1 基于异常特征的 DDoS 检测模型?廖鹏 1,2 (,深圳 518031 ;2. 中科华核电技术研究院有限公司信息技术中心, 深圳 518031 ) 摘要: 本文根据 TCP ,UDP 特性,利用不同报文之间的约束关系建立统计指标,在此基础上运用协方差矩阵和切比雪夫不等式运算模型检测 DDoS 攻击并量化其攻击强度. 关键词: 分布式拒绝服务攻击;协方差矩阵;切比雪夫不等式 DDoS Detection Model Based on Abnormal Characteristic LIAO Peng 1,2 (1. China Guangdong Nuclear Power Group, Shenzhen 518031, China; 2. Information Technology Center, China Nuclear Power Technology Research Institute, Shenzhen 518031, China) Abstract : According to the characteristic of TCP and UDP, the paper constructs several statistical indicators with the constraint of different messages. Based on the indicators, puting model of covariance matrix and Chebyshev inequality is used to detect the DDoS attack and quantify the attack level. Keywords : distributed denial of service, covariance matrix, chebyshev inequality 1 统计指标的建立为了研究无限时网络里各 TCP , UDP 数据包的关系,我们需要考察给定时间粒度里 TCP , UDP 数据包的关系. 针对 TCP 协议, 在给定时间里 TCP 连接接近完整或正常, 则其各报文存在如下一个约束关系[1] : (1) 2(2) 0(3) SYN SYN ACK SYN ACK FIN ACK RST NN NN N ?????? x N 为表示在时间粒度内标记为 x 的 TCP 报文数量. (1) 式表示连接建立过程的 TCP 数量约束关系, (2) 式表示连接全部过程的 TCP 数量约束关系, (3) 式表示连接结束过程的 TCP SYN+ACK 报文比 SYN 携带了更多的连接信息,更接近于 TCP 流的数量,因此以服务器返回的 SYN+ACK 报文作为基准来确定 TCP TCP , UDP 可能发生的异常情况且与 DDoS 攻击相关的指标归纳为如下几个: ?作者简介: 廖鹏,男,助理工程师,主要从事电力行业 SAP 系统实施工作;联系电话: 0755-84478924 , E-mail: liaopeng@ 2 (1) SYN 异常标志是 SYN 与 SYN+ACK 报文数量不匹配,定义 SYN
基于异常特征的DDoS检测模型 来自淘豆网m.daumloan.com转载请标明出处.
