DDoS攻击的检测算法

时间:2024-03-23 点赞:42873 浏览:80252 作者原创标记本站原创

本文是一篇网络安全论文范文,网络安全类毕业论文开题报告范文,关于DDoS攻击的检测算法相关专科毕业论文范文。适合网络安全及计算机工程及计算机方面的的大学硕士和本科毕业论文以及网络安全相关开题报告范文和职称论文写作参考文献资料下载。

【摘 要】网络安全问题的核心在于对网络攻击的检测.针对DDoS的恶意攻击方式,本文在统计方法原理上提出了同步技术检测算法,并以DDoS为例,进行了检测系统的性能测试和分析.

【关 键 词】DDoS攻击;检测算法;同步技术

ResearchonDDoSAttackDetectionAlgorithm

XinYi-pei

(TheChinesePLA92493TroopsLiaoningHuludao125000)

【Abstract】Thecoreproblemofworksecurityistodetecttheworkattack.ThispaperpresentsadetectionalgorithminstatisticalmethodagainstmaliciousattacksofDDoS.IttestsandanalyzestheperformancetakingDDoSasanexample.

【Keywords】DDoSattack;detectionalgorithm;simultaneoustechniques

1引言

网络安全问题的研究一直是一个比较热点的问题,如何对网络安全问题进行研究也是一个需要深入考虑的问题.尤其是近年来,宽带业务的推广,用户数量巨增,使得DDoS攻击变得更为严重,DDSo攻击成为了近年来对Inter具有巨大影响的恶意攻击方式.

2基于统计方法的DDoS攻击检测和响应

LauraFeinstein等提出了计算熵(Entropy)和数据包属性分布式频率存储(Chi-Square)的方法来检测DDoS攻击的方法.

2.1Entropy检测算法

一个信息源有n个独立的概率为Pi的信号,那么嫡H就定义为:

H等于-pilog2pi

因此,熵可以用来计算一个样本里连续的包,将一些样本头域的嫡和从相同的PeeringPoint出来的样本的嫡相比较来检测随机变化.当网络不存在攻击,不同的头域嫡的值将落在一个很窄的范围内;当网络被攻击时,这些熵的值就会超出这些范围.

此算法只需要对每个包进行少量的计算,信包的熵可以通过宽为砰的滑动窗口来计算,这个算法中p的概率实际上是每个独立的信号对于总的样本标志中出现的频率.

一个有经验的攻击者会试图破坏这个算法,通过建立一个流量模型仿正常流量.一个攻击者若知道不同的被监测的包属性,则他就会建立一个产生可调熵值流量的攻击工具.通过猜测、渗透、跟踪,这个攻击者可以知道典型的嫡值和调整流量去匹配.这看起来似乎很容易,但如果有多个检测器安置在流量源和目标之间,那么检测器的典型的嫡值在不同的网络环境中就会不同.

窗口流量W是一个可以调整的参数,它用来控制检测器短期波动的平滑程度.增加牙值就会减少嫡值的变化并可以减少无关紧要的异常的误警率.但是W也不能太小,这样才能快速地检测出攻击来.通过实验发现10000个包是合理的.

2.2Chi-square检测算法

Pearson的Chi-Square通常都是用来对分离的数值比较.例如它可以用来检测TCPSYN标志值(0和1)或协议数据的分布.这些数值的数目越少检测效果越好,一个样本包中它的可能包含的数值不少于五个,因此通过“BIN”可以把一定范围的数值看成一个.例如Chi-Suqare检测算法可以将服务端口看成四个值:HTTP、FTP、DNS和“其他”.相似地,包长度可以归类为这些范围:0-64字节,65-128字节,129-255字节等.

3DDoS攻击检测同步技术算法

3.1同步技术的硬件基础

硬件对同步技术最通用的支持功能是芯片级的原子操作和中断屏蔽功能.以i386系列CPU为例,大部分的汇编指令都是芯片级的原子操作,唯一的例外是前缀为rep的汇编指令,这条指令要求控制单元重复多次执行,在执行过程中可能被中断.

P环境下的情况要复杂一些.在P环境中,那些多次访问内存的指令不是原子的,例如inc或者dec指令,它们在执行过程中,首先从内存中读取数据,然后更新它,并将新的内容写回到内存中,在此过程中其它处理器上执行的程序可能会访问同一个内存区,从而发生竞争条件.解决这种竞争条件的办法之一是在指令之间增加lock前缀,使该指令在P环境下也是原子了.P同步的具体内容请参考“P系统中的同步机制”一节.

计算机的中断机制的实现依赖于可编程的中断控制器,CPU的INTR管脚和内部寄存器的中断标志等硬件来实现.IPC的设计允许对每一个中断源单独编程,禁用或者启用它们.而CPU内部寄存器eflags则允许对所有的外部中断进行屏蔽或者打开屏蔽.

3.2原子操作

Linux可分别针对Bit变量和整数变量进行原子操作,它们的共同点是在任何情况下都是原子的,内核代码可以安全的调用它们而不被中断,而且它们都依赖底层CPU的原子操作来实现,所有这些函数都是CPU架构相关的.

1)Bit原子操作

Bit操作的函数提供了安全的读取和修改单Bit信息的能力,它们可以对任何内存变量的任意一个Bit进行操作,这在设置或者检查某个标志的时候非常有用.常用的函数有set_bit(intnr,volatilevoid*addr),对给定地址addr的第nrbit进行置位;以及test_and_clear_bit(),清除给定Bit并返回它以前的值.2)整数原子操作

对整数变量进行原子操作的函数都以atomic_xxx命名,例如读取变量内容的atomic_read(v)和更改变量内容的atomic_dec(i,v)函数,函数中操作的变量v的类型必须是特殊的数据类型atomict,它的定义如下:

typedefstruct{volatileintcounter;}atomict;

从定义中我们可以看出,atomict等同于int类型的整数,只是为了防止gcc编译器的不必要的优化才定义成一个结构.在atomict数据类型的使用上有一个限制,该类型的变量的有效位不是32bit而是24bit,根据ldd2中的说法,在某些处理器上要求这种限制.

3.3屏蔽中断

CPU具备屏蔽中断和打开中断的功能,这项功能可以保证正在执行的内核控制路径不被中断处理程序所抢占,防止某些竞争条件的发生.在内核函数一级,Linux提供了cli()和__cli()函数来实现屏蔽中断的功能,提供sti(),__sti()函数来打开中断.这四个函数中,带有"__"的版本的操作仅仅限于当前CPU;而另外两个函数影响系统中所有的CPU.

3.4同步锁机制

在无法避免竞争条件的产生,而且临界区的代码又无法短到可以通过原子操作完成的时候,需要对临界区用“加锁”的办法实行保护.Linux提供了两种锁,内核信号量(Semaphore)和自旋锁(SpinLock).它们是为了解决完全不同的问题而各自开发出来的,实现机制和适用场合也随之完全不同.

信号量为了解决多个内核控制路径竞争资源的问题,这些内核控制路径可能是单处理器系统中分时执行的控制路径,也可能是多处理器系统中的并行执行的控制路径.在试图获得信号量的时候,如果信号量繁忙,相应的内核控制路径会挂起,直到信号量被释放的时候控制路径才恢复运行.而Spin_Lock的目的是为了解决在多个处理器上并行运行的内核控制路径之间的加锁问题.当Spin_Lock忙的时候,内核控制路径执行一个循环,不停地试图获取这个锁,直到成功为止.

信号量在内核中是StructSemaphore类型的对象,它在include/a/semaphore.h中定义.系统还提供了非阻塞的获取信号量函数down_trylock(),与down()不同,在无法获得信号量的时候,down_trylock()返回失败值而不挂起调用者.这个函数被用在很多要求非阻塞操作的场合.

基于内核的同步特性,我们在实现阶段采用了Spin_Lock机制,由于Hash表的全局特性,在多个CPU共同访问的时候,需要加锁,防止链表因为互斥访问而被破坏.

4结束语

随着互联网技术的不断发展,DDoS攻击作为恶意攻击方式造成的影响越来越严重.本文结合统计方法原理提出了同步技术DDoS攻击检测算法.同步技术检测算法能快速准确地检测出DDoS攻击行为,能有效的应用于攻防模拟对抗体系的建立,并有助于DDoS攻击的网络防御技术的研究.

相关论文

格式化字符串攻击检测算法

本文是一篇大学学报论文范文,大学学报有关毕业论文格式,关于格式化字符串攻击检测算法相关函授毕业论文范文。适合大学学报及字符串及漏洞方。

图像边缘检测算法

本文是一篇计算机工程论文范文,计算机工程相关本科论文开题报告,关于图像边缘检测算法相关毕业论文题目范文。适合计算机工程及计算机及参考。

基于视频的车速检测算法

此文是一篇模板论文范文,模板方面论文范文资料,与基于视频的车速检测算法相关电大毕业论文。适合不知如何写模板及车辆及车道方面的论文模板。

几种典型的图像边缘检测算法的比较

本文是一篇算子论文范文,关于算子相关毕业论文开题报告范文,关于几种典型的图像边缘检测算法的比较相关毕业论文模板范文。适合算子及图像及。

HIV全血攻击家兔检测HIV抗体与病理学

该文为关于抗体相关毕业论文提纲范文,与HIV全血攻击家兔检测HIV抗体与病理学相关硕士论文摘要,可作为论文摘要专业抗体论文写作研究的大学。

DDoS攻击对电子商务网站的危害其防范

本文是一篇电子商务论文范文,关于电子商务类毕业论文格式,关于DDoS攻击对电子商务网站的危害其防范相关本科毕业论文范文。适合电子商务及电。

网络攻击建模实践算法相关问题

这是一篇网络类有关毕业论文开题报告范文,与网络攻击建模实践算法相关问题相关自考毕业论文开题报告。是论文模板专业与网络及节点及攻击者。

基于基扩展模型的能量检测算法

本文是一篇认知论文范文,关于认知自考毕业论文开题报告,关于基于基扩展模型的能量检测算法相关毕业论文开题报告范文。适合认知及频谱及参考。