一種DDOS攻擊復(fù)合式檢測方法的研究.pdf

1、近年來，分布式拒絕服務(wù)攻擊(DDoS，Distributed Denial of Service)嚴(yán)重影響著Internet安全，給Internet的應(yīng)用和發(fā)展帶來了極大危害。目前，網(wǎng)絡(luò)流量的自相似性、時間序列分析等已經(jīng)成為DDoS攻擊檢測中重要的策略和技術(shù)。但是，當(dāng)這些策略和技術(shù)單獨使用時，DDoS攻擊檢測效果并不十分理想。 本文在系統(tǒng)地介紹了DDoS攻擊的基本原理、攻擊類型和攻擊特點，詳細(xì)研究了DDoS攻擊的發(fā)生對于網(wǎng)絡(luò)流量

2、的請求包的連接密度和網(wǎng)絡(luò)流量的重尾特性的影響后，提出了一種DDoS攻擊復(fù)合式檢測方法。 首先，用于直觀反映網(wǎng)絡(luò)流異常的單邊連接密度(OWCD)概念被引入并用于識別DDOS攻擊，同時對正常流流量和攻擊流量的OWCD時間序列的進(jìn)行了分析，揭示了OWCD序列的性質(zhì)，對正常流量和攻擊流量的OWCD時間序列的均值、方差、自相關(guān)系數(shù)、功率譜密度四個屬性進(jìn)行分析，通過這四個屬性值綜合對流量異常與否進(jìn)行判別，這樣便可準(zhǔn)確判定出穩(wěn)定的正常流量和泛

3、洪DDoS攻擊流量，但還有一部分流有待進(jìn)一步確定。 然后，如果未確定流的四個屬性值符合RoQ(Reduce of Quality)攻擊特性，網(wǎng)絡(luò)有可能發(fā)生RoQ攻擊也有可能是正常的突發(fā)流量，因為突發(fā)流量OWCD序列的屬性特征跟RoQ攻擊的相類似，單獨應(yīng)用OWCD序列的屬性特征不能區(qū)分它們，根據(jù)網(wǎng)絡(luò)流量具有重尾特性，而RoQ攻擊流量不能體現(xiàn)網(wǎng)絡(luò)流量的重尾特性這一性質(zhì)來對流量進(jìn)行進(jìn)一步的研究分析，通過重尾參數(shù)的值來判斷網(wǎng)絡(luò)流量是否符