網(wǎng)絡(luò)異常流檢測(cè)技術(shù)研究.pdf

1、拒絕服務(wù)攻擊是近年來互聯(lián)網(wǎng)的重大威脅，這種攻擊使得計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)無法正常運(yùn)轉(zhuǎn)，從而使得合法用戶獲得的服務(wù)質(zhì)量降低甚至無法獲得服務(wù)。經(jīng)過十年的發(fā)展，拒絕服務(wù)攻擊呈現(xiàn)新的特點(diǎn)，例如使用更多主機(jī)發(fā)功攻擊，降低單臺(tái)主機(jī)的攻擊強(qiáng)度以逃避檢測(cè)；采用新型的攻擊方式，如脈沖式拒絕服務(wù)攻擊等。而目前對(duì)拒絕服務(wù)攻擊的檢測(cè)方法往往著重于總體流量的檢測(cè)，無法辨別正常用戶和攻擊主機(jī)。本文提出一種基于隱馬爾可夫模型的異常流量檢測(cè)方法：在訓(xùn)練階段，通過采用大量正

2、常用戶的流量對(duì)模型進(jìn)行訓(xùn)練，得到正常用戶流量的評(píng)價(jià)模型和或然概率正常區(qū)間；在檢測(cè)階段，計(jì)算待檢流量相對(duì)評(píng)價(jià)模型的或然概率，根據(jù)其是否落在正常區(qū)間判斷待檢流量來自正常用戶還是攻擊主機(jī)。鑒于Web流量本身具有多樣性的特點(diǎn)，我們進(jìn)一步使用基于隱馬爾可夫模型的聚類算法，對(duì)Web用戶流量進(jìn)行聚類，對(duì)每個(gè)聚類的用戶流量再分別建立評(píng)價(jià)模型，以提高檢測(cè)效果。針對(duì)新出現(xiàn)的脈沖式拒絕服務(wù)攻擊，我們提出一種基于流量摘要的檢測(cè)方法，在觀測(cè)周期內(nèi)使用Counti