大規(guī)模DDoS攻擊檢測(cè)關(guān)鍵技術(shù)研究.pdf

1、不斷增長的網(wǎng)絡(luò)規(guī)模和鏈路帶寬使得DDoS攻擊朝著大規(guī)模化方向發(fā)展，并加劇了攻擊檢測(cè)和處理的難度。大規(guī)模DDoS攻擊檢測(cè)的關(guān)鍵是對(duì)攻擊流量的匯聚過程進(jìn)行有效的遏制，當(dāng)前主要面臨三個(gè)方面的問題：（1）現(xiàn)有基于流量特征變化的攻擊預(yù)警方法易被攻陷，不足以應(yīng)對(duì)多變的DDoS攻擊威脅；（2）正常用戶的突發(fā)訪問（flas h cro wds）事件帶來的攻擊誤判；（3）基于分類的DDoS攻擊檢測(cè)方法具有較好的檢測(cè)適應(yīng)性，但冗余特征的存在影響了檢測(cè)的實(shí)時(shí)

2、性。
　　針對(duì)上述問題，本文以國家科技支撐計(jì)劃“網(wǎng)域空間某關(guān)鍵技術(shù)研究”項(xiàng)目中的大規(guī)模DDoS攻擊檢測(cè)技術(shù)子課題為依托，通過深入分析和研究檢測(cè)需求，分別提出了基于超點(diǎn)的DDoS攻擊預(yù)警方法、基于流指紋的DDoS攻擊檢測(cè)方法和基于GAIG特征選擇算法的輕量化DDoS攻擊檢測(cè)方法，有效預(yù)警了攻擊事件、準(zhǔn)確判別了DDoS攻擊與flash crowds事件，實(shí)現(xiàn)了DDoS攻擊的快速分類檢測(cè)，具體研究工作如下：
　　1.針對(duì)DDoS攻

3、擊的預(yù)警問題，通過分析現(xiàn)有DDoS攻擊預(yù)警方法存在的被攻陷的風(fēng)險(xiǎn)和DDoS攻擊威脅的不確定性，提出了一種以源地址與目的地址多對(duì)一映射作為預(yù)警策略、以目標(biāo)超點(diǎn)聚合度（Polymerization Degree of Destination Superpoints,PDDS）為安全威脅評(píng)估標(biāo)準(zhǔn)的DDoS攻擊預(yù)警方法，將網(wǎng)絡(luò)測(cè)量中的超點(diǎn)和超點(diǎn)檢測(cè)應(yīng)用于DDoS攻擊的預(yù)警。在此基礎(chǔ)上，設(shè)計(jì)了一個(gè)基于Cache結(jié)構(gòu)的輕量化預(yù)警算法DDoS-Ear

4、ly-Warning，并驗(yàn)證了該預(yù)警算法的有效性和可靠性。
　　2.針對(duì)DDoS攻擊與flash crowds事件的區(qū)分問題，提出了一種基于流指紋的DDoS攻擊檢測(cè)方法，首先通過分析DDoS攻擊的超點(diǎn)性和對(duì)僵尸網(wǎng)絡(luò)的平臺(tái)依賴性，提出了一種基于泛洪行為的區(qū)分策略。在此基礎(chǔ)上，結(jié)合超點(diǎn)和流間相似度分別構(gòu)建泛洪行為和泛洪攻擊兩種流指紋，通過目標(biāo)超點(diǎn)聚合度定位泛洪行為，采用一種滑動(dòng)判別算法度量流間相似度，從而判別DDoS攻擊與flash

5、crowds事件。實(shí)驗(yàn)結(jié)果表明，該檢測(cè)方法可以有效區(qū)分DDoS攻擊和flash crowds事件，以全變分距離（Total Variation Distance,TVD）作為測(cè)度時(shí)效果最佳，檢測(cè)率達(dá)到98％，相比于現(xiàn)有方法，提升了約6%。
　　3.為了提高基于分類的DDoS攻擊檢測(cè)方法的實(shí)時(shí)性，結(jié)合輕量級(jí)入侵檢測(cè)技術(shù)，首先提出了以遺傳算法為搜索策略、信息增益為子集評(píng)估標(biāo)準(zhǔn)的filter型特征選擇算法GAIG，提取具有高區(qū)分度的相對(duì)