一种基于SVM的应用层DDoS泛洪攻击检测与防御模型

摘要

随着网络用户规模的迅速扩大，分布式技术突破了传输带宽的限制，为使用者提供了有效的资源共享平台。然而开放的服务也为攻击者提供了可乘之机。传统的入侵检测技术无法彻底过滤僵尸网络发动的针对应用层拒绝服务的攻击。作为防火墙的弥补措施，入侵检测系统必须有效地保证正常用户的访问权，并减少因停止服务而带来的损失。 对于安全防御领域来说，入侵检测技术必须具备精确性和及时性的特点。本文针对应用层泛洪攻击行为，以提高应用层入侵检测分类算法的精确度和泛化能力为研究目的。提出了基于SVM的应用层入侵检测算法，并对检测方案进行了仿真实验。主要研究内容包括以下四个方面： (1)介绍了基于不同层次的泛洪攻击，并重点阐述了入侵检测的技术特点。对国内外研究现状及发展方向做了分析和总结。详细介绍了入侵检测技术的系统框架、技术理论、评价标准以及常见的分布式拒绝攻击形式。 (2)对基于SVM的分类算法进行了深入的研究。分析了将SVM理论应用于入侵检测的可行性。重点研究了不同核函数的过学习和欠学习现象，将不同核函数应用于入侵检测数据分类研究中。结合不同单核函数的特殊性质，提出一种基于混合加权核函数的分类算法。实验表明，该算法具有较高的分类精度。 (3)在分类模型的优化过程中，详细阐述了交叉验证的过程，重点研究了获取最佳参数组合的寻优算法，并将本文提出的粗细网格参数优化算法与启发式遗传算法进行对比。实验表明，本算法具有良好的收敛性和鲁棒性，减少了交叉验证和分类预测的时间。 (4)在分析用户浏览行为的基础上，采用统计方法来记录每个应用层会话的异常程度，将攻击归为一种非正常的用户浏览行为。对正常浏览行为与异常行为的信息进行采集和处理，提取攻击特征信息，构造出学习能力强的应用层异常检测分类器。实验结果表明，该检测方案不仅能够有效抵御已知的应用层泛洪攻击，而且能够对未知攻击行为进行认知和学习。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

§1.1入侵检测技术研究背景和研究意义

§1.2入侵检测技术的国内外研究进展

§1.3入侵检测技术的发展方向

§1.4 本文的主要研究内容

§1.5 论文的组织结构

第二章 DDoS泛洪攻击检测技术概述

§2.1 泛洪攻击概述

§2.2 DDoS泛洪攻击的主要手段

§2.3入侵检测技术的分类

§2.4 入侵检测技术的测评

§2.5 本章小结

第三章 基于SVM算法的学习型检测模型

§3.1 SVM用于入侵检测的可行性分析

§3.2 SVM分类的基本原理

§3.3 SVM分类技术的实现与改进

§3.4 仿真实验及性能分析

§3.5 本章小结

第四章 SVM分类器训练优化

§4.1 分类模型的交叉验证原理

§4.2 基于遗传算法的交叉验证方法

§4.3 粗细网格参数寻优算法

§4.4 仿真实验及性能分析

§4.5 本章小结

第五章 应用层DDoS泛洪攻击的应对策略

§5.1应用层泛洪攻击概述

§5.2 基于浏览行为分析的检测技术

§5.3 基于访问控制的应用层DDoS过滤技术

§5.4 仿真实验与性能分析

§5.5 本章小结

第六章 总结与展望

§6.1 论文总结

§6.2 未来工作展望

参考文献

致谢

攻读硕士学位期间发表的论文