一种基于统计的DDOS快速检测方法.docVIP

一种基于统计的?DDOS?快速检测方法 叶??叶 （泰州师范高等专科学校?网络中心，江苏?泰州?225300） 摘要：根据当前网络攻击的特点，该文提出了基于统计模型快速的?DDOS?网络流量异常检测方法，把实际采集的数据中获得的行为 模型与正常行为模型比较，从而检测出网络异常。 关键词：网络攻击；DDOS；网络异常；频度分析 中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2010)17-4824-02 A?Rambach?Medium?of?DDOS?Based?on?Statistics YE?Ye (Network?Center,?Taizhou?Normal?College,?Taizhou?225300,?China) Abstract:??According??to??the??characteristic??of??current??network??attack,??This??paper??presents??a??fast??statistical??model??based??on??network??traffic anomaly?detection?method?DDOS，The?actual?data?collected?in?the?behavioral?model?obtained?compared?with?the?normal?behavior?model， To?detect?network?anomalies. Key?words:?network?attack;?DDOS;?network?anomaly;?frequency?analysis 1??概述 根据?CNNIC?2009?年的互联网调查报告显示，截至?2008?年年底，中国已经拥有?2.98?亿网民，?互联网已经成为社会生活不可或 缺的重要组成部分[1]。??但伴随着互联网的开放性和应用系统的复杂性，互联网的安全却并不那么乐观。??同时根据国家计算机网络应 急技术处理协调中心(CNCERT/CC)?2010?年?3?月的调查报告显示，仅?3?月份，境内被木马控制的主机?IP?地址数目为?1.4?万个，环比 增长?22%；境内被僵尸网络控制的主机?IP?地址数目为?1.5?万个，环比增长?36%；境内被篡改政府网站数量为?125?个[2]。??黑客利用木 马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机，实施分布式拒绝服务攻击，尤其是对骨干网在内的整个互联网网络带 来严重的威胁。??针对目前互联网宏观网络安全需求，本文研究并提出一种基于统计模型快速的?DDOS?造成的网络流量异常检测方 法。 目前提出的自适应异常流量检测算法主要分为三类：基于数据挖掘的算法[3]，基于特征统计的算法[4]，基于机器学习的算法(贝叶 斯网络方法[5]、马尔可夫模型方法[6]、系统调用序列分析[7]等)。 在基于统计的?DDOS[8]检测算法中，其基本思想是首先通过?NetFlow?采样正常的互联网流量活动，从而获得正常行为的统计特 征，同时采样一个受到攻击的局域网的流量特征，根据不同的时段，各种协议流的统计波动情况，从而形成统计模型。??在后续的检测 分析中，把实时采集的数据中获得的行为模型与正常行为模型比较,?超过阈值便被 认定为异常的?DDOS?攻击事件。 目前采用的?DDOS?检测方法，基于统计模型的检测方法?，其优点是简单、易实 现、针对性强，但缺点也明显：1)准确性取决于对攻击行为的模型建立是否全面?；2) 工作量大，需要用户对每一种性能都手工设定一个阈值；3)自适应性不强，不能根据 网络状况、网络类型自动调整。 2??检测方法 1)?首先利用?NetFlow?将进行流信息的采集?，并且映射到向量空间中?，对正常、 受到攻击的网络建设统计模型。 NetFlow?是一种普遍的网络设备流统计协议，其采用流作为统计单位?，该协议 由?Cisco?公司开发。??NetFlow?的核心是对流（源?IP、目地?IP、来源?Port、目地?Port?和传 输协议?5?个属性构成一个流）的报文整合成一个流缓存进行组织、管理，最终可提 供遵循某种汇聚方法而得到流的统计数据，如图?1。 2)?建立正常、异常流量统计模型库。??遵从统计学中的随机原则，从总体数据中 抽取样本数据，根据其样本数据的分布特征判断是否发生了流量分布的变化，进而 确定网络中是否存在异常行为；??如果流量分布发生突变则分析当前各种网络行为 的发生频度，即网络行为连接次数。??关注其中发生频度较高的数据流，从中找到攻 图?1???NetFlow?检测，数据采集 图?2???流量采样  击源头；设??表示不同网络行为的流的个数，E?为流量分布的平均特征，