电子科技大学 计算机入侵检测技术5.pptVIP

第七节 判决攻击发生的有效性 3、通过分析可知： （1）当较大的突发正常流量到达时，绝大部分情况下相邻时隔的Hurst系数方差变化在1.4倍以下，在极为个别的情况下变化倍数值超过了2.0。如果使用本章的判决条件，该情况即为误判。如果将误判率定义为误判次数与叠加后的总测试次数的比值，则在本实验中的误判率为0.000625（2/3200），由此可知该判决条件的误判率很小； （2）对以上情况进行分析，突发的正常流量加入网络后不会从根本上改变原有背景流量的相关性，这一点与DDoS攻击发生时不同，前者相关性较弱，而后者由于DDoS攻击的发生机制而相关性较强。因此，本章给出的判决条件可以区分流量的增加是正常流量的到达还是DDoS攻击的发生； 第七节 判决攻击发生的有效性 （3）进一步分析发现，误判存在着三种可能性。其一，该判决条件本身就存在一定的误判率；其二，因误差而出现的误判，对于这样的情况可通 过提高实验精度来加以解决；其三，在个别情况下，当正常流量的突发性达到某个程度时，相关性可能会受到较大改变，甚至类似于DDoS攻击，对于这样的情况（即突发的正常流量造成了拒绝服务效果），该判决可视为正确的判决结果； 从本章实验结果可以看出，该判决条件具有很小的误判率，因此不会影响到检测的有效性。 第七节 判决攻击发生的有效性 三、 漏判情况的研究 下面再考虑漏判的情况，对于造成主机资源耗尽的DDoS攻击类型（如半连接等），由于这类攻击并未通过大流量来造成网络拥塞，而可能是通过发送多个小数据包消耗主机资源来达到攻击效果，所以在其攻击过程中的网络流量变化不会太大，是否能按本章的方式进行判决需要进一步考虑。 第七节 判决攻击发生的有效性 结论： 由以上分析可见，本节所提出的判据对引起流量变化较大的DDoS攻击具 有较好适用性，并具有较小的误判和漏判率，而对于主机资源耗尽类型的攻击判决条件还需要作进一步的实验和研究工作。 作 业 以下作业请至少选择一个完成，提交时请将题目留下； 5.1、请常见的自相似数据业务模型的分类情况和各自特点； 5.2、简述本章给出的DDoS发生和结束判据，并加以分析； 5.3、试问进行判决条件的有效性分析为什么是必要的，并请描述虚警情况的分析过程； 第六节 DDoS攻击的实验环境与实现 根据以上推论，提出以下假设： 在正常网络业务中，来自大量不同数据源的数据之间，通常不具有时间和分组特征方面的相关性，因而不会改变网络流量的自相似性；而DDoS攻击是由MASTER控制大量不同的SLAVES，在同一时段向攻击目标发送大量请求，将会导致其流量模型的相关系数发生变化，并破坏网络流量的自相似性。 第六节 DDoS攻击的实验环境与实现 二、 实验环境 1、实验环境 图5.8 实验环境示意图 第六节 DDoS攻击的实验环境与实现 为验证DDoS对自相似性系数的影响，进行了一系列攻击实验，实验环境为：1台100兆交换机，1台路由器（Cisco Catalyst 3550），1台产生背景数据的BT（background Traffic）计算机（Win2K），8台攻击计算机（Win2K），1台用于检测的AD（Attack Detection）计算机（RedHat Linux8.0），其网络拓扑结构图如5.8所示。 实验开始后，BT持续提供正常的背景流量，数据流的路由全部指向检测机；攻击开始后，多个攻击机进行攻击协同，在一个时间段内同时向检测机发动DDoS攻击。此时，检测机将接收到来自路由器上的正常流量和攻击流量。 第六节 DDoS攻击的实验环境与实现 2、攻击类型的选取与实现 为简化起见，实验中的攻击类型选取了常见的SYN flood。通过C语言编程实现后，安装于各攻击机 上，在攻击开始时同步启动，就能模拟真实的攻 击行为了。此外，生成攻击数据还可以采用DDoS 工具TFN2k等方式进行。 第六节 DDoS攻击的实验环境与实现 3、背景流量的选取 为模拟真实情况下的DDoS攻击，对电子科技大学信息中心Web服务器进行了流量数据采样，共进行了40小时。在模拟攻击时，可以将TDF作为真实的背景流量使用，将TDF分为160个子样本，每个子样本大小为900秒，记为TDF1～TDF160。 第六节 DDoS攻击的实验环境与实现 三、实验准备工作 1、攻击流量大小： 在准备好160个真实背景流量的数据样本之后，在攻击软件中设定了4种不同流量大小的攻击过程