论文摘要
本文开始部分介绍并分析典型的拒绝服务攻击DoS 的方式。然后在现有的理论基础上,借鉴两种已有的较新的入侵算法来实现检测入侵系统,其中一种是利用自我相似性来进行入侵检测,另一种则利用了分维理论。然后我对这两种方法实现的入侵检测系统进行了测试和评估。我的实验结果表明在实验环境下,LoSS 方法可以检测到大约84%的攻击,而分维方法可以检测到大约96%的攻击,在这些测试中都未引起误报。就结果来看,后者的有效性比前者高,但二者结合的效果更好。此外论文将介绍我开发的入侵攻击生成工具,这些工具是在对入侵攻击的协议特点和方法进行研究后,在Linux 下用C 实现。LoSS 检测技术是建立在当特定的网络被攻击之后,其通信特性出现变化。对此深入分析可以发现这些攻击会让通信的自我相似性发生变化。这样依靠监测通信变化来检测攻击的主要优点包括: (1)之前对这些攻击行为不需要有了解; (2)不需要建立“正常”通信活动的模板。分维技术是建立在对可测量的通信特性异常的检测上,利用攻击会使通信的拓扑分维发生变化的特征,可以对攻击做出准确的判断,包括攻击的发生时间和结束时间。虽然这种技术需要提供一个通信的模板,但是它并不要求之前对攻击行为有了解,这点相对于其它一些基于异常的检测技术有了很大的改进。此外我的论文中对攻击的实现方法有具体的介绍,我在Linux 的环境下,在对攻击原理有了具体的了解后,比如smurf 攻击等,用程序实现这些攻击,获取这些含有攻击的packet,然后将这些攻击包与已有的背景通信数据段合成,然后用于我对入侵检测系统的测试的实验。
论文目录
1 总论1.1 入侵,故障,攻击1.1.1 使服务器拒绝访问类攻击1.1.2 嗅探1.1.3 攻击分析和识别1.2 入侵检测1.3 入侵检测系统发展简史1.3.1 早期的计算机安全1.3.2 正常模型1.3.3 入侵检测的近期发展1.4 入侵检测研究的现状1.4.1 Bro:监视包内容1.4.2 EMERALD-模块化的入侵检测系统1.4.3 开放源码入侵检测系统1.4.4 信息可视化和入侵检测1.5 入侵检测系统的分类1.6 现有系统的局限1.7 论文说明2 利用网络的自我相似特性检测新的拒绝服务攻击2.1 网络传输的特性2.2 自我相似的定义2.2.1 林肯实验室的数据自我相似性2.2.2 自我相似的背景通信2.3 基于自关联损耗的攻击检测2.3.1 相关研究2.3.2 检测准则2.3.3 攻击检测标准的应用2.4 试验设计2.4.1 测量网络数据的自我相似2.4.2 攻击试验2.4.3 经典背景通信中合成攻击的试验2.4.4 现代网络中捕获的通信加入攻击的试验2.5 林肯实验室数据的测试结果2.5.1 用林肯实验室数据进行攻击检测2.5.2 林肯实验室数据的攻击检测2.6 结论2.6.1 攻击检测总结2.6.2 问题研究3 利用入侵对分维的影响进行入侵检测3.1 分维的定义3.1.1 相关研究3.1.2 网络通信的分维3.2 网络通信分维的计算3.2.1 算法3.2.2 算法分析3.3 基于相关分维的入侵检测方法3.3.1 攻击数据与背景数据3.3.2 攻击检测3.4 试验设计3.4.1 网络通信的模板3.4.2 试验过程3.5 结果3.6 后续工作3.7 总结4 入侵攻击的工具4.1 生成攻击的系统简介4.2 不同类型的攻击的分析4.2.1 对smurf 的分析4.2.2 对teardrop 的分析4.2.3 对udpstorm 的分析4.2.4 对neptune 的分析4.2.5 对mailbomb 的分析4.2.6 对land 的分析4.2.7 对ipsweep 的分析4.2.8 对back 的分析4.2.9 对apache 的分析4.3 攻击生成系统的设计4.3.1 主要功能4.3.2 性能的要求4.4 攻击生成系统的实现4.4.1 smurf 的攻击实现4.4.2 Teardrop 的攻击实现4.4.3 Land 的攻击实现4.4.4 Neptune 的攻击实现4.4.5 mailbomb 的攻击实现4.4.6 IPSweep 的攻击实现4.4.7 UDPStorm 的攻击实现4.5 以后的工作4.6 结论5 回顾与总结5.1 试验结果总结5.2 以后的工作5.3 结论参考文献作者在读期间科研成果简介声明致谢
相关论文文献
标签:拒绝服务攻击论文; 自我相似损耗论文; 分形论文; 分维论文; 入侵检测论文; 通信局部分布论文;
