DDoS攻击过程特征提取详解.docxVIP

DDoS攻击过程特征提取详解 1渗透扫描 先进行ip扫描，看哪些ip是存活的，再进行端口扫描。 提取出来的计算特征： （1）目的ip点分格式时四个域的标准差分布 （2）目的IP十进制时相邻IP的差值是否相等 （3）当前源IP对应所有目标IP的中位数 （4）当前源IP对应所有目标IP的平均值 （5）目的IP点分格式时的差分特征 （6）当前源和目的IP对应所有目的端口的平均值 （7）当前源和目的IP对应所有目的端口的中位数 （8）具体的ACK、SYN、FIN扫描方式等用具体的标志位判断 （9）异常流量检测（针对随机生成的） （10）IP包头检测（针对特定字段） （11）当前源IP单位时间内的发包数量 （12）单位时间当前源IP对应的所有目的IP的数量 （13）单位时间下行流量 （14）单位时间下行数据包数量IP扫描特征IP扫描总特征 IP扫描（单一扫描源）时IP的分布特征为一对多，源IP固定，目的IP特征如下: （1）目的IP随机生成； （2）目的IP逐个递增； （3）目的IP集中在某一片网络区域； （4）目的IP点分格式时呈现特殊格式，如相邻域之间的差值相等； （5）端口分布通过端口扫描特征部分分析； （6）异常的IP包头（HeaderLength和IPOptions）； （7）IP头中设置无效错误的字段值； (8)Icmp.type=8的扫描;1.2端口扫描特征1.2.1端口扫描总特征： 当确定该IP被扫描后，根据具体的协议再分析。TCP扫描根据FIN、SYN、ACK等标 志位的值确定扫描类型，UDP扫描根据UDP扫描的特征确定。 （1）目的端口随机生成；（2）目的端口逐渐递增。 TCPACK扫描特征: 421.112016-皿-皿.爪勇 isa.m.Q.wa TCP 521.213059..192.15B.0.95 192.IfrB.0.1931 TCP 21.2131S8..192.168.0.95 192.163.0.195 TCP 721.2131T1_1*92.166.0.^5 132.168.0.13 TCP B21.213203-192.1￡B.0.95 192.1b3.e.lftJ TCP 321.2132^1-32.156.0,55 15Z.16S,9,193 TCP 1?21.2132tQ?192.16S.9.95 TCP 1121.2133M^192.IfiE.0.95 152.16S.0.W TCP 1221.21J352-192.16B.6.95 192.163.9.1J TCP TCPM犯弓的flia[ACt]Ark-l543B5B3*转[4CK]Seq-1Hln-WML/T3B5B3T31[ACK]5eq-lfek-1Win-1021Len-054弟5街*:30[ADQS=n?lkk?：LLeft，M捎招，f22[ALK]Ahn-1924Un-H TCP 14 n.213W8.a152.16S.enl? 19Z.16S.0.95 TCF W110 土3B5B3[R5T] 5eq-l Len-fi ■ 15 21.213W..292.168.0.103 152.168.0.95 TCP 64S0- ?3S93[^ST] 睫『1Nin-ft LmT i 31.213927-152.J6B.0.103 192.168.0.95 TCP 的443 +3B5B3[HST] Seq-1tfin-0 Len-0 ■ 17 21.213927-皿?166-土皿 192.163.0.95 TCP S4q=lWin=ai L?n=6* L Ifi 21.112517-眄：！.MR.自.艄3 1毁.1巽.白.眄 TCP 做MT r皿[ft￡T] ￡?qi-lWln-ft Lqh■ 19 H.213927- 1S2.1BC95 TCF W25- 5e『lWln-ft Len-fl SO- 21.213927..192.36B.0.103 192.163.0.95 TCP E43囹JS5S3(SST|Seq-1Kin7Len-0- 21 21.213927-1^12.3^6.0.103 192.168.9.95 TCP 的993 +38583[RSF] Seq-1Wn?Gl Lcn-0 22 21..21JaKi_1勺乳皿-土姬曲 192.168.9.95 TCP 做119 *部5盼[KF] Soq-1idin-6l Lan-6 13 2],Z133Z7?igg.lfflB.?皿 15Z,165,9,-35 TCP gg135 ■*365B3[H5F] 5eq-lKln-9 Lien■日 A36583■*25[ACK]就k?lWin-1624Len-6W3S533-[ACK]Eq-l虹卜1Win-1021Ler-0H3B