【摘要】：現(xiàn)代社會高度依賴互聯(lián)網(wǎng),人們在享受網(wǎng)絡(luò)服務(wù)帶來的便利時同樣承受著網(wǎng)絡(luò)攻擊帶來的風(fēng)險。其中拒絕服務(wù)攻擊(DoS)是危害網(wǎng)絡(luò)的典型代表。低速率拒絕服務(wù)攻擊(LDoS)作為一種特殊的DoS攻擊,其攻擊效果類似于傳統(tǒng)的DoS攻擊,但隱蔽性更佳�，F(xiàn)有的LDoS攻擊的檢測方法普遍存在高檢測成本、高誤報率等缺陷,因此,對LDoS攻擊的檢測方法仍需進(jìn)一步研究以期獲得更高效的檢測方法。本文根據(jù)實際網(wǎng)絡(luò)定義了三種不同的網(wǎng)絡(luò)環(huán)境,在三種網(wǎng)絡(luò)環(huán)境中TCP流量的分布和波動具有顯著差異。本文根據(jù)發(fā)生LDoS攻擊的網(wǎng)絡(luò)環(huán)境中大時間尺度上TCp-流量分布趨于離散、其他兩種網(wǎng)絡(luò)環(huán)境中TCP流量趨于集中這一現(xiàn)象,提出使用兩步聚類分析算法檢測LDoS攻擊,將發(fā)生LDoS攻擊的流量從網(wǎng)絡(luò)流量中分離出來。通過分析三種網(wǎng)絡(luò)環(huán)境中小時間尺度上TCP流量的波動形態(tài),發(fā)現(xiàn)發(fā)生LDoS攻擊的網(wǎng)絡(luò)環(huán)境中小時間尺度上TCP流量波動劇烈,其他兩種網(wǎng)絡(luò)環(huán)境中TCP流量波動趨于平穩(wěn)。提出了數(shù)據(jù)片的概念,并根據(jù)相關(guān)閾值判斷數(shù)據(jù)片是否異常。提出異常數(shù)據(jù)片分析算法檢測LDoS攻擊,根據(jù)待測試的網(wǎng)絡(luò)中異常數(shù)據(jù)片的占比檢測當(dāng)前網(wǎng)絡(luò)流量中是否包含LDoS攻擊。通過實驗驗證了這兩種方法的可行性和有效性,但同時這兩種方法也存在各自的使用場景和特點。兩步聚類分析算法檢測速度快但存在一定的誤報率;異常數(shù)據(jù)片分析算法檢測誤報率低但檢測速度較慢�；谶@兩種檢測方法優(yōu)勢的互補(bǔ)性,本文最后提出采用協(xié)同檢測方法檢測LDoS攻擊,將兩種檢測方法采用串行的檢測方式,在保證檢測誤報率低的情況下,能夠在較短的時間內(nèi)以較小的檢測代價得到檢測結(jié)果。本文最后分別基于NS-2平臺和公共數(shù)據(jù)集LBNL驗證協(xié)同檢測算法的可行性、有效性和準(zhǔn)確性。實驗結(jié)果表明,協(xié)同檢測方法能夠有效檢測LDoS攻擊,且檢測誤報率低且檢測速度較快。
【圖文】：

會根據(jù)擁塞窗口的設(shè)定使ＴＣＰ流量指數(shù)或線性增長。ＴＣＰ／ＩＰ擁塞控制機(jī)制在能逡逑保證網(wǎng)絡(luò)資源能得到充分利用的同時，又能有效避免過多的網(wǎng)絡(luò)流量的注入，造逡逑成擁塞。正常的無攻擊的網(wǎng)絡(luò)情況下，ＴＣＰ／ＩＰ擁塞控制機(jī)制的反應(yīng)如圖２．１所示。逡逑癡塞窗口逡逑ｃｗｎｄ逡逑ｓｓｔｈｒｅｓｈ的初始值邋１６邋■邐＼逡逑新的ｓｓｔｈｒｅｓｈ邋值邋１２邋＊邐／邐＼逡逑；７邋＼ｊ逡逑ｙ邐傳輳輪次逡逑０邐２邐４邐６邐８邐１０邐１２邐１４邐１６邐１８邐２０邐２２邐２４逡逑圖２．丨正常網(wǎng)絡(luò)環(huán)境下?lián)砣翱谧兓疽鈭D逡逑圖２．１的橫坐標(biāo)表示ＴＣＰ流量傳輸?shù)妮喆�，縱坐標(biāo)表示控制ＴＣＰ流量進(jìn)入的擁逡逑塞窗口ｃｗｎｄ。正常網(wǎng)絡(luò)環(huán)境下，，ＴＣＰ開始建立連接，擁塞窗口ｃｗｎｄ從１開始，執(zhí)逡逑行慢啟動算法，隨著傳輸輪次的增加擁塞窗口邋ｃｗｎｄ以指數(shù)規(guī)律增長，當(dāng)擁塞窗口逡逑ｃｗｎｄ到達(dá)設(shè)定的初始門限ｓｓｔｈｒｅｓｈ時，改為執(zhí)行擁塞避免算法，擁塞窗口ｃｗｎｄ按逡逑７逡逑

逡逑照線性規(guī)律增長。假設(shè)當(dāng)擁塞窗口邋ｃｗｎｄ增長到如圖２．１中所示的２４時，網(wǎng)絡(luò)超時或逡逑ＴＣＰ連接開始丟包，根據(jù)此現(xiàn)象，ＴＣＰ／ＩＰ協(xié)議認(rèn)為網(wǎng)絡(luò)中可能出現(xiàn)了擁塞，會將逡逑擁塞窗口ｃｗｎｄ重置為１，并將門限ｓｓｔｈｒｅｓｈ值變?yōu)槌霈F(xiàn)超時時擁塞窗口ｃｗｎｄ值的一逡逑半，即新的ｓｓｔｈｒｅｓｈ為１２。與此同時，重新開始執(zhí)行慢啟動算法，擁塞窗口ｃｗｎｄ逡逑增長至新的門限值后，執(zhí)行擁塞避免算法，直至新的擁塞出現(xiàn)。逡逑正常的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)擁塞情況會反復(fù)出現(xiàn)，但是出現(xiàn)網(wǎng)絡(luò)擁塞情況之間逡逑的傳輸輪次的間隔較大，即前后兩次出現(xiàn)擁塞情況之間的時間較長，擁塞窗口逡逑ｃｗｎｄ的值有足夠長的時間用來恢復(fù)和增長，因此門限ｓｓｔｈｒｅｓｈ的平均值大，網(wǎng)絡(luò)逡逑中的吞吐量大。逡逑當(dāng)發(fā)生ＬＤｏＳ攻擊時
【學(xué)位授予單位】：湖南大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前3條

1 文坤;楊家海;張賓;;低速率拒絕服務(wù)攻擊研究與進(jìn)展綜述[J];軟件學(xué)報;2014年03期

2 孫長華;劉斌;;分布式拒絕服務(wù)攻擊研究新進(jìn)展綜述[J];電子學(xué)報;2009年07期

3 何炎祥;曹強(qiáng);劉陶;韓奕;熊琦;;一種基于小波特征提取的低速率DoS檢測方法[J];軟件學(xué)報;2009年04期

本文編號：2707948