基于网络输入流异常检测方法防止DOS攻击实现.docVIP

基于网络输入流异常检测方法防止DOS攻击实现 　　摘要：随着现代科技的发展，计算机已被广泛应用到各个领域，人们已经逐渐日益依赖计算机而工作，与此同时计算机的安全也在科技进步面临着巨大挑战，网络攻击已经对现代办公自动化造成了很大的威胁，所以信息安全已经破在眉睫，本文通过DOS 攻击的原理进行了分析和研究，讲述了几种常见的DOS攻击方法，并通过DOS的输入流、和输流的数量对DOS攻击进行检测，判断是否受到DOS攻击，从而保护我们的信息安全。 　　关键词：DOS攻击、输入流、输出流、数据包、维数 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)06-11521-03 　　随着计算机和通信技术的飞速发展，人们已经越来越依赖计算机进行办公和通信，计算机技术也得到了飞速的发展，但与此同时黑客也在不断的向正常通信的网络发起攻击，给网络造成了很大的损失，其中就有利用DOS攻击和DDOS攻击对网络攻击。因此加强网络安全、防止DOS攻击十分重要。 　　 　　1 DOS攻击原理 　　DOS(Deny of Service)攻击又称为拒绝服务攻击，意思是服务器被动地拒绝为合法用户进行服务。它会使网络服务器在短时间内充满大量要求处理和回复的数据包，占用和消耗网络和系统的资源，使服务器增加负重，从而导致网络服务停止或者网络堵塞。现在又出现了DOS攻击的变种――DDOS (Distributed Deny of Service)分布式拒绝服务攻击。这种攻击主要是利用网络上一些机器的漏洞，先攻占这些机器，成为攻击者的受控主机，为攻击者服务。再由这些受控主机去控制大量的主机，将这些主机变成攻击的前沿，形成了分布式的客户机/服务器结构。如果被控制的主机达到一定的数量时，在攻击者的控制下，就能够同时向被攻击主机发送大量的数据包，使网络负载最终导致网络瘫痪，这样系统就不能为合法用户提供服务。 　　 　　2 DOS的攻击方法 　　DOS和DDOS攻击的方法很多。有Land Attack、Syn Flood、ICMP Flood等，下面分析一下常用的DOS攻击方法： 　　2.1使用TCP协议中的SYN字段的攻击 　　TCP协议中有一个SYN位是用来建立连接的。在连接请求中，SYN=1，ACK=0，表示捎带确认字段无效。连接响应数据段应带有确认，因此SYN=1，ACK=1。可以通过设定SYN标志，构造并发送一个源地址和目的地址一样的假数据包给网络主机系统，最终使主机资源耗尽网络瘫痪。具体方法是先设定TCP数据包为SYN flag的方式，然后封装一个源地址源端口和目的地址，目的端口一样的数据包，这个地址就是想要攻击的主机IP地址，端口是任何主机开放的端口。由于源地址和目的地址一样，所以主机就会不断循环向此地址发送确认数据包，使系统的速度变慢，直至主机资源耗尽。 　　2.2使用RIP协议的攻击 　　RIP(Routing informationprotocols)是应用最广泛的路由选择协议，采用RIP协议的路由器会维护一张向量表，表示给出了到每个目的地已知的最佳距离和路线，所以每个路由器会定时广播本地路由表到邻接的路由器，以刷新路由信，通常站点接收到新路由时直接采纳，这就使得攻击者有机可乘，如利用某空闲的工作站地址伪造新的路由信息，说明通过路由器A可以很快到达路由器B，诱使很多原来发往B路由器的数据包从A路由器进行中转，从而使A路由器的流量聚增，最终直接导致“拒绝服务”的效果。 　　2.3使用ICMP协议的攻击 　　网络控制报文协议ICMP是TCP／IP协议中最基本的网络管理工具，允许主机或路由器向其它的路由器或主机发送差错或控制报文。在Internet上有很多网络监视工具可以检测到网上的IP包，过滤进入防火墙的数据包，但是由于ICMP数据包的特殊性，ICMP数据包一般由操作系统内部处理，绝大多数监视工具不解析ICMP类型字段，这样ICMP数据包往往能接通过防火墙，达到攻击的目的。例如：攻击者可以利用ICMP重定向报文，诱使其它站点更改路由。攻击者还可以利用ICMP目的站点不可到达。数据包超时报文，向某个TCP连接发送假报文，使服务方拒绝对某个用户进程提供服务。 　　综上所述，DOS攻击的原理就是不端的向目的主机发送垃圾数据包。从而导致了正常数据包的交换，阻塞了网络通道。我们可以通过检测一段时间内的数据包的流量来判定是否为DOS攻击。 　　 　　3 当前常用的网络输入流的异常检测方法。 　　在一段时间内，局域网（广域网）内的网络数据传输过程具有一定的规律性，在正常和异常情况下往往表现出不同的特征，可以网络数据传输的信息流量差异判断判断是否是网络攻击。通常的异常检测包括基于统计的 (马尔可夫过程，隐马尔可