基于特征参数相关性的DDoS攻击检测算法.pdfVIP

34 2010，31(1) 计算机工程与设计 ComputerEngineeringandDesign ·信息安全技术 · 基于特征参数相关性的DDoS攻击检测算法 冯 江 ， 刘 渊 (江南大学 信息工程学院，江苏 无锡 214122) 摘 要：针对传统方法难以实时有效地检测分布式拒绝服务攻击 (DDoS)的问题，通过DDoS攻击的基本特征分析，从理论上 严格区分了DDoS攻击流和正常突发流，并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法。该算法能 在早期检测出DDoS攻击流，而这时的DDoS攻击包特征并不明显，并且该算法能有效地区分DDoS攻击流和正常的突发流。 实验结果表明了该算法的有效性和精确性。 关键词：分布式拒绝服务攻击；特征参数；攻击流； 突发流；相关性 中图法分类号：TP393 文献标识码：A 文章编号：1000．7024(2OLO)O1．0034—03 DDoSattackdetectingalgorithm basedOnrelationofcharacteristicparameters FENGJiang， LIU Yuall (SchoolofInformationandEngineering，SouthernYangtzeUniversity,Wuxi214122，China) Abstract：AstraditionalmethodscannoteffectivelydetectDDoSattacksintime，DDoSaRac~ngtrafficisdistinguishedfrom normal flashcrowdtrafficonhteorybynaalyzingthebasicfeaturesofaDDoSnadaDDoSattackdetectingalgorithm basedonthatisproposed accordingtothenaalysisoftheessentialcharacteristicofDDoS．TheschemedetectaDDoSattacktrafficinitsearlystageswhenthe attackingpacket’Sattributevaluehasnodistinctfeatures．ItcalldifferentiateDDoSrfomnomr alburstrtaffic．Th esimulationshowsthe algorithm’Svalidityandaccuracy． Keywords：DDoS；characteristicparameters；attacktraffic；bursttraffic；correlation 前很多入侵检测系统(IDE)都是通过计算一些特征(例如特殊 O 引 言 的端 口，标记位 ，数据 内容)的统计特性来检测攻击的。 分布式拒绝服务(DDoS)攻击是 目前严重威胁 网络安全和 最早的DDoS前期检测算法 由提出Floyd，S．，JacobsonV 影响网站服务质量 的一种攻击手段 DDos攻击就是利用多个 Random。。这篇论文提出了一种基于包标记的随机早期检测 分布式攻击源 向攻击对象发送超出攻击 目标处理能力的海量 算法(RED)，之后提出了很多包特征分析和流量统计特性分析 数据包 ，来消耗可用系统和带宽资源 ，从而导致 网络服务瘫痪 的算法 。文献 4【5】通过某种流量的特征值 的变化范围来过滤 的一种攻击 “。目前有很多方法检测和防御DDoS攻击，然而 DDoS攻击包，文献 6【．8】提出了一种包的计分方法，该算法集 没有一种有效的办法区分DDoS攻击流和正常的突发流，因 中检测晚些时候出现某种和早期同样的攻击流。所有这些算 此 ，检测和防御DDoS攻击仍 旧是一个艰 巨的课题 。而区分 法都是基于某种特别的签名和标记来检测攻击包的，然而这 DDoS攻击流和正