基于行为自相似分析的DDoS攻击检测与追踪

摘要

DDoS攻击是攻击特定目标，使其无法提供正常网络服务的攻击方式，DDoS攻击工具的出现，发动DDoS攻击变得简便而有效，因此DDoS攻击引起的网络安全事件层出不穷。随着DDoS的攻击方法和工具的不断更新升级，DDoS攻击的危害变得越来越大，成为当今互联网安全的主要威胁之一。
　　本文针对DDoS攻击的特点，提出了基于用户行为的自相似性对DDoS攻击进行分析的方法，研究了套接字字段和TCP标识符等特征字段的熵值在DDoS攻击发生时候的变化。结合生物信息学中蛋白质相互作用网络的特点，利用特征熵值的变化信息为不同的DDoS攻击方式建立目标蛋白质相互作用网络。
　　为了能追踪并锁定DDoS攻击源，本文利用主动网络的特点，设计了DDoS攻击的检测与追踪总体方案。该方案在分时统计的基础上为每个数据包创建RTCT字段，服务器端根据不同的RTCT值分类数据包并生成不同的个体，利用相同的特征熵值为每个个体构建对应的蛋白质相互作用网络。最后通过与目标蛋白质相互作用网络进行对比来判断或预测个体是否有攻击行为，如果个体有攻击行为，分解个体RTCT值锁定攻击源并还原攻击路径。
　　实验结果表明该总体方案对DDoS攻击十分敏感，能够准确的检测和预测出DDoS攻击并指示攻击类型，并能在复杂的网络拓扑结构中正确的锁定攻击源并还原攻击路径。

目录

声明

摘要

1 绪论

1．1 研究背景及研究意义

1．2 国内外研究现状

1．3 主要研究内容

1．4 论文的结构

2 用户行为的自相似性及蛋白质相互作用网络

2．1 用户行为的自相似性

2．2 蛋白质相互作用网络

2．2．1 蛋白质相互作用网络的定义

2．2．2 蛋白质相互作用网络的功能

2．2．3 蛋白质相互作用网络的构建规则

2．3 蛋白质相互作用网络的相似性

2．4 蛋白质相互作用网络与DDoS攻击检测的结合

2．4．1 蛋白质相互作用的检测功能与DDos攻击检测的结合

2．4．2 蛋白质相互作用的预测功能与DDos攻击检测的结合

3 DDoS攻击特征及目标蛋白质网络构建

3．1 DDoS攻击特征的选取

3．2 DDoS攻击特征的统计方法

3．2．1 信息熵以及特征熵值的计算

3．2．2 特征熵值的分时统计

3．3 直接攻击方式下特征熵值的变化情况

3．3．1 仅有一次攻击发生的情况下特征熵值的变化

3．3．2 二次攻击情况下特征熵值变化

3．3．3 修正数据统计方式

3．4 DRDoS攻击方式下特征熵值的变化情况

3．5 PRS熵值变化情况

3．5．1 攻击工具默认设置下PRS熵值的变化情况

3．5．2 复杂DDoS攻击行为下的PRS的熵值变化

3．6 不同类型DDoS攻击的蛋白质相互作用网络的构建

3．6．1 直接攻击方式下的目标蛋白质相互作用网络

3．6．2 DRDoS攻击方式下的目标蛋白质相互作用网络

4 DDoS攻击源追踪算法及检测追踪总体方案设计

4．1 DDoS攻击源追踪算法

4．2 DDoS攻击的检测及追踪方案的整体设计

5 实验及实验结果分析

5．1 实验前期准备

5．1．1 实验环境及参数设定

5．1．2 实验的前期训练

5．2 第一次实验结果分析

5．3 第二次实验结果分析

5．4 现有数据集的验证

6 总结与展望

6．1 本文总结

6．2 进一步工作展望

参考文献

攻读硕士学位期间主要研究成果

致谢