一种DDoS攻击的特征检测与算法.docVIP

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
一种DDoS攻击的特征检测与算法.doc

一种DDoS攻击的特征检测与算法   【摘 要】分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法,无法适用于分布式拒绝服务攻击的检测。文章介绍了一种DDos检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。   【关键词】拒绝服务攻击;攻击检测;网络安全   0.引言   拒绝服务攻击(Deny of Service,DoS)曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚马逊等)陷入瘫痪长达数小时甚至数天,造成了巨大的经济损失。 拒绝服务攻击非常容易发起,并不像其它攻击一样需要有一定技术基础。   拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石,它是按照在开放和彼此信任的群体中使用来设计的,在实现上力求效率,而没有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实现,并且只能在终端结点实施控制,这就使得大量报文可以不受约束地到达终端结点;路由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IP Spoofing)容易实施,DoS攻击正是利用这个弱点,使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。   传统的拒绝服务攻击从一个攻击源攻击一个目标,可以很容易地根据流量来识别[2]。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式拒绝服务攻击(Distributed Deny of Service,DDoS)。DDoS呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法,使得DDoS的攻击特征难以提取,攻击源的位置难以确定。本文将介绍一种可以有效识别DDoS攻击的算法,这种算法通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。   1.DDoS攻击检测技术   1.1 DDoS攻击特征的表示   收集每个时间片△n(n=1,2,3,…)内到达目标系统的IP地址,时间片大小相同,即△1=△2=…=△n。时间片的长短直接影响检测的灵敏度,时间片选择的越短,检测的灵敏度越高,但是计算的负荷也越高,因此,如何选择△n应有一个权衡的考虑。   设定Tn表示时间片△n(n=1,2,3,…)内出现的所有IP地址的集合,Dn表示时间片△n结束时刻白名单中的所有IP地址的集合。那么,Tn-Tn∩Dn就表示△n内新出现IP地址的数量,显然Tn-Tn∩Dn的大小与△n大小相关。为此,选择Xn=■用于表示不同时间片△n内新出现IP地址数量变化函数,即Xn表示时间片△n内新IP地址占IP地址总数的比值,这样Xn的值就不会受到△n大小的影响。   显然Xn(n=1,2,3,…)是一个随机序列。正常状况下(包括高峰流量状况下)Xn是一个轻微抖动的序列,当发生分布式拒绝服务攻击时,由于出现大量新IP地址,会引起Xn剧烈抖动(图1)。   图1 Xn在m时刻出现剧烈抖动   给定随机序列X■,假设在m时刻发生了DDoS攻击,则X■会呈现图3所示的趋势,即Xn在m时刻会陡然上升,X■的期望值会从α上升到α+h。由此,随机序列X■可以表示为:   Xn=α+?孜nI(nm)+(hηn)I(n≥m),其中:   ?孜=?孜n■■,η=ηn■■,并且E(?孜n)=E(ηn)=0,h≠0,?孜,η即都是期望值为0的随机序列,I(x)是指示函数,即当x为真时I(x)等于1,否则等于0。   在网络正常状况下,当nm时,E(Xn)=E(α+?孜n)=α1,即正常状况下新出现IP地址所占的比例极小。   为此,令Zn=Xn-β,a=α-β0   则Zn表示为:Zn=a+?孜nI(nm)+(hηn)I(n≥m)   这样,Zn就符合了要求。   图2 Zn序列的抖动   令yn=Sn-■Sk,其中Sk=∑■■Zi,S0=0   为了计算方便,yn的递归表达式为:yn=(yn-1+Zn)+,y0=0   其中函数y=x+=x,x00,x≤0   yn可以明显反映出X■的变化情况(图4),在m时刻yn呈现上升趋势。因此,可以设定阈值N,当yn大于N时,就可认为发生了DDoS攻击。   2.结束语   本文探讨了拒绝服务攻击中最为难以防护的DDoS攻击的特征及检测算法,通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。   【参考文献】   [1]Jelena Mirkovic, Janice Martin and Peter Reiher.A Taxonomy of DDoS attacks and DDoS defense Mechanisms[EB/OL]. http:///dd

文档评论(0)

yingzhiguo + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:5243141323000000

1亿VIP精品文档

相关文档