一種DDOS攻擊復合式檢測方法的研究.pdf

1、近年來，分布式拒絕服務攻擊(DDoS，Distributed Denial of Service)嚴重影響著Internet安全，給Internet的應用和發(fā)展帶來了極大危害。目前，網絡流量的自相似性、時間序列分析等已經成為DDoS攻擊檢測中重要的策略和技術。但是，當這些策略和技術單獨使用時，DDoS攻擊檢測效果并不十分理想。 本文在系統(tǒng)地介紹了DDoS攻擊的基本原理、攻擊類型和攻擊特點，詳細研究了DDoS攻擊的發(fā)生對于網絡流量

2、的請求包的連接密度和網絡流量的重尾特性的影響后，提出了一種DDoS攻擊復合式檢測方法。 首先，用于直觀反映網絡流異常的單邊連接密度(OWCD)概念被引入并用于識別DDOS攻擊，同時對正常流流量和攻擊流量的OWCD時間序列的進行了分析，揭示了OWCD序列的性質，對正常流量和攻擊流量的OWCD時間序列的均值、方差、自相關系數、功率譜密度四個屬性進行分析，通過這四個屬性值綜合對流量異常與否進行判別，這樣便可準確判定出穩(wěn)定的正常流量和泛

3、洪DDoS攻擊流量，但還有一部分流有待進一步確定。 然后，如果未確定流的四個屬性值符合RoQ(Reduce of Quality)攻擊特性，網絡有可能發(fā)生RoQ攻擊也有可能是正常的突發(fā)流量，因為突發(fā)流量OWCD序列的屬性特征跟RoQ攻擊的相類似，單獨應用OWCD序列的屬性特征不能區(qū)分它們，根據網絡流量具有重尾特性，而RoQ攻擊流量不能體現網絡流量的重尾特性這一性質來對流量進行進一步的研究分析，通過重尾參數的值來判斷網絡流量是否符