面向服务架构拒绝服务攻击检测方法研究.docVIP

面向服务架构拒绝服务攻击检测方法研究 　　摘要：分布式拒绝服务攻击是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式，它对网络和网络服务的可用性构成极大的威胁。因此，针对DDoS的攻击检测是整个安全防范体系的重要一环。本文通过引用基于流特征条件熵的检测方法。针对DDoS攻击分布式的攻击模式及“多对一”的攻击特点，应用流特征条件熵的概念，验证了条件熵检测方法在SOA架构下的网络系统针对DDoS的攻击的检测同样可行。 　　关键词：SOA架构 DDoS 条件熵 　　中图分类号：TP311.52 文献标识码：A 文章编号：1007-9416（2015）10-0000-00 　　近年来，分布式拒绝服务攻击（DDoS）已经成为当今网络安全领域面临的巨大威胁并在世界各国引起了高度的重视。分布式拒绝服务攻击（DDoS）以容易实施、难以防范、难以追踪等特点已经成为当前最常见的网络攻击技术，极大的影响了网络和业务主机系统提供有效的服务。随着DDoS攻击对于网络安全性所产生的威胁越来越大，针对DDoS所产生的异常行为检测技术也在不断发展。 　　异常行为检测技术是一种新型的网络安全技术，它通过监视分析用户及受保护系统的活动，检测系统配置的正确性和安全漏洞，对异常行为模式的统计分析，为防范产生异常行为提供有效的手段。异常行为检测是指从收集的主机审计数据或是网络数据中发现异常行为的技术。本文所介绍的基于SOA架构下的网络系统异常行为检测方法主要针对当今比较流行的DDoS攻击方式，该检测方法是非常有价值和必要的。随着互联网的发展，全世界的各个方面正在迅速地融合为一体，每个国家都犹如一部巨大的网络机器。SOA已在生活的各个领域中迅速普及，飞速发展。众多的企业、组织、政府部门与机构都在组建和发展自己的SOA网络系统，并连接到Internet上，以充分共享和利用网络的信息和资源，以获取更多资源信息给工作和生活带来便利。随着网络的发展，也产生了各种各样的问题，其中SOA架构下的安全问题尤为突出。现代社会对计算机网络系统下SOA架构的严重依赖使得我们必须确保计算机和网络系统的安全。网络与人们的工作和生活结合得越来越紧密，网络安全问题也应该受到了更多的关注。 　　1相关理论研究 　　1.1 SOA架构的理论研究 　　通常情况，SOA属于一类架构模型。它能够按照要求，通过网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。服务层是整个SOA的根基，服务可以被非间接性调用。通过这种方式，SOA有效控制了系统中与软件代理交互的人为依赖性。SOA架构下的网络系统增强了快速响应、分布式协同、服务重用等特性，但是也承担了由服务公开带来的一系列管理、安全方面的风险，尤其是在信息交互过程中，已经成为SOA架构下服务系统快速发展的瓶颈和障碍。因此研究SOA架构下网络系统产生的异常行为的检测方法，针对SOA的检测机制，提供可靠的安全信息交互环境和规范体制对于SOA架构下网络系统的信息化建设具有十分重要的意义。 　　1.2异常行为检测方法的研究 　　流特征条件熵[1]：信息熵是信息论中对随机变量不确定性的一种度量，而条件熵表示在已知第2个随机变量X的条件下，随机变量Y的不确定程度。本文使用条件熵公式来描述 DDoS 的多对一特点。 　　令sip，dip分别表示源地址、目的地址这2个报文头属性，使用H（sip|dip），这个条件熵来表征DDoS的多对一映射的特点。这个条件熵所组成的向量称为流特征条件熵。计算方法如下：对网络流进行采样，设一个采样周期内到达的报文总数为S，报文中不同的源地址集合为 ，不同的目的地址集合为 。定义M维矩阵 表示目的IP地址为 的报文个数；定义N×M维的矩阵 表示源地址为 、目的地址为 的报文个数，则由公式（2）可以得到： 　　2基于SOA架构下DDoS产生的异常行为的条件熵检测研究 　　正常环境网络系统下的DDoS攻击的条件熵检测，正常网络环境下，假设被攻击主机的 地址为 。攻击者采用的源地址越多，在目的地址为 的报文集合中，源地址的分布就越分散， 就越大。因此，条件熵能够描DDoS攻击多对一映射的特点。条件熵也能够反映正常网络系统下的DDoS攻击流量的增长。 　　当在SOA架构下的网络系统时，传统的DDoS的条件熵检测方法能否满足新的环境下对于异常行为的检测还不得而知。这也是我们需要研究和解决的关键问题。SOA架构下的网络系统，当发生DDoS攻击时，同样存在着多对一的映射关系，多台计算机向同一台靶机上发布或者传输其他攻击信息，消耗并占用其内存和CPU的资源，使其达到拒绝服务的效果。本文对SOA架构下的网络系统进行条件熵检测方法的研究，来判断其是否能够对异常行为进行有效的检测，分析并验证该方法的有效性。 　　3仿真