一种基于主动探测机制的SYN Flooding攻击检测方法.pdfVIP

第 37卷 第 3期 ’ 计 算 机 科 学 Vo1．37NO．3 2010年 3月 Computer Science M ar2010 一 种基于主动探测机制的SYNFlooding攻击检测方法 李海伟 张大方。 刘 俊 杨晓波 (湖南大学计算机与通信学院 长沙 410082) (湖南大学软件学院 长沙410082)。 摘 要 SYNFlood给网络正常运行带来极大危害，而已有广泛研 究的基于流量 自相似性的检测方式对这种小包攻 击可能会失效。通过对DAG卡捕获高精度流量样本进行分析，提 出一种基于主动探测机制的SYN攻击检测方法。 该方法将包对测量背景流量技术应用于异常流量检测中，用夹入背景流长度变化来检测攻击。实验表明，该算法对 SYN攻击检测率可达88％。这种基于端到端的检测方法，具有 良好的灵活性和可控制性等优点。 关键词 SYNFlooding攻击，自相似性，异常检测，包对 ‘ 中图法分类号 TP393．08 文献标识码 A ActiveDetectingM ethodagainstSYN FloodingAttacks LIHai-wei ZHANGDa—fange LIU Jun YANG Xiao-bo (DepartmentofComputerScience，HunanUniversity，Changsha410082，China) (DepartmentofComputerSoftware，t-IunanUniversity，Changsha4]0082，China) Abstract SYN Floodbringsgreatdangertothenormalnetworkoperation．Manyresearchstudiesdetecttheattackby analyzingtheselbsimilarityofnetworktraffic．However，themethodmaybeineffectivetoSYN Flood．Byanalyzingthe high-precisiontraceswhicharecapturedbyDAG cards，weproposedanew SYN Flooddetectionmechanism basedon theactivedetection．Itbringsthetechnologyofpacket—pairtoabnormaltrafficdetectionthatdetectsSYN Flood，acco~ dingtothebaekgroundflow lengthchange．Themethodhasa88％ SYN attackdetectionratefrom experimentalre— suits．Thismethodisbasedonend-to-endtechnologywhichhasbetterflexibilityandcontrollability． Keywords SYN floodingattack，Self-similarity，Abnomr aldetection，Packetpair 出在发生Flood攻击时，H值会明显减小。文献E8]指出在发 1 引言 生Flood攻击时 H值发生显著改变 ，可用改变量大小来判断 分布式拒绝服务 (DDoS)攻击是一种通常难 以防范的攻 攻击，但变化方向不能确定。然而通过对大量DAG卡口3]捕 击手段。DDoS通过非法请求 占用大量网络资源，给网络的 捉高精度流量样本进行分析表明，在发生 SYN攻击时，由于 正常运行带来极大危害l1]