基于用戶流量行為的DDoS攻擊檢測系統(tǒng)的研究與實現(xiàn).pdf

1、近年來，頻發(fā)的分布式拒絕服務(wù)式攻擊(Distributed Denial of Service，DDoS)對互聯(lián)網(wǎng)的安全性，穩(wěn)定性造成了巨大的危害，且已經(jīng)成為各國電信運營商，大型互聯(lián)網(wǎng)公司的首要安全威脅。并且，DDoS攻擊也給人們的生活，學(xué)習(xí)，工作和財產(chǎn)安全帶來了巨大影響。因此，有關(guān)檢測和防御DDoS攻擊的相關(guān)研發(fā)工作具有十分顯著的現(xiàn)實意義和社會價值。
　　 目前，統(tǒng)計數(shù)據(jù)顯示洪流攻擊已成為DDoS攻擊的主要形式，其主要包括IC

2、MP洪流攻擊，UDP洪流攻擊和SYN洪流攻擊。洪流攻擊是一類利用IP、UDP、TCP協(xié)議漏洞，通過發(fā)送虛假數(shù)據(jù)包來消耗受害主機(jī)的系統(tǒng)資源，降低受害網(wǎng)絡(luò)的帶寬，使合法用戶無法獲得正常網(wǎng)絡(luò)服務(wù)的DDoS攻擊。針對這類典型的DDoS攻擊形式，如何快速檢測和識別攻擊者，正常用戶和受害者是攻擊檢測的首要任務(wù)。
　　 針對傳統(tǒng)的CUSUM算法無法準(zhǔn)確識別攻擊源和受害者的缺點，基于ICMP，TCP和UDP協(xié)議行為所固有的時間同步性，本文得出不

3、同用戶流量行為的數(shù)學(xué)模型，并設(shè)計出了無參數(shù)Ⅰ-CUSUM算法。在此理論基礎(chǔ)上，本文設(shè)計實現(xiàn)了一種在線檢測用戶安全類型的DDoS攻擊檢測系統(tǒng)。本系統(tǒng)的貢獻(xiàn)在于通過檢測用戶流量行為，并利用無參數(shù)Ⅰ-CUSUM算法來識別攻擊者，受害者和正常用戶。
　　 最后，在真實的測試環(huán)境中，各種DDoS攻擊模式的測試結(jié)果顯示本系統(tǒng)實現(xiàn)了相應(yīng)的設(shè)計功能，滿足入侵檢測系統(tǒng)的穩(wěn)定性要求，適合于監(jiān)控和檢測中小型網(wǎng)絡(luò)。同時，通過與Snort入侵檢測系統(tǒng)的性