基于条件随机场的入侵检测系统的研究与实现-通信与信息系统专业论文.docxVIP

独创性声明 本人声明所呈交的学位论文是我个人在导师的指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已标明引用的内容外，本论文不包含任何其他人或集 体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文 中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密□，在 年解密后适用本授权数。 不保密□ 。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 华 华 中 科 技 大 学 硕 士 学 位 论 文 I I 摘要 分布式拒绝服务（Distributed Denial of Service，DDOS）攻击对网络安全产生了 极大的威胁，并且随着针对网络层和传输层 DDOS 攻击的检测技术日趋完善以及应 用层的服务越来越复杂，产生了以应用层服务为攻击目标的应用层 DDOS 攻击，这 类攻击通过发送合法的请求消耗大量的服务器计算资源，使得攻击难以被检测。 本文在分析正常用户的访问行为和攻击者的访问行为的差异的基础上提出了一 种基于条件随机场的应用层 DDOS 攻击检测方法。与以往的对用户访问行为建模的 方法相比，我们采用能够表示观察序列上长距离的依赖关系并且有效解决了标记偏 置问题的条件随机场来描述用户访问行为。我们从正常用户的访问日志中训练得到 一个以条件随机场表示的正常用户访问行为模型，并根据请求序列所表现出的访问 行为和正常用户访问行为模型的偏差来判断该请求序列是否是攻击序列。本文采用 请求序列的平均熵来衡量请求序列所表现出的访问行为和正常用户访问行为模型的 偏差。 本文设计了一个实验来检验本文所提出的攻击检测方法的有效性。我们模拟随 机 URL 攻击和重放 session 攻击这两类应用层 DDOS 攻击来构建测试集，利用本文 所提出的检测方法对测试集中的所有请求序列进行检测并计算性能评估参数来评价 检测方法的有效性。实验结果表明本文提出的攻击检测方法能够极为有效地检测出 应用层 DDOS 攻击。 关键字：应用层，分布式拒绝服务，条件随机场，平均熵，访问行为 II II ABSTRACT Distributed denial of service (DDOS) attack is a serious threat to the Internet. As for the technologies of detecting the DDOS attacks on the network and transport layer are maturing and the application layer services are becoming more and more complex, resulting in a new type of DDOS attacks, whose targets are application layer services, named application-layer DDOS attacks. Application-layer DDOS attacks utilizing legitimate requests to overwhelm the computing resources of the server are hard to be detected. In this thesis, we analyze the differences between the browsing behaviors of the normal users and attackers, and then we present a method based on conditional random fields to detect application-layer DDOS attacks. In contrast to prior methods modeling the browsing behaviors of the users, we utilize conditional random fields which are able to represent long-range dependencies of observa