基于IP地址相关性的DDoS攻击检测研究与实现

摘要

针对现行DDoS攻击检测方法存在着诸如检测率不高、适用范围不广、突发业务流与DDoS攻击难于区分等缺陷。在分析了DDoS攻击对网络流量大小和IP地址相关性的影响基础上，本文提出了基于网络流相关性的DDoS攻击检测方法。首先对流量大小特性进行相关性分析，定义Hurst指数方差变化率为测度，用以区分正常流量与引起流量显著变化的异常性流量。接着分析IP地址相关性，定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明，结合对网络流中流量大小和IP地址两个属性进行相关性分析，能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击，达到提高DDoS攻击检测效率的目的。
　　 针对改进后的算法本文设计并部分实现了基于IP地址相关性的异常检测系统模型。模型由流数据采集模块、流信息统计模块、异常检测模块和报警信息呈现模块组成。流数据采集模块对采集来的流信息先进行单流检测，对异常特征较为明显的单个流进行过滤，随后将采集的流信息存入数据库；流信息统计模块将采集的流信息按一定的规则进行聚合，将得到的数据存入数据库，并通过信息呈现模块显示用户感兴趣的统计信息；异常检测模块将新的异常检测机制应用于本系统，不仅能发现流量异常，而且能及时进行报警，提高了监测系统的实用性。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.2.1 DDoS攻击方法研究现状

1.2.2 DDoS防御方法研究现状

1.3 本文主要工作

1.4 论文章节安排

第二章 DDoS攻击概述

2.1 DDoS攻击原理

2.1.1 DDoS攻击产生根源

2.1.2 DDoS攻击一般过程

2.1.3 DDoS的体系结构

2.2 DDoS攻击的检测技术

2.2.1 基于SYN COOKIE的ODoS检测技术研究—针对SYN Flooding攻击

2.2.2 基于单向连接密度的DDoS检测

2.2.3 基于IP地址变化的DDoS攻击检测技术

2.2.4 客户响应分析法

2.2.5 基于网络流量的自相似模型的Hurst参数变化规律的DDoS攻击实时检测

2.3 防御技术

2.3.1 网络边界过滤机制

2.3.2 速率限制技术

2.4 本章小结

第三章 基于IP地址相关性的检测方法

3.1 算法改进的必要性

3.2 算法步骤和实验

3.2.1 自相似性检测方法

3.2.2 IP地址相关性检测方法

3.3 基于改进检测算法的实验评估

3.4 本章小结

第四章 基于IP地址相关性的DDoS攻击检测模型设计与实现

4.1 模型总体设计

4.2 数据采集模块

4.2.1 配置网络设备

4.2.2 模块设计

4.3 流信息存储模块

4.3.1 设计原理

4.3.2 MySQL数据库

4.3.3 模块的实现

4.4 异常检测模块

4.5 报警及信息呈现模块

4.6 本章小结

第五章 总结与工作展望

5.1 总结

5.2 工作展望

致谢

参考文献

在校期间发表论文