基于小波分析的DDOS入侵檢測研究.pdf

1、DDoS（分布式拒絕服務(wù)）攻擊是一種分布、協(xié)作的大規(guī)模攻擊方式。通過聯(lián)合或控制網(wǎng)絡(luò)上若干主機同時發(fā)動DoS攻擊，制造數(shù)以百萬計的數(shù)據(jù)分組流入欲攻擊的目標，大量消耗目標系統(tǒng)資源，從而造成合法用戶無法獲得服務(wù)。DDoS攻擊給網(wǎng)絡(luò)的正常運行帶來了極大的危害，具有隱蔽性和分布性，難以進行檢測和防范，這使得近年來研究DDoS攻擊的檢測與防范方法成為入侵檢測領(lǐng)域的一個研究熱點。本文主要基于流量的自相似性，利用小波方法來研究DDoS攻擊的檢測和防范。

2、 本文首先概述了入侵檢測相關(guān)技術(shù)的研究現(xiàn)狀、采用的一般原理與方法，結(jié)合大量資料分析了DDoS方面的國內(nèi)外研究進展。 其次，本文簡要介紹了近年來理論界和工程界采用較多的一種方法――小波變換，其具有的多尺度分析特性可以對信號進行更為準確的分析。學術(shù)界的研究成果以及本文實測數(shù)據(jù)均表明：網(wǎng)絡(luò)流量具有自相似性。利用小波方法分析自相似性可以取得很好的效果，本文推導了利用小波來分析網(wǎng)絡(luò)流量的方法，作為本文的理論基礎(chǔ)。 再次，本

3、文描述了DoS攻擊的一般步驟，對DoS攻擊的機理進行了分析，尤其是結(jié)合TCP擁塞控制機制對弱DoS攻擊機理進行了較為深入的研究。弱DoS攻擊并不產(chǎn)生很大的總流量，因而難以用常規(guī)的流量控制手段加以遏制。為了比較好地檢測到弱DoS攻擊，本文設(shè)計了一種DDoS檢測與防范模型。該模型采集IP包頭獲得流量信息；利用小波方法計算流量的Hurst參數(shù)，以是否超出閾值來判斷是否遭受DoS攻擊；采用數(shù)字濾波的方案對作為判決基準的Hurst參數(shù)對不同網(wǎng)絡(luò)情

4、況進行自適應(yīng)；當認為受到攻擊后，結(jié)合連接信任域來進行響應(yīng)。實驗表明：該模型可以檢測到弱DoS攻擊。 在DDoS檢測模型的實現(xiàn)上，對性能要求較高的兩項技術(shù)是流量采集和流量分析。本文先對現(xiàn)有流量采集技術(shù)進行了回顧，然后設(shè)計并應(yīng)用了兩種基于Linux系統(tǒng)的流量采集方案。在流量分析中，采用了一些技巧以提高效率。為了驗證模型，本文采用了比較權(quán)威的MIT Lincoln Laboratory的DDoS攻擊數(shù)據(jù)集進行實驗。 最后，本文