基于網(wǎng)絡(luò)流量分形特性的DDoS攻擊檢測.pdf

1、隨著全球Internet網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為一個急需解決的問題。在眾多的網(wǎng)絡(luò)安全威脅中，DDoS以其實施容易，破壞力度大，檢測困難成為重中之重。近年來，對網(wǎng)絡(luò)流量特性的研究發(fā)現(xiàn)實際網(wǎng)絡(luò)流量具有明顯的尺度特性，在大尺度上表現(xiàn)為自相似(單分形)，在小尺度上表現(xiàn)為多重分形。本文在分析網(wǎng)絡(luò)流量分形特性的基礎(chǔ)上，研究利用網(wǎng)絡(luò)流量分形特性檢測DDoS攻擊的相關(guān)問題。 論文首先闡述DoS攻擊和DDoS攻擊原理，分析常見的DDoS

2、攻擊類型，總結(jié)在實施DDoS攻擊過程中常用的工具，分析常見的DDoS攻擊檢測方法。其次，利用FGN模型生成自相似數(shù)據(jù)，研究自相似Hurst參數(shù)7種常見估算算法的性能，分析典型DDoS攻擊流量的自相似特性和多重分形特性，研究兩個子流量合成一個新的流量時，新流量的Hurst參數(shù)與子流量Hurst參數(shù)之間的關(guān)系。 論文的重點內(nèi)容是利用網(wǎng)絡(luò)流量的Hurst參數(shù)和Holder指數(shù)來檢測DDoS攻擊。用背景流量模擬沒有攻擊發(fā)生時網(wǎng)絡(luò)流量的正

3、常情況，將攻擊流量加入到背景流量中描述攻擊發(fā)生時網(wǎng)絡(luò)流量的變化情況，然后將一定時間段內(nèi)的網(wǎng)絡(luò)流量聚合在一起，形成一個非負的時間序列，這個時間序列就代表了網(wǎng)絡(luò)的流量情況。再利用R/S算法來估算這個非負的時間序列在一些時間點的Hurst參數(shù)值。最后，通過繪圖得到時間序列Hurst參數(shù)值的變化圖。分析發(fā)現(xiàn)，利用Hurst參數(shù)能對DDoS攻擊進行有效的檢測，但是由于自相似特性體現(xiàn)的長相關(guān)性，決定了利用網(wǎng)絡(luò)流量的單分形特性檢測DDoS攻擊會存在檢

4、測時延和檢測靈敏度的問題。近來的研究發(fā)現(xiàn)網(wǎng)絡(luò)流量在小尺度下具有多重分形特性，本文將對利用網(wǎng)絡(luò)流量的Holder指數(shù)檢測DDoS攻擊進行研究。通過實驗分析小尺度下DDoS攻擊發(fā)生時，網(wǎng)絡(luò)流量Holder指數(shù)的變化情況。通過研究，發(fā)現(xiàn)DDoS攻擊發(fā)生時，網(wǎng)絡(luò)流量的Holder指數(shù)與正常情況相比有明顯的變化。因為小尺度下的Holder指數(shù)體現(xiàn)的是局部奇異性，所以利用Holder指數(shù)的變化來檢測DDoS攻擊，不存在檢測時延和檢測靈敏度問題，取得