MONSTER系统DDoS和扫描检测模块的设计与实现

摘要

近年来随着网络攻击手段越来越丰富、攻击自动化程度越来越高，发起门槛越来越低，对其检测、防御的研究得到了国内外的广泛关注。MONSTER系统是部署于10G接入网的以串联方式工作的集成报文过滤、入侵检测、协同和响应的入侵防范系统(Intrusion Prevention System)。现有基于规则的入侵检测系统难以适应日益复杂的攻击技术，因此对MONSTER设计智能的流量扫描和DDoS攻击检测模块是非常必要的。
　　本文在对现有流量扫描和DDoS攻击检测技术总结的基础上，设计并实现了基于神经网络的流量扫描检测模块和基于SVM的DDoS攻击检测模块。主要内容如下:(1)在神经网络的理论基础上，设计实现预处理模块、模式识别模块、神经网络分类模块和扫描报警模块，形成流量扫描检测模块。(2)在支持向量机的理论基础上，设计实现预处理模块、特征计算模块、SVM学习模块、DDoS判定模块和DDoS攻击报警模块，形成新型DDoS攻击检测模块。
　　最后，通过实验对比体现了本文所选算法的优越性，并结合流量扫描检测模块和DDoS攻击检测模块，与现有的MONSTER系统融合，使其具有更强的攻击抵御能力。

目录

声明

摘要

第一章 绪论

1．1 研究背景

1．1．1 入侵检测系统

1．1．2 MONSTER系统简介

1．1．3 流量扫描检测

1．1．4 DDoS攻击检测

1．2 研究目标与主要内容

1．2．1 研究目标

1．2．2 主要内容

1．3 论文组织结构

第二章 流量扫描检测与DDoS攻击检测技术总结

2．1 流量扫描检测技术总结

2．2 DDoS攻击检测技术总结

2．2．1 基于统计模型的方法

2．2．2 基于软计算的方法

2．2．3 基于知识的方法

2．2．4 基于机器学习的方法

2．3 本章小结

第三章 基于神经网络的流量扫描检测模块

3．1 神经网络理论基础

3．1．1 人工神经元模型

3．1．2 神经网络模型

3．2 模块概述

3．2．1 流量扫描分析

3．2．2 扫描检测模块框架

3．3 流量扫描检测模块各模块设计

3．3．1 抓包引擎模块

3．3．2 预处理模块

3．3．3 模式识别模块

3．3．4 神经网络分类模块

3．3．5 扫描报警模块

3．4 实验设计与分析

3．4．1 流量扫描检测实验数据

3．4．2 流量扫描检测算法对比分析

3．5 本章小结

第四章 基于SVM算法的DDoS攻击检测模块

4．1 模块概述

4．2 SVM算法理论基础

4．2．1 分类原理

4．2．2 训练算法

4．3 DDoS攻击检测系统主要模块设计

4．3．1 预处理模块

4．3．2 特征计算模块

4．3．3 SVM学习模块

4．3．4 DDoS判定模块

4．4 实验设计与分析

4．4．1 DDoS攻击检测实验数据

4．4．2 评价指标

4．4．3 DDoS攻击检测算法对比分析

4．5 本章小结

第五章 改进后的MONSTER系统

5．1 改进后的MONSTER系统

5．1．1 规则翻译和预处理模块

5．1．2 报文采集模块

5．1．3 入侵检测模块

5．1．4 事件后处理模块

5．2 模块关系和设计原理

5．3 本章小结

第六章 总结与展望

6．1 论文工作总结

6．2 研究展望

致谢

参考文献