论文摘要
随着检测和防御DDoS攻击的深入研究,网络的安全等级得到提高,但同时也导致新型攻击工具和攻击机制层出不穷。因此,一种抽象的形式化描述和分类种类繁多的DDoS攻击的方法就变得非常重要。同时,在DDoS攻击检测方面,与其他两种配置在受害端网络和中间网络的检测相比,配置在攻击源端网络的检测可以早期发现和遏制DDoS攻击,对提高整个Internet网络服务质量和增强抵御恶意攻击的能力具有重要意义。本文以DDoS攻击的形式化分类和源端检测为研究重点,讨论了以下几个方面的内容:1.在详细分析了DDoS攻击机制的基础上,提出了四种典型的DDoS攻击网络拓扑结构。然后,总结分析了DDoS攻击的攻击方式,并列举了几种有代表性的DDoS攻击工具。最后,预测了未来一段时期DDoS攻击发展趋势。2.采用加权特征树和三元组序列抽象的形式化描述DDoS攻击,引入相似度概念,运用系统聚类,提出一种新颖的形式化分类方法。通过对真实的12种攻击样本的分类实验,表明提出的形式化分类方法能够正确分类已知攻击及其变异,通过扩展特征集合可以处理更多的新型攻击分类问题。3.提出一种新颖的综合考虑多维观测特征的DDoS源端检测方法。通过引入S-D-P特征概念,并抽取TCP/IP包头中的标志位和ID字段,构成多维观测特征,采用Multi-stream Combined隐马尔可夫模型(MC-HMM)在源端网络检测DDoS攻击。同时,通过借鉴负载平衡中Load-Shedding的思想,应用Kaufman算法实时调整和更新阈值Threshold。实验表明综合考虑多维观测特征的MC-HMM方法有效的降低了检测的误报率和漏报率,检测精度明显优于已有的基于一维观测特征的检测算法。
论文目录
提要第一章 绪论1.1 DoS 和DDoS 攻击简述1.2 DDoS 攻击的动机1.3 DDoS 攻击问题的严重性1.3.1 DDoS 攻击产生的危害1.3.2 检测和防御DDoS 攻击的复杂性1.4 本文的主要工作第二章 DDoS 攻击的原理和典型工具分析2.1 DDoS 攻击原理2.1.1 DDoS 攻击网络拓扑结构2.1.2 DDoS 攻击方式2.2 典型DDoS 攻击工具分析2.2.1 Trinoo2.2.2 TFN(Tribe Flood Network)2.2.3 TFN2K2.2.4 Stacheldraht2.2.5 Trinity2.3 DDoS 攻击的发展趋势第三章 基于相似度的DDoS 攻击的形式化分类方法3.1 引言3.2 当前DDoS 攻击的分类方法及存在的问题3.3 攻击的形式化描述3.3.1 特征集合3.3.2 特征树的二进制编码及其权重分配3.3.3 攻击样本集合3.3.4 三元组序列3.4 相似度3.4.1 特征距离3.4.2 样本距离3.4.3 类距离3.4.4 相似度3.5 系统聚类法3.6 实验3.6.1 特征树和三元组序列3.6.2 相似度矩阵和聚类3.6.3 实验结果分析3.7 本章小结第四章 基于MC-HMM 源端检测DDoS 攻击4.1 引言4.2 DDoS 攻击源端检测方法的现状及问题4.3 隐马尔可夫模型(Hidden Markov Model)4.3.1 基本参数和拓扑结构4.3.2 三个基本问题4.3.3 主要算法4.4 Multi-stream Combined HMM 模型(MC-HMM)4.4.1 MC-HMM 模型及特点4.4.2 MC-HMM 模型描述4.5 多维观测特征抽取4.5.1 TCP 标志位4.5.2 IP 包头ID 字段4.5.3 S-D-P 特征4.6 攻击的检测和判定4.6.1 基于MC-HMM 检测的基本假设4.6.2 被检测序列的预处理4.6.3 攻击判定算法4.6.4 实时调整和更新阈值Threshold4.6.5 MC-HMM 检测和判定流程4.7 实验4.7.1 MC-HMM 输出概率在正常和攻击情况下的比较实验4.7.2 误报率和漏报率的比较实验4.7.3 平均检测率比较实验4.7.4 训练和检测时间讨论4.8 本章小结第五章 结论与进一步工作5.1 完成的工作5.2 进一步的工作参考文献攻读硕士学位期间完成的主要科研项目和发表的论文摘要Abstract致谢
相关论文文献
标签:攻击论文; 形式化分类论文; 系统聚类论文; 源端检测论文;
基于Multi-stream Combined HMM源端检测DDoS攻击
下载Doc文档