低速DDoS攻擊的異常檢測.pdf

1、現(xiàn)代社會對計算機(jī)網(wǎng)絡(luò)的依賴性愈來愈強。從而，網(wǎng)絡(luò)安全是何等重要的問題，不言而喻。在網(wǎng)絡(luò)安全方面，檢測分布式拒絕服務(wù)攻擊(DDoS)一直是重要研究內(nèi)容。在入侵檢測方面有兩類系統(tǒng)：基于主機(jī)的入侵檢測系統(tǒng)(IDS)和基于網(wǎng)絡(luò)的IDS?；诰W(wǎng)絡(luò)的IDS以網(wǎng)絡(luò)流量為檢測對象，它又可分為兩類：誤用檢測和異常檢測。誤用檢測基于以往攻擊事件的特征庫，故誤用檢測的IDS能準(zhǔn)確檢測舊式攻擊。誤用檢測對新變種的DDoS攻擊顯得軟弱無力，因為新變種的DDoS攻

2、擊的新特征尚不在特征庫內(nèi)，故可以百分之百地逃避誤用檢測。本文工作屬異常檢測。
　　 異常檢測適合新變種的DDoS攻擊。但是．若把異常流量判別為正常則出現(xiàn)漏報。對于一次報警，把異常流量識別為異常的概率有多大？漏報概率有多大？這些是異常檢測的可靠報警問題，是異常檢測的棘手問題。所謂可靠報警，是指所采用的異常檢測器在原理上就具備那么個特性。用戶可預(yù)先設(shè)定報警概率和漏報概率?？煽繄缶谴宋难芯康腎DS的主要特點。
　　 傳統(tǒng)DD

3、oS攻擊的基本特點是數(shù)據(jù)速率特別高。故IDS常按高速率檢測，包括我們以前的工作。近年來，出現(xiàn)了一種低速率DDoS攻擊，其目的是逃避常規(guī)IDS。因此，如何可靠地檢測低速率DDoS攻擊成了頗有意義的研究問題。本文提出一種可靠檢測低速率DDoS攻擊的IDS。它有三部分組成:1）網(wǎng)絡(luò)流量的實時采集模塊，2）檢測決策模塊，3）報警模塊。整個系統(tǒng)，其輸入是網(wǎng)絡(luò)流量，輸出是就異常流量發(fā)出的報警信號。該系統(tǒng)的主要特點是能按用戶指定的檢測概率作出決策和報