入了DDoS攻擊(或網(wǎng)絡擁塞)預檢技術。此外，網(wǎng)絡噪聲對檢測結果會造成一定的影響，