基于条件随机场的入侵检测系统的研究与实现

摘要

分布式拒绝服务(Distributed Denial of Service,DDOS)攻击对网络安全产生了极大的威胁,并且随着针对网络层和传输层DDOS攻击的检测技术日趋完善以及应用层的服务越来越复杂,产生了以应用层服务为攻击目标的应用层DDOS攻击,这类攻击通过发送合法的请求消耗大量的服务器计算资源,使得攻击难以被检测。
　　本文在分析正常用户的访问行为和攻击者的访问行为的差异的基础上提出了一种基于条件随机场的应用层DDOS攻击检测方法。与以往的对用户访问行为建模的方法相比,本文采用能够表示观察序列上长距离的依赖关系并且有效解决了标记偏置问题的条件随机场来描述用户访问行为。从正常用户的访问日志中训练得到一个以条件随机场表示的正常用户访问行为模型,并根据请求序列所表现出的访问行为和正常用户访问行为模型的偏差来判断该请求序列是否是攻击序列。本文采用请求序列的平均熵来衡量请求序列所表现出的访问行为和正常用户访问行为模型的偏差。
　　本文设计了一个实验来检验本文所提出的攻击检测方法的有效性。模拟随机URL攻击和重放session攻击这两类应用层DDOS攻击来构建测试集,利用本文所提出的检测方法对测试集中的所有请求序列进行检测并计算性能评估参数来评价检测方法的有效性。实验结果表明本文提出的攻击检测方法能够极为有效地检测出应用层DDOS攻击。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1 研究的背景和意义

1.2 相关研究

1.3 本文的主要贡献及组织结构

2 相关算法和技术

2.1 应用层DDOS攻击检测技术

2.2条件随机场

2.3 本章小结

3 基于条件随机场的入侵检测系统的设计

3.1 用户访问模型

3.2 系统总体设计

3.3 各模块设计方案

3.4 本章小结

4 基于条件随机场的入侵检测系统的实现

4.1 数据预处理模块的实现

4.2 特征生成模块的实现

4.3 参数估计模块的实现

4.4 判别模块的实现

4.5 攻击模拟模块的实现

4.6 评价模块的实现

4.7 本章小结

5 实验与分析

5.1 系统性能评估标准

5.2 实验设置

5.3 实验结果及分析

5.4 本章小结

6 总结与展望

6.1 研究总结

6.2 不足与展望

致谢

参考文献