基于多核CPU的DDOS檢測技術研究.pdf

1、分布式拒絕服務攻擊是通過控制多個傀儡主機向受害者發(fā)送攻擊包的網(wǎng)絡攻擊方式，該攻擊方式簡單有效，攻擊所用攻擊包通常與正常數(shù)據(jù)包區(qū)別很小。分布式拒絕服務攻擊危害巨大，且難以檢測。網(wǎng)絡技術的發(fā)展使網(wǎng)絡速度快速增加，分布式拒絕服務攻擊的流量也隨之增長，檢測系統(tǒng)的負擔也在加重，為使系統(tǒng)能夠實時檢測攻擊，研究高速大流量網(wǎng)絡中的檢測技術，提高分布式拒絕服務攻擊檢測系統(tǒng)的速度極為必要。
　　本文研究了分布式拒絕服務攻擊的原理和特點，設計和實現(xiàn)了一

2、個基于多核CPU的分布式拒絕服務攻擊檢測系統(tǒng)。傳統(tǒng)的檢測系統(tǒng)需要檢查數(shù)據(jù)包的內容，為了避免這種效率低下的工作，系統(tǒng)采用了分析IP流屬性的方法，只需要檢查數(shù)據(jù)包首部而不是其內容。本文分析了發(fā)生分布式拒絕服務攻擊時的IP流特點，總結了IP流的5個統(tǒng)計屬性，并對比了正常通信和分布式拒絕服務攻擊下這5個屬性的表現(xiàn)。人工神經(jīng)網(wǎng)絡具有很強的分類識別能力，本文研究了BP神經(jīng)網(wǎng)絡的結構及其學習算法，并使用BP神經(jīng)網(wǎng)絡分析各時段的IP流。利用IP流的5個

3、屬性作為輸入，神經(jīng)網(wǎng)絡將IP流分類為正常流量和含有分布式拒絕服務攻擊的流量。
　　攻擊檢測系統(tǒng)利用WinPcap過濾并捕獲網(wǎng)絡上的數(shù)據(jù)包，IP流統(tǒng)計模塊解析這些數(shù)據(jù)包，建立流并統(tǒng)計出各時段的IP流屬性。統(tǒng)計流屬性的過程被設計成并行執(zhí)行模式以充分發(fā)揮多核CPU的優(yōu)勢。在IP流分析中，設計了一個BP神經(jīng)網(wǎng)絡分類器來分類IP流量，神經(jīng)網(wǎng)絡的參數(shù)調整過程采用了LM算法。最后使用OpenMP對神經(jīng)網(wǎng)絡訓練和分類代碼在多核CPU上進行了改進。