分布式拒绝服务攻击高效局部异常检测技术研究

摘要

分布式拒绝服务攻击简称 DDoS攻击。一般定义为攻击机通过控制网络中大量主机，进而利用这些主机向受害机发送伪造的报文，以此方式消耗目标机资源，致使其不能为正常的请求提供服务。本文针对单点检测技术进行了深入的研究，设计并实现了新的攻击检测原型系统。
　　大部分单点检测技术基于单线程或进程进行捕获报文，其存在的缺陷：不能全面有效采集网络中的报文，从而降低检测系统的及时性和准确性。本文设计并实现高效的局部异常检测原型系统。首先，在检测点利用多线程从不同的网卡并行捕获报文，并存储到线程间共享内存 IPlist中；然后，提取报文中的目的IP地址，并将其压缩存储到 Sketch矩阵结构形成概要矩阵信息，计算当前概要矩阵信息熵值以及队列矩阵的动态阀值，通过熵值和动态阀值的比较判断是否有 DDoS攻击发生；最后，将计算的当前概要矩阵信息存储到队列头，并对有异常的当前概要矩阵信息进行累积和及反编运算，生成可疑概要矩阵信息。
　　为了向用户直观展示检测结果，采用 MVC低耦合设计思想实现前端演示软件，该演示软件能够对攻击信息进行完整的展示。
　　实验结果表明：该检测系统相比于传统单点检测方法能够更及时、更准确检测到 DDoS攻击，进而降低目标机受损害程度；通过前端演示软件，使得用户可以更加直观地分析判断受攻击情况。

目录

声明

第一章 绪论

1.1 互联网安全概述

1.2 DDoS攻击概念与相关工具

1.3 论文创新

1.4 论文组织结构

第二章 DDOS相关研究

2.1 源地址追踪技术分析

2.2 检测分类及原理分析

2.3 DDoS攻击亟需解决的问题

2.4 小结

第三章 DDOS攻击单点局部异常检测系统

3.1 检测系统结构和功能设计

3.2 多线程技术

3.3 存储报文和信息熵算法

3.4 可疑概要矩阵生成

3.5 本章小结

第四章 检测系统实现

4.1 多线程捕获网络报文

4.2 信息异常检测

4.3 单点检测算法实现

4.4 前端演示软件设计以及实现

4.5 本章小结

第五章 实验与分析

5.1 测试环境搭建

5.2 构造背景流量

5.3 共享内存存储

5.4 测试结果分析

5.5 本章小结

第六章 结论与展望

致谢

参考文献

作者在学期间取得的学术成果