论文部分内容阅读
近年来,分布式拒绝服务攻击已经成为最为严重的网络威胁之一。它攻击力度大、易实施、难防范、难追踪,对网络社会具有极大的危害性。现有的传统防御措施如防火墙、入侵检测系统等只能被动地抵御攻击,防御效果不是很理想。因此,如何有效追踪、防御分布式拒绝服务攻击(DDoS)是目前网络安全领域所面临的挑战之一。在本文中,首先介绍了分布式拒绝服务攻击的特点、现状以及发展趋势;分析并探讨了分布式拒绝服务攻击的各种防御措施;同时围绕分布式拒绝服务攻击的检测方法展开了深入的研究和探讨。通过对各种攻击形式及防御措施分类的讨论,指出了检测技术在DDoS攻击防御中的重要作用和意义,并在此基础上给出了一种基于IP流特性的分布式拒绝服务攻击检测方法。接下来,本文把IP流分成宏观和微观两种,对如何选择适当的统计属性用于DDoS检测进行了研究。对几种属性识别DDoS的能力进行了具体分析,在此基础上应用神经网络分类器进行了DDoS检测实验。证明将基于流概念的几种统计属性综合起来应用于DDoS检测可收到良好的效果。主要优点在于:用于检测的属性容易生成、物理意义明显、分类准确,能同时获得某次攻击所使用的协议类型和异常包的平均大小等信息,进而用于过滤。在大流量DDoS攻击发生(Large Scale DDoS)时,要维持被攻击系统的正常运转,防御者可实行严格的限流和过滤。然而限流和过滤中存在以下问题:过滤攻击的准确度因为伪造IP技术的使用被大大降低;容易产生间接伤害,即处理掉攻击的同时,也会过滤掉合法流量。本文进而提出基于一种Nested Loop离群数据挖掘算法(Nested Loop Outlier Detection Algorithm)的DDoS防御方法。该方法在DDoS发生时严格过滤可疑流量,同时建立优先服务列表(白名单),从而既保持受攻击系统正常运转又增加合法用户获得服务的机会。建立在大量真实数据和模拟数据上的实验表明,本方法可以保障遭受大流量DDoS攻击的系统除受攻击服务外正常运行;可逐渐恢复受攻击服务的运行;运用离群数据挖掘算法很好地解决了过滤产生的间接伤害难以恢复的问题。