论文摘要
DDoS攻击有近10年的历史,它以占用网络带宽,消耗主机资源从而使合法用户不能得到正常服务而闻名。许多知名的网站曾经遭受过它的攻击,据统计全球13个根服务器都曾经多次遭受它的攻击。但是目前对于DDoS的检测仍然没有非常好的办法。在受害者网络中有利于检测却不利于攻击的防御和数据包过滤;攻击者网络有利于过滤和防御,但是检测比较困难。目前认为分布式防御机制是一种较好的DDoS防御方法,但现有的方法主要是针对局部网络或者是单条链路,检测精度不高,对后期的防御作用较小。本文针对目前分布式防御机制存在的问题,研究DDoS的全局检测方法和技术,取得了如下研究成果和进展。与传统的检测方式不同,我们将流量矩阵作为检测对象,研究利用攻击流之间在时间域的相关特性进行检测。由于攻击流和正常背景流本身都存在较强的相关特性,因此不能直接分析流量矩阵的相关性来检测攻击。我们首先利用PCA变换将高维的流量矩阵分解为正常空间和异常空间,去除背景流量的相关性,然后分析异常空间的相关性从而检测攻击。仿真实验证明该方法能有效检测DDoS攻击。时间域检测要求有比较大的攻击流,同时研究表明DDoS异常流量信号的频率域特征与正常流量有较大区别,因此我们将流量信号检测域从时域转换到频域。异常流量与背景流量在不同频带的能量是不相同,异常流量的能量在总能量中所占比例越高,异常检测就越容易。基于频域的检测将异常空间变换到瞬频域,通过计算瞬时频率的相关特性检测攻击。在获得了异常空间数据后,首先用希尔波特变换计算异常空间的解析信号,通过滑动时窗由解析信号计算瞬时频率。仿真表明该方法对于噪声信号检测效果明显,同时对于规则信号也具有比较好的检测效果。好的检测方法还需要好的防御机制相配合。针对本文的全局检测方法,提出了一种新的分布式全局防御体系,该体系构建在本地和全局双层检测基础之上。本地节点采集链路流数据,在进行本地检测的同时向中心节点传输链路数据和路由信息,用于中心节点实施全局检测。一旦本地节点检测到可疑流量,即通知中心节点发起全局检测。为使攻击检测能实时可靠运行,还对中心节点进行必要的备份保护。这样本文检测防御机制加上已有的过滤以及追踪机制形成DDoS攻击检测系统。