色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

    

      

          
	
	
          
		
			
		
          
    
    	
          
  		
          
		    
          
		      
		      
		      
		    
          
  		
          
  		
          
	
          


	


          
		
          
		            
            
        		
          
		
          







          


          
	
	
          
		
          新聞中心
          
	
          
	
          
	
          EEPW首頁 
	 > 模擬技術 > 設計應用 > 一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)
          
    
          

          

          


	
	
	

          
	
          
		
          
			
          一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)
          
						
          
				作者:
				時間:2009-12-01
				來源:網(wǎng)絡
				
				
				
				
				收藏
			
          

			
          
				
				
			
          

			
          
			
			
          
			
			
          
				
				
			
          
                
			
          引 言

          現(xiàn)代社會對計算機網(wǎng)絡(如互聯(lián)網(wǎng))的依賴性愈來愈強,從而,網(wǎng)絡安全的重要性不言而喻。在網(wǎng)絡安全方面,檢測分布式拒絕服務攻擊(Distributed Denialof Service,DDoS)一直是重要研究內容。在入侵檢測方面有兩類系統(tǒng):基于主機的入侵檢測系統(tǒng)(IDS)和基于網(wǎng)絡的IDS?;诰W(wǎng)絡的IDS以網(wǎng)絡流量為檢測對象,它又可分為兩類:誤用檢測和異常檢測。誤用檢測基于以往攻擊事件的特征庫,故誤用檢測的IDS能準確檢測舊式攻擊。誤用檢測對新變種的DDoS攻擊顯得無力,因為新變種的DDoS攻擊的新特征尚不在特征庫內,故可以百分之百地逃避誤用檢測。本文工作屬異常檢測。

          異常檢測適合新變種的DDoS攻擊。但是,若把異常流量判別為正常則出現(xiàn)漏報。對于一次報警,把異常流量識別為異常的概率有多大?漏報概率有多大?這些是異常檢測的可靠報警問題,也是異常檢測的棘手問題。所謂可靠報警,是指所采用的異常檢測器在原理上就具備那樣的特性,用戶可預先設定報警概率和漏報概率??煽繄缶窃撐难芯康腎DS的主要特點。

          傳統(tǒng)DDoS攻擊的基本特點是數(shù)據(jù)速率特別高。故IDS常按高速率檢測,包括以前的工作。近年來,出現(xiàn)了一種低速率DDoS攻擊,其目的是逃避常規(guī)IDS。因此,如何可靠地檢測低速率DDoS攻擊成了有意義的研究。本文提出一種可靠檢測低速率DDoS攻擊的IDS。它由三部分組成:網(wǎng)絡流量的實時采集模塊;檢測決策模塊;報警模塊。整個系統(tǒng),其輸入是網(wǎng)絡流量,輸出是就異常流量發(fā)出的報警信號。該系統(tǒng)的主要特點是能按用戶指定的檢測概率做出決策和報警。

          1低速率DDoS攻擊的特點

          這里討論的低速率攻擊,是攻擊者以TCP協(xié)議為目標,通過RTO計時器,在鏈接中制造運行中斷,從而導致TCP控制機構擁塞。進行攻擊的數(shù)據(jù)流是具有一定周期的方波。攻擊流量的速率低,卻有高的攻擊效率。

          TCP協(xié)議中,RTO是個重要的值。采用RTO是為了保證網(wǎng)絡有足夠的時間從擁塞中恢復過來。如果RTO過大,出現(xiàn)報文丟失,TCP需要等待過長的時間才能重傳報文,增加了TCP報文傳輸時間。如果RTO過小,會引起不必要的重傳,同時會錯誤地觸發(fā)TCP的超時重傳算法,降低了TCP的發(fā)送速率,從而降低了TCP的性能。下面介紹攻擊的原理。

          設TCP的RTO值為1 s,攻擊者在0時刻制造了一個運行中斷。TCP發(fā)送者要等待1 s重傳并且將RTO加倍。如果攻擊者在1 s和RTT間又制造了一個運行中斷,將迫使TCP再等2 s,攻擊者可以利用KAM算法,在3 s,7 s,15 s,…時通過制造相似的運行中斷。如此,就能用很低的平均速率進行攻擊,使服務器對TCP流拒絕服務??梢?,若DDoS周期和RTO相近,則TCP會一直發(fā)生丟包事件。于是,結束超時重傳的狀態(tài)就一直不變,最終導致吞吐量幾乎為0。因此,低速率攻擊的關鍵就是攻擊者能否對RTO進行準確預測。另外,脈沖持續(xù)時間長短也很重要。文獻[5]指出,當l=maxi{RTTi}且T=RTO時,攻擊效率很高。

          簡言之,和高速率攻擊相比,低速率DDoS攻擊的一個最大特點就是集中在某一小時間范圍內發(fā)送惡意數(shù)據(jù),從而使得攻擊數(shù)據(jù)流的平均速率比較小,以逃避常規(guī)IDS的檢測。

          2 IDS結構及功能

          系統(tǒng)結構與功能

          本文討論的IDS主要由三個模塊組成,各模塊的名稱及功能如下:

          數(shù)據(jù)采集與萃取模塊 此模塊是基于LIBPCAP函數(shù)庫實現(xiàn)的。封裝為C++類,可方便嵌入入侵檢測系統(tǒng),作為前端流量采集與信息萃取模塊??紤]到IDS是一類實時系統(tǒng),該模塊的設計原則是所測流量足夠后面的異常檢測用即可。就本文講述的系統(tǒng),信息萃取是從測得的數(shù)據(jù)包中提取包長度信息。

          攻擊識別與決策模塊 由用戶按設定的識別概率和漏報概率做異常流量檢測。

          報警模塊 根據(jù)用戶設定的識別概率和漏報概率對發(fā)生的攻擊采取多種方式進行報警。系統(tǒng)結構如圖1所示。下面分別描述各模塊的結構。

          2.2數(shù)據(jù)采集與萃取模塊

          網(wǎng)絡數(shù)據(jù)包捕獲

          利用LIBPCAP函數(shù)庫實現(xiàn)網(wǎng)絡數(shù)據(jù)包的捕獲,該庫所提供的主要功能函數(shù)有(見LIBPCAP手冊):

          pcap_open_live():獲取捕獲數(shù)據(jù)包的描述符,用于查看網(wǎng)絡數(shù)據(jù)包的傳輸;

          pcap_lookupdev():返回供pcap_open_live()使用的設備指針;

          pcap_open_offline():打開數(shù)據(jù)包文件以供離線分析;

          pcap_dump_open():打開文件以供寫入數(shù)據(jù)包;

          pcap_setfilter():設置數(shù)據(jù)包過濾器程序;

          pcap_loop():啟動數(shù)據(jù)包捕獲。

          數(shù)據(jù)包捕獲過程如圖2所示。



          
				
            
          
                
			
							
          
                
			            
          
                            	              		              		上一頁
              		1
              		              			              		              	              				              				2
              					              				              			              		              	              				              				3
              					              						              						              				下一頁
		              					              				              			              		              	
          
                            
              
            
          
		
          
		
          
		
          
		
          
		
          
			
            
				
          • 
					
					
			  	
            • 
			  	
          • 
					
					
			  	
            • 
			  	
          • 
					
					
			  	
            • 
				
          • 
					
					
				
            • 
				
          • 
					
					
				
            • 
			
          
			
          
		
          
		
		
          
		
          
			
			
		
          
        
		
          
			
          關鍵詞:
            			            DDoS
                        檢測
                        低速
                        攻擊
                        
                        
            
          
            
			
          
		
          	
		

	

          
	
	
          
		
          
			
          評論
          					
		
          
		
          
			
          
			
				
          
					
					
          
						
                        
					
          
				
          
                		
						
						
			
          
		
          
		
          
		
          
            
			
            
		
          
	
          
	
          
	
          
		

          
	
          
		
          相關推薦
          					
	
          
	
    
	

          		

          


	
          
	
          
		
		
	
          


    
          
        
          技術專區(qū)
          
      
          
      
          
			
      
           
       

          

   











          
	
          
	    關閉