《基于小波分析的ddos入侵检测研究》由会员分享,可在线阅读,更多相关《基于小波分析的ddos入侵检测研究(69页珍藏版)》请在金锄头文库上搜索。
1、上海交通大学 硕士学位论文 基于小波分析的DDOS入侵检测研究 姓名:裴大权 申请学位级别:硕士 专业:通信与信息系统 指导教师:陆松年 20071201 上海交通大学硕士学位论文 基于小波分析的 DDOS 入侵检测研究 I 基于小波分析的 DDOS 入侵检测研究 摘 要 DDoS(分布式拒绝服务)攻击是一种分布、协作的大规模攻击方式。 通过联合或控制网络上若干主机同时发动 DoS 攻击,制造数以百万计的 数据分组流入欲攻击的目标,大量消耗目标系统资源,从而造成合法用 户无法获得服务。DDoS 攻击给网络的正常运行带来了极大的危害,具有 隐蔽性和分布性,难以进行检测和防范,这使得近年来研究 D
2、DoS 攻击的 检测与防范方法成为入侵检测领域的一个研究热点。本文主要基于流量 的自相似性,利用小波方法来研究 DDoS 攻击的检测和防范。 本文首先概述了入侵检测相关技术的研究现状、采用的一般原理与 方法,结合大量资料分析了 DDoS 方面的国内外研究进展。 其次,本文简要介绍了近年来理论界和工程界采用较多的一种方 法小波变换,其具有的多尺度分析特性可以对信号进行更为准确的 分析。学术界的研究成果以及本文实测数据均表明:网络流量具有自相 似性。利用小波方法分析自相似性可以取得很好的效果,本文推导了利 用小波来分析网络流量的方法,作为本文的理论基础。 再次,本文描述了 DoS 攻击的一般步骤,
3、对 DoS 攻击的机理进行了 分析,尤其是结合 TCP 拥塞控制机制对弱 DoS 攻击机理进行了较为深入 上海交通大学硕士学位论文 基于小波分析的 DDOS 入侵检测研究 II 的研究。弱 DoS 攻击并不产生很大的总流量,因而难以用常规的流量控 制手段加以遏制。 为了比较好地检测到弱 DoS 攻击, 本文设计了一种 DDoS 检测与防范模型。该模型采集 IP 包头获得流量信息;利用小波方法计算 流量的 Hurst 参数,以是否超出阈值来判断是否遭受 DoS 攻击;采用数 字滤波的方案对作为判决基准的 Hurst 参数对不同网络情况进行自适 应;当认为受到攻击后,结合连接信任域来进行响应。实验
4、表明:该模 型可以检测到弱 DoS 攻击。 在 DDoS 检测模型的实现上, 对性能要求较高的两项技术是流量采集 和流量分析。本文先对现有流量采集技术进行了回顾,然后设计并应用 了两种基于 Linux 系统的流量采集方案。在流量分析中,采用了一些技 巧以提高效率。为了验证模型,本文采用了比较权威的 MIT Lincoln Laboratory 的 DDoS 攻击数据集进行实验。 最后,本文探讨了该 DDoS 检测模型的应用环境。描述了 DDoS 检测 模型可能应用的网络环境;考虑到信息安全发展的趋势是各信息安全模 块应该具有联动的功能,对 DoS 检测模型与防火墙系统、与安全审计系 统的联动进
5、行了一定的探讨。 关键词:入侵检测, 分布式拒绝服务攻击, 小波, 自相似, 连接信任 域 上海交通大学硕士学位论文 基于小波分析的 DDOS 入侵检测研究 III RESEARCH ON DDOS ATTACK DETECTION BASED ON WAVLET ANAYSIS ABSTRACT DDoS(Distributed Denial of Service) is a kind of distributed and cooperated attack. It collaborates and controls a lot of hosts to commit DoS attack a
6、nd produces millions of packets to the target system, exhausting the target systems resource, which make the legitimate user unable to obtain service. DDoS has caused disastrous loss to the network. But since the hideness and distributing its hard to detect and prevent. In recently years it has beco
7、me a hotspot to research on the detection and prevention of DDoS attack. In this thesis we base on the self-similarity of network traffic, try to research on the detection and prevention of DDoS attack using wavelet analysis. In this thesis, we firstly give out a description about the status, the pr
8、inciple and method of intrusion detection. Then we analyze the status of research on DDoS. Wavelet analysis has become a popular method in theory and engineering field. Its multi-scale analytical capability enables us to do more 上海交通大学硕士学位论文 基于小波分析的 DDOS 入侵检测研究 IV accurate analysis on a signal. Furt
9、hermore, both research results and our experiment results show that network traffic satisfies the self-similarity characteristic. So we give out the algorithm to evaluate the self-similarity of network traffic by wavelet method, which is the theory basis of this thesis. Secondly we describe the rout
10、ines of DoS attack, analyze the mechanism of it, especially the mechanism of low-rate DoS attack from the point of TCPs congestion control. We design a DDoS detection and prevention model to deal with DDoS. The model gets the traffic information from the IP packet header, and calculates the Hurst pa
11、rameter and decides whether the traffic is in normal state or not. The reference Hurst parameter is self-adaptered using a way like digital filter in signal processing. When attack is detected, the model uses connection-domain concept to prevent the target system. As is shown in the experiment the m
12、odel can detect both high-rate DoS attack and low-rate DoS attack. Which is more, the target system can provide service to legitimate user to some extent even under DoS attack. In the model traffic capturing and information extracting are mostly efficiency-required. We develop two methods to perform
13、 traffic capturing based on Linux. In traffic information extracting, it can achieve better 上海交通大学硕士学位论文 基于小波分析的 DDOS 入侵检测研究 V performance if some tricks used. At the end, we investigate the potential application environment of the DDoS detection and prevention model. Considering the trend of inform
14、ation security is that different security modules can interaction with each other, we investigate the interaction method of our model with firewall system and security audit system. KEY WORDS: Intrusion Detection, Distributed Denial of Service, Wavlet Analysis, Self-similarity, Connection Trust Doma
15、in 上海交通大学 学位论文原创性声明 上海交通大学 学位论文原创性声明 本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成 果。 除文中已经注明引用的内容外, 本论文不包含任何其他个人或集体已经发表或撰写过的作品 成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 学位论文作者签名:裴大权裴大权 日期 2008 年 1 月 15 日 上海交通大学 学位论文版权使用授权书 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、 使用学位论文的规定, 同意学校保留并向国家有关 部门或机构送交论文的复印件和电子版, 允许论文被查阅和借阅。 本人授权上海交通大学可以将 本学位论文的全部或部分内容编入有关数据库进行检索, 可以采用影印、 缩印或扫描等复制手段 保存和汇编本学位论文。 保密 保密,在 年解密后适用本授权书。 本学位论文属于 不保密 不保密。 (请在以上方框内打“” ) 学位论文作者签名: 裴大权
