论文摘要
近些年来,随着网络的飞速发展,网络攻击频繁发生,攻击方式更是层出不穷。分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式,如何检测这种攻击发生以及如何降低这种攻击所带来的影响已成为目前Internet安全界研究的热点问题。针对这一问题,本文在校园网环境下进行了深入研究。主要工作分为以下四个部分。第一部分,DDoS攻击的检测方法研究。研究现有的DDoS攻击的检测方法和检测模型,了解误用检测法和异常检测法的优缺点,通过对两种检测模型的分析比较,了解其实现原理和适用范围。通过上述研究,本文选用了异常检测法作为本课题的检测方法。第二部分,基于多特征相似度的DDoS攻击的检测方法的提出。通过分析外网访问内网的流量分布特点和发生DDoS攻击时网络特征的变化,本文提出了基于多特征相似度的DDoS攻击的检测方法。并选择流量,包尺寸,协议类型的分布作为检测特征,进行统计来判定攻击。第三部分,构建面向DDoS攻击的检测系统的框架。本文将该系统分为数据采集模块,攻击检测模块和跟踪分析模块。其实现流程是:首先,采集流量数据并按三个特征分别排序,统计出采样时间段内每个特征的前N位数据;然后,将该数据与上一采样时间段的数据进行求相关系数的操作,将三个相关系数通过动态加权的方法合成新的相似度;最后,对相邻时刻的新的相似度进行分析,并根据动态设定的阈值来判断是否出现异常,如果出现异常则调用跟踪分析模块来进一步判断,最终实现了对DDoS攻击的检测。第四部分,DDoS攻击的模拟实验和结果分析。该部分对已设计的系统进行了模拟实验,根据实验结果分析论证了本文提出的检测方法的有效性。从大量的实验结果可以看出,基于多特征相似度的DDoS攻击的检测方法能够有效的发现大规模网络下的DDoS攻击,并且该方法在一定程度上降低了检测的误报率和漏报率,对于DDoS攻击的早期检测和未知类型的DDoS攻击的检测都有重要的意义。