DDoS攻击检测技术的研究

DoS(Denial of Service)拒绝服务攻击是对网络服务有效性的一种破坏,使受害主机或网络不能及时接受并处理外界请求,或无法及时回应外界请求,从而不能提供给合法用户正常的服务,形成拒绝服务。DDoS(Distributed Denial of Service)分布式拒绝服务攻击利用足够数量的傀儡机产生数目巨大的攻击数据包对一个或多个目标实施DoS攻击,耗尽受害端的资源,使受害主机丧失提供正常网络服务的能力。DDoS攻击已经是当前网络安全最严重的威胁之一,是对网络可用性的挑战。反弹攻击和IP源地址伪造技术的使用使得攻击更加难以察觉。 就目前的网络状况而言,世界的每一个角落都有可能受到DDoS攻击,但是只要能够尽可能检测到这种攻击并且作出反应,损失就能够减到最小的程度。因此,DDoS攻击检测方法的研究一直受到关注。本文对DDoS攻击检测展开研究。主要贡献如下: (1)结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,为今后进一步研究DDoS攻击检测打下理论基础。 (2)基于Bloom Filter技术对SYN Flooding攻击数据包特征信息进行提取,并根据提取的特征进行检测,该方法能够避免因为正常拥塞引起的误报。在这个工作的前提下,提出了一种基于变化点计算的源端DDoS攻击检测方法和一种基于Hurst参数的源端DDoS攻击检测方法。所给方法使用的计算资源少,并能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击。 (3)提出了一种基于熵的DDoS攻击检测方法。使用基于滑动窗口技术的熵算法实时检测网络数据包中目的IP地址出现的随机性,然后用VTP方法进行异常检测。本方法能够实时检测出各种DDoS攻击的存在。从实验结果可以看出,本方法适合大流量背景的攻击,应用范围更加广泛。