指數(shù)平滑變動(dòng)點(diǎn)偵測(cè)算法在偵測(cè)SYN洪泛攻擊中的應(yīng)用.pdf

1、大規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)攻擊，在其最后階段通過觀測(cè)網(wǎng)絡(luò)流量的突增可以很容易地確定的。然而，在攻擊早期這些變化是很難察并且難以和正常流量的波動(dòng)加以區(qū)分。SYN洪泛攻擊的理論基礎(chǔ)是TCP三次握手機(jī)制以及其設(shè)計(jì)缺陷，同時(shí)根據(jù)對(duì)TCP相關(guān)理論進(jìn)行分析，在正常的TCP三次握手過程中發(fā)出的SYN請(qǐng)求報(bào)文的通常會(huì)在一個(gè)往返時(shí)間內(nèi)引發(fā)一個(gè)相應(yīng)的應(yīng)答報(bào)文，以及一個(gè)正常的關(guān)閉TCP連接的過程需要一個(gè)FIN報(bào)文。根據(jù)這一TCP內(nèi)在協(xié)議行為特征，可以對(duì)處于不同IP欺

2、騙類型的SYN洪泛攻擊的下SYN-FIN報(bào)文對(duì)以及SYN-SYN/ACK報(bào)文對(duì)構(gòu)建偵測(cè)序列，通過相應(yīng)的算法分析發(fā)現(xiàn)其內(nèi)在異常行為。
　　 本文采用一種新的SYN洪泛攻擊偵測(cè)機(jī)制SFDS，該機(jī)制通過監(jiān)控進(jìn)入網(wǎng)絡(luò)的TCP業(yè)務(wù)的SYN報(bào)文、SYN/ACK報(bào)文以及FIN報(bào)文的均衡性，并使用指數(shù)平滑變動(dòng)點(diǎn)偵測(cè)算方法對(duì)其均衡性變化進(jìn)行偵測(cè)。由于網(wǎng)絡(luò)包數(shù)量具有在一定時(shí)間內(nèi)成幾何級(jí)增長(zhǎng)并達(dá)到峰值的特性，SFDS采用計(jì)數(shù)式布魯姆過濾器作為SYN-