ddos攻击流及其源端网络自适检测算法的研究-通信与信息系统专业毕业论文.docx

根据检测结果自动调整检测门限，增强了算法对网络流量状况的自适应性。(iii)采 根据检测结果自动调整检测门限，增强了算法对网络流量状况的自适应性。(iii)采 用连续累计检测法降低突发网络异常对检测性能的干扰。针对SYN洪流攻击和 UDP洪流攻击的仿真试验结果表明，(i)在遵循相同的有效检测确认标准的前提 下，无论是针对SYN洪流攻击还是针对UDP洪流攻击，采用A-EWMA算法进 行检测的结果均优于采用固定门限方法进行检测的结果；(ii)与现有文献中针对 同类攻击的检测结果相比，A-EWMA算法在检测性能方面也占有较大的优势；(iii) 采用A-EWMA算法对SYN洪流攻击的检测结果优于其对UDP洪流攻击的检测 结果，但相对于固定门限检测而言，A-EWMA算法针对SYN洪流攻击和UDP 洪流攻击的检测结果间的差异要更小一些。 第六，提出了一种非参量自适应CUSUM算法—_A．CUSUM算法。该算法 基于切比雪夫不等式解决了传统CUSUM算法中检测门限无法自适应设置的问 题，并增加了在告警后实施异常终止监控的功能。同时，对该算法的虚警概率、 异常发生期间的漏警概率、攻击起始／终止检测时延等检测性能指标进行了理论推 导，给出了相应的表达式。比较了A-CUSUM算法与A-EWMA算法针对SYN洪 流攻击和UDP洪流攻击的仿真试验结果，并建议利用A-CUSUM算法和A-EWMA 算法对网络流量实施并行检测，以进一步提高防御系统对微弱DDoS攻击流的检 测能力。 最后，以一种独立于具体检测算法的方式考察并比较了匀速攻击流、迸发式 脉冲攻击流和组群式脉冲攻击流在源端网络中的可检测性。仿真结果表明，在三 种攻击流发送方式下，组群式脉冲攻击流具有较低的可检测性。 关键词：源端网络防御DDoS攻击流异常检测 自适应检测算法 ABSTRA(了rABSTRACT ABSTRA(了r ABSTRACT Five problems on SOurCC-end defense against DDoS attacks are discussed． Respectively,mey are(i)DDoS attacks and defense，(ii)TCP DDoS traffic modeling， (iii)adaptive algorithms for source-end detection of constant rate DDoS traffic，(iv) disruption caused by different DDoS traffic，and(v)detectability of different DDoS traffic． Firstly,DDoS attacks are systematically discussed，including meir classification， organization，some typical attacks and other problems involved in an attack．We conclude that countenlleasures against DDoS attacks will be focused on their source-end networks．Analysis 011 current DDoS defense mechanisms is made following a line of victim—end defense，intermediate defense and source-end defense． Secondly,a new kind of traffic transmitting policy named grouped pulsing transmission is proposed．Under the ground of two typical scheduling mechanisms， FCFS(First Come First Served)and SFQ(Start-time Fair Queuing)，discussion is made on the disruption of constant rate traffic，pulsing traffic and grouped pulsing traffic，emphasized on the influence of scheduling mechanisms on these different DDoS traffic．Simulation results show that grouped pulsing traffic wim flexible conf