DDoS攻击的检测及网络安全可视化研究

摘要

网络安全可视化是近年来国外研究的热点领域。与传统的分析日志数据方法不同，可视化技术带来网络安全研究方法的变革。它不仅能有效处理海量数据信息，而且通过对图形图像模式的分析帮助网络管理人员快速识别潜在的攻击和异常事件，甚至发现新的攻击类型和对安全事件做出预测。本文主要针对DDoS攻击的网络安全可视化问题进行了深入研究。 针对利用小波分析法求解Hurst参数值检测DDoS攻击，求得参数值不够精确，易造成漏报、误报，加上运用小波分析法需要的样本容量较大，计算过程缓慢，不能准确快速地识别弱DDoS攻击等特点，本文提出了一种改进的小波分析法的DDoS检测技术。根据主成分分析法将网络数据进行维数约减，然后利用小波分析法对降维后的数据求解自相似参数Hurst；提出了针对大规模网络数据维数约减的改进的主成分分析法。新算法大大提高了检测速度，能准确地求解Husrt参数值。通过数值、图形等方式给出了实验结果，从多角度说明了新算法的有效性。 结合信息可视化流水线，本文研究了DDoS攻击可视化检测系统应采用的数据源、选取的可视化结构和应具备的交互功能，分析了国外现有有关DDoS攻击的网络安全可视化技术的优缺点，提出了一种新型DDoS攻击检测技术。从DDoS攻击形成的前期特征入手，通过对网络数据进行提取分析和统计，对数据按照一定的算法原则进行图形元素的属性计算并显示。最后设计并实现了专门针对DDoS攻击的显示工具DDoSViewer，实验证明新系统具有好的显示、交互等功能，能有效检测DDoS攻击。 目前基于端口扫描的网络安全可视化技术常常以时间作为最重要参数指标，往往只能检测那些较快速地扫描行为，对强动态性、强随机性和强隐蔽性的与端口有关的安全事件如DDoS、蠕虫病毒、木马等效果并不好。为此，本文提出一种针对慢扫描、隐蔽扫描的网络安全信息可视化方法，通过分析处理网络数据包，运用信息可视化技术设计并开发了可视化端口扫描检测系统ScanViewer，该系统能从大量模糊数据信息中发现攻击模式，能有效检测到慢扫描、分布式扫描和各类TCP隐蔽扫描等。

目录

文摘

英文文摘

声明

第一章绪论

1.1课题研究背景、目的及意义

1.2网络安全信息可视化研究现状

1.3本文主要研究工作和创新之处

1.4论文结构

第二章研究基础

2.1网络安全信息可视化定义

2.2网络安全信息可视化流程

2.2.1数据源的选取

2.2.2数据的处理

2.2.3可视化结构选取

2.2.4交互性设计说明

2.3网络安全信息可视化方法分类

2.3.1针对网络数据流量的网络安全可视化

2.3.2针对端口信息的网络安全可视化

2.3.3针对入侵检测技术的网络安全可视化

2.3.4针对防火墙事件的网络安全可视化

2.3.5针对DDoS攻击等其他网络安全事件的可视化方法

2.4 DDoS攻击原理及前期特征分析

2.4.1 DDoS攻击原理

2.4.2 DDoS攻击前期特征分析

第三章基于改进小波分析法的DDoS检测技术研究

3.1基于小波分析法的DDoS检测技术

3.1.1自相似网络模型

3.1.2基于小波分析法的DDoS检测技术

3.2基于改进小波分析法的DDoS检测技术

3.2.1基于改进小波分析法的DDoS检测技术

3.2.2改进的主成分分析法

3.3实验结果分析

3.4结论与展望

第四章针对DDoS攻击的网络安全信息可视化研究

4.1针对DDoS攻击的网络安全可视化研究现状

4.2 DDoSViewer算法设计

4.2.1数据源选取

4.2.2 DDoSViewer算法原则

4.3可视化模型系统实现

4.3.1数据提取模块实现

4.3.2节点坐标计算与图形显示模块实现

4.3.3参数调整模块实现

4.4 DDoSViewer系统测试及分析

4.5小结

第五章针对慢扫描、隐蔽扫描的网络安全信息可视化研究

5.1针对端口扫描的网络安全可视化研究现状

5.2 ScanViewer算法设计

5.2.1数据的获取与处理

5.2.2可视化结构选取与交互性设计

5.3 ScanViewer系统设计与实现

5.3.1 ScanViewer系统设计

5.3.2 ScanViewer系统实现

5.4实验结果分析

5.5结论与展望

第六章总结与展望

6.1全文工作总结

6.2未来展望

参考文献

发表论文和科研情况说明

致 谢