第五章一种基于流量自相似的DDoS攻击检测.ppt

计算机入侵检测技术 一种基于流量自相似性的DDoS攻击检测方法 第五章 一种基于流量自相似性的DDoS攻击检测方法 第一节 引言 一、介绍 近年来对计算机网络的研究表明，无论是WAN还是LAN，网络中的业务流在几毫秒至几个小时甚至几天的时间段上，均表现出很强的突发性。而并不同于传统上基于泊松分布的业务流模型。 “自相似性”或者“分形”模型能更好的描述这种业务流特点。 二 本章内容 1、以自相似性模型作为网络业务流模型，对自相似性系数及其相关特性、各类自相似业务模型以及各种系数估计方法进行了研究； 2、通过实验验证了真实局域网业务流量具有严格的自相似性； 3、比较各种系数估计方法的性能和特点； 4、通过实验验证DDoS攻击对自相似性系数的影响； 5、并最终在实验数据和分析的基础上给出了DDoS攻击发生和结束的判定条件。 第二节 网络业务的自相似性 一、自相似性 定义5.1 自相似性（self-similarity）：指一个随机过程在各个时间规模上具有相同的统计特性。网络通信中的自相似性表现在一段较长时间里，单位时间内分组数的统计特性不随时间规模的变化而改变自相似过程具有很多特性，典型的特性包括： 第二节 网络业务的自相似性 1、长程相关LRD（Long-Range Dependence），自协方差函数不可加； 2、随着 时带来的方差的缓慢衰减； 3、重尾分布（Heavy-tailed Distributions），即 当 时，存在α0，使得 ； 4、自相似过程的功率谱密度函数S(w)在 且 时有 5、具有分形维度d。 第二节 网络业务的自相似性 定义5.2 分形：一个图形通过变比例（可能是x，y都变比 例，变比例的系数可能不同），与原图形相同（自相似），或是分数维。其中分数维是指同一形状图形的拷贝次数的 N.下图的分数维为 图5.1 N＝3时的分形情况 第二节 网络业务的自相似性 定义5.3 图形的自相似： 1、一个具有一定形状的图形， 通过变比例（对于宽、高使用同一放大因子）， 与原图形相同； 2、两者的概率特性相同。 第二节 网络业务的自相似性 二、自相似性系数计算的示例 下面给出一个通过网络流量计算系数的示例：图5.2为一个局域网中对两周网络流量进行的数据采样，样本均值为3.3789e+005、标准偏差为4.2389e+005。对左图中的取(6000-8000)间的点作为子样本，其均值为3.6231e+005、标准偏差为4.2189e+005，与总样本为同一数量级，但有细微的差别。对子样本变比例，对乘以，对乘以，得到5.2中的右图，使两者同概率特性。 第二节 网络业务的自相似性 图5.2 局域网中网络流量变化及其比例图 第二节 网络业务的自相似性 三、自相似性的统计描述 定义5.4 过程 被称为严格二阶自相似的，且具有自相似 系数 ，如果其阶聚集过程 具有与 原过程 X 同样的相关函数，即 对所 有 成立。 第二节 网络业务的自相似性 定义5.5 过程 X 被称为是渐近二阶自相似的，且具有自相 似系数 ，如果 及 第二节 网络业务的自相似性 尽管存在着大量具有自相似特性的随机模型，但通过与真实业务流量数据比较之后，目前主要有分形布朗运动和分形ARIMA过程，被认为适于作为突发业务建模的随机模型，而且它们都基于分形高斯噪声。 当 时，分形高斯噪声就是具有Hurst系数的严格二阶自相似过程，因其系数简单目前已成为自相似业务建模的主要工具。 第二节 网络业务的自相似性 四、网络业务的自相似性 自相似（Self-Similarity）模型是目前已知的流量 模型中，最能描述网络中数据流长程相关性的流 量模型。所谓数据流的自相似性，就是网络上的 数据流没有