一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)_第1頁
一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)_第2頁
一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)摘要:實現(xiàn)了一種全集成可變帶寬中頻寬帶低通濾波器,討論分析了跨導(dǎo)放大器-電容(OTAC)連續(xù)時間型濾波器的結(jié)構(gòu)、設(shè)計和具體實現(xiàn),使用外部可編程電路對所設(shè)計濾波器帶寬進行控制,并利用ADS軟件進行電路設(shè)計和仿真驗證。仿真結(jié)果表明,該濾波器帶寬的可調(diào)范圍為126 MHz,阻帶抑制率大于35 dB,帶內(nèi)波紋小于05 dB,采用18 V電源,TSMC 018m CMOS工藝庫仿真,功耗小于21 mW,頻響曲線接近理想狀態(tài)。關(guān)鍵詞:Butte引 言現(xiàn)代社會對計算機網(wǎng)絡(luò)(如互聯(lián)網(wǎng))的依賴性愈來愈強,從而,網(wǎng)絡(luò)安全的重要性不言而喻。在網(wǎng)絡(luò)安全方面,檢測分布式拒絕服

2、務(wù)攻擊(Distributed Denialof Service,DDoS)一直是重要研究內(nèi)容。在入侵檢測方面有兩類系統(tǒng):基于主機的入侵檢測系統(tǒng)(IDS)和基于網(wǎng)絡(luò)的IDS。基于網(wǎng)絡(luò)的IDS以網(wǎng)絡(luò)流量為檢測對象,它又可分為兩類:誤用檢測和異常檢測。誤用檢測基于以往攻擊事件的特征庫,故誤用檢測的IDS能準(zhǔn)確檢測舊式攻擊。誤用檢測對新變種的DDoS攻擊顯得無力,因為新變種的DDoS攻擊的新特征尚不在特征庫內(nèi),故可以百分之百地逃避誤用檢測。本文工作屬異常檢測。異常檢測適合新變種的DDoS攻擊。但是,若把異常流量判別為正常則出現(xiàn)漏報。對于一次報警,把異常流量識別為異常的概率有多大?漏報概率有多大?這些

3、是異常檢測的可靠報警問題,也是異常檢測的棘手問題。所謂可靠報警,是指所采用的異常檢測器在原理上就具備那樣的特性,用戶可預(yù)先設(shè)定報警概率和漏報概率??煽繄缶窃撐难芯康腎DS的主要特點。傳統(tǒng)DDoS攻擊的基本特點是數(shù)據(jù)速率特別高。故IDS常按高速率檢測,包括以前的工作。近年來,出現(xiàn)了一種低速率DDoS攻擊,其目的是逃避常規(guī)IDS。因此,如何可靠地檢測低速率DDoS攻擊成了有意義的研究。本文提出一種可靠檢測低速率DDoS攻擊的IDS。它由三部分組成:網(wǎng)絡(luò)流量的實時采集模塊;檢測決策模塊;報警模塊。整個系統(tǒng),其輸入是網(wǎng)絡(luò)流量,輸出是就異常流量發(fā)出的報警信號。該系統(tǒng)的主要特點是能按用戶指定的檢測概率做

4、出決策和報警。1低速率DDoS攻擊的特點這里討論的低速率攻擊,是攻擊者以TCP協(xié)議為目標(biāo),通過RTO計時器,在鏈接中制造運行中斷,從而導(dǎo)致TCP控制機構(gòu)擁塞。進行攻擊的數(shù)據(jù)流是具有一定周期的方波。攻擊流量的速率低,卻有高的攻擊效率。TCP協(xié)議中,RTO是個重要的值。采用RTO是為了保證網(wǎng)絡(luò)有足夠的時間從擁塞中恢復(fù)過來。如果RTO過大,出現(xiàn)報文丟失,TCP需要等待過長的時間才能重傳報文,增加了TCP報文傳輸時間。如果RTO過小,會引起不必要的重傳,同時會錯誤地觸發(fā)TCP的超時重傳算法,降低了TCP的發(fā)送速率,從而降低了TCP的性能。下面介紹攻擊的原理。設(shè)TCP的RTO值為1 s,攻擊者在0時刻制

5、造了一個運行中斷。TCP發(fā)送者要等待1 s重傳并且將RTO加倍。如果攻擊者在1 s和RTT間又制造了一個運行中斷,將迫使TCP再等2 s,攻擊者可以利用KAM算法,在3 s,7 s,15 s,時通過制造相似的運行中斷。如此,就能用很低的平均速率進行攻擊,使服務(wù)器對TCP流拒絕服務(wù)??梢?,若DDoS周期和RTO相近,則TCP會一直發(fā)生丟包事件。于是,結(jié)束超時重傳的狀態(tài)就一直不變,最終導(dǎo)致吞吐量幾乎為0。因此,低速率攻擊的關(guān)鍵就是攻擊者能否對RTO進行準(zhǔn)確預(yù)測。另外,脈沖持續(xù)時間長短也很重要。文獻5指出,當(dāng)l=maxiRTTi且T=RTO時,攻擊效率很高。簡言之,和高速率攻擊相比,低速率DDoS攻

6、擊的一個最大特點就是集中在某一小時間范圍內(nèi)發(fā)送惡意數(shù)據(jù),從而使得攻擊數(shù)據(jù)流的平均速率比較小,以逃避常規(guī)IDS的檢測。2 IDS結(jié)構(gòu)及功能系統(tǒng)結(jié)構(gòu)與功能本文討論的IDS主要由三個模塊組成,各模塊的名稱及功能如下:數(shù)據(jù)采集與萃取模塊 此模塊是基于LIBPCAP函數(shù)庫實現(xiàn)的。封裝為C+類,可方便嵌入入侵檢測系統(tǒng),作為前端流量采集與信息萃取模塊??紤]到IDS是一類實時系統(tǒng),該模塊的設(shè)計原則是所測流量足夠后面的異常檢測用即可。就本文講述的系統(tǒng),信息萃取是從測得的數(shù)據(jù)包中提取包長度信息。攻擊識別與決策模塊 由用戶按設(shè)定的識別概率和漏報概率做異常流量檢測。報警模塊 根據(jù)用戶設(shè)定的識別概率和漏報概率對發(fā)生的攻擊采取多種方式進行報警。系統(tǒng)結(jié)構(gòu)如圖1所示。下面分別描述各模塊的結(jié)構(gòu)。2.2數(shù)據(jù)采集與萃取模塊網(wǎng)絡(luò)數(shù)據(jù)包捕獲利用LIBPCAP函數(shù)庫實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,該庫所提供的主要功能函數(shù)有(見LIBPCAP手冊):pcap_open_live():獲取捕獲數(shù)據(jù)包的描述符,用于查看網(wǎng)絡(luò)數(shù)據(jù)包的傳輸;pcap_lookupdev():返回供pcap_open_live()使用的設(shè)備指針;pcap_open_offline()

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論