分布式拒绝服务攻击检测系统的设计与实现.pdf

大连理工大学
硕士学位论文
分布式拒绝服务攻击检测系统的设计与实现
姓名:王微微
申请学位级别:硕士
专业:软件工程
指导教师:李明楚
20080531
摘要网络时代的到来使互联网走进千家万户,融入日常生活。网络安全成为上至政府机关下至平民百姓无不关心的热点。本文以网络安全为背景,介绍了入侵检测系统的原理和发展历程,分析了入侵检测系统所能检测的众多入侵行为中的一种——拒绝服务攻击的特点和几种主要攻击类型,并重点分析了由拒绝服务攻击衍生出的分布式拒绝服务攻击的新特征和检测方法。检测方法分为基于异常检测模型和误用检测模型。前者监控网络以及服务器状态,以正常状态为标准,在给定时间跨度采样并依据欧几里德距离计算相似度完成检测工作;后者依据对攻击包的分析以及业界公认的标准作为规则,检测捕获到的数据包是否满足那些规则,从而判断是否遭到攻击。经验证明,使用基于异常的检测模型和基于误用的检测模型对分布式拒绝服务攻击进行检测的效率和效果有很大的不同,前者更加适用于以大流量为背景的分布式拒绝服务攻击。因此,项目采用基于异常的检测模型,以自相似性算法为核心,监测局域网内所有数据包,现己通过实验证明能够检测到分布式拒绝服务攻击的起始与终止,及时报警并完成日志的记录。关键词:异常检测;分布式;拒绝服务;相似度大连理工大学专业学位硕士学位论文
—.瑂猰瑃琫籹’.,琲;.琽瑂籨;
作者签名:趟翘烊掌冢呼篥谭蝗独创性说明作者郑重声明:本硕士学位论文是我个人在导师指导下进行的研究工作及取得研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,也不包含为获得大连理工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。
作者签名:圭大连理工大学学位论文版权使用授权书本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用规定”,同意大连理工大学保留并向国家有关部门或机构送工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,也可采用影印、缩印或扫描等复制手段保存和汇编学位论文。交学位论文的复印件和电子版,允许论文被查阅和借阅。本入授权大连理导师签名大连理工大学专业学位硕士学位论文
言引提到网络安全【浚嗣亲匀坏鼗嵯氲讲《痉阑と砑约胺阑鹎健7阑鹎阶魑R恢志态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码】。防火墙在设计上的缺陷推动了入侵检测系统某鱿帧入侵检测技术的发展始于世纪年代初,理论上由单纯地使用规则进行模式匹配到中期的统计学理论和专家系统相结合直至现在的集统计分析、模式匹配、数据重组、协议分析以及行为分析为一体的基于网络的入侵检测系统。并且涌现出了很多优秀的入侵检测系统;如腔诠嬖虻目T慈砑壳拔H虿渴鹱钗9泛的入侵检测技术,并成为防御技术的标准。国内由启明星辰公司开发的天阗入侵检测与管理系统,天清入侵防御系统以及天清汉马~体化安全网关也都印证了我国在威胁检目前入侵检测系统被广泛地应用于检测那些可以通过防火墙的合法流量中的恶意入侵行为。其中就包括对拒绝服务セ骷捌湫卤渲址植际骄芫攻击是的严重安全问题,以其危害巨大,难以防御等特点成为黑客经常采用的攻击手段,到目前为止还没有一种方案能完全防住攻击。,与年下半年相比增加了S纱丝杉珼セ鞯氖恳恢背士焖僭龀さ那攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,如,等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;事件的突发性,往往在很短的时间内,大量的攻击数据就可使网络资源和服务资源消耗殆尽。不管哪种攻击,当前的技术都不足以很好的抵御。现在流行的防御手段——.椤如黑洞技术和路由器过滤,限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如肭旨嗖饪梢蕴峁┮恍┘觳庑阅艿ú荒芑航釪セ鳎阑鹎教峁┑保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。大连理工大学专业学位硕士学位论文测和防御领域的技术实力。击的检测。势。
综合考虑,还是采用基于软件的入侵检测系统更为可取。另外,要在大规模网络也就是以大数据流量作为背景下,对攻击进行检测,利用规则匹配的方式是很难实现的,因为攻击本身就很难提取出特征,也就更无法建立规则,更谈不上规则匹配,基于异常的检测