《网络异常检测与攻击隔离技术(看2.3)》由会员分享,可在线阅读,更多相关《网络异常检测与攻击隔离技术(看2.3)(61页珍藏版)》请在金锄头文库上搜索。
1、北京邮电大学硕士学位论文网络异常检测与攻击隔离技术姓名:孙晓玲申请学位级别:硕士专业:电子与通信工程指导教师:杨义先20081010北京佃电人学T程硕L学位论文网络异常检测与攻击隔离技术摘要Internet的迅速发展带来巨大方便的同时也导致了越来越多的 入侵行为的发生。其中以DDoS攻击和蠕虫为代表的大量消耗网 络带宽的异常行为危害越来越大。由于蠕虫和DDoS攻击等大规 模资源消耗型攻击具有全局性、突发性、破坏力大等特点,常规 的信息安全保障措施往往作用有限,因此,研究大规模大流量网 络环境下的网络异常检测与攻击隔离技术具有重要意义。本文首先提出基于相似度统计的异常检测算法,该算法统计 流量排
2、名前N位的IP或端口,通过对连续两次采样时间段数据 比较相似度的方法发现流量发生突变的IP或端口。模拟DDoS攻 击实验证明了基于相似度统计的异常检测算法是有效的。在发现 网络异常后,进行异常特征提取,以支持基于特征监测的攻击源 的定位。为实现对于DDoS/蠕虫攻击的有效遏制,本文研究了基于动 态路由扩散的攻击隔离技术,在网络出现流量异常后,通过动态 路由交换协议扩散隔离的路由信息,实现针对攻击源的的快速隔 离最后,为了验证异常检测和攻击隔离方法的有效性,我们设 计并实现了针对大规模大流量网络环境的异常检测与攻击隔离系 统。整个系统能够及时发现网络异常情况,并定位攻击源,而后 利用OSPF路由
3、扩散,完成对攻击源的隔离。关键词:异常检测DDoS攻击蠕虫攻击隔离TECHNOLOGY OF NETWORK ANOMALYDETECTION AND ATTACK ISOLATIONABSTRACTAs the Internet develops rapidly, more and more intrusions occur and bring much more harm. Among all the intrusions the anomalies that tend to exhaust network bandwidth such as DDoS(Distributed Denial
4、 of Service) and worms effect internet severely. It is meaningful to study technology of anomaly detection and attack isolation in large scale and heavy traffic network environment because the attack such as DDoS and worms is globak sudden and destructive which makes the traditional security protect
5、ion is not suitable.The similarity statistics based anomaly detection algorithm is firstly presented which gets the statistical data of traffic of the first N addresses or ports and compares the similarity of the data of two successive intervals to find the anomaly. Simulation experiments indicate t
6、he similarity statistic based anomaly detection method is effective. Then the algorithm of anomaly signature extraction is studied after the anomaly is found to support the location of attack resource by signature monitoringThe technology of routing difRise based attack isolation is studied to mitig
7、ate the attack of DDoS and worms effectively which can isolate the attack resources rapidly by diffusing the routing information within北京邮电大学T程硕.学位论文dynamic routing exchanging after the traffic anomaly occurs.At last, a anomaly detection and attack isolation system for large scale and heavy traffic
8、network environment is designed to verify the algorithm of anomaly detection and attack isolation above. The whole system can find the network anomaly timely and locate the attack resource. Then it can isolate the attack resource using ospf routing diffuse KEY WORDS: Anomaly detection DDoS Worm Atta
9、ck isolationIV北京抵电大学T号硕I:学位论文声明独创性(或创新性)声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论 文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电 大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名:H期:仏17关于论文使用授权的说明学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定, 即:研究生在校攻读学位期间
10、论文工作的知识产权单位属北京邮电大学。学 校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论 文被査阅和借阅;学校可以公布学位论文的全部或部分内容,可以允许采用 彩印、缩印或其它复制手段保存、汇编学位论文。(保密的学位论文在解密 后遵守此规定)保密论文注释:本学位论文属于保密在_年解密后适用本授权书。非保 密论文注释:本学位论文不属于保密范围,适用本授权书。本人签名:日期:皿q导师签名:一Yr-2一乙一日期:?。/id?第一章绪论1.1课题背景互联网己经成为全世界电子商务和人们日常生活的重要基础设施。迄今为 止,全球对互联网的投资达数万亿美元,它作为人类社会各种活动的基础性、
11、全局性的数字平台,发挥着前所未有的重要作用。而随着Web2.0和P2P等新 兴技术和业务的大规模应用,互联网更成了人类社会经济、文化、政治等领域 不可或缺的工具。截至2007年12月,中国网民数已增至2.1亿人,与2006年 同期相比,年増长率达到53.3%。亿人www cmic cn, 2007 12图1-1中国网民人数增长情况北京邮电大学T程硕学位论文网络技术的快速发展与应用普及使得互联网空间的信息量急剧增加.随着 网民网络应用日趋丰富,尤其是在线视频业务飞速发展,网络带宽也呈现急剧 增长的趋势,截至2007年12月,中国互联网国际岀口带宽数达到 368,927Mbps,年增长率为437%
12、。Mbps400.000350.000300.000250.000200.000150.000100.00050.0000wwwcnnic cn, 2007.12图22中国国际岀口带宽增长情况与此司时,网络安全问题也日益突出。随着网络用户和网络资源的大量增 加,以及各种系统漏洞的大量存在和不断发现,使得网络安全问题变得更加错 综复杂.加之网络攻击行为日趋复杂,各种方法相互融合,使得网络安全防御 更加困难,据有关数据统计,全球平均每20秒钟就发生一起Internet计算机侵入 事件。层岀不穷的大规模网络攻击事件,造成了严重的经济损失。根据來自CNCERT/CC的报吿,当前的网络攻击行为形式多样,
13、且趋利化 特点日益明显。典型的攻击行为包括:(1) 网页篡改:主要针对政府类和安全管理相关类网站,通过篡改网页 的攻击形式,以达到泄愤和炫耀的目的。(2) 分布式拒绝服务攻击(DDoS)攻击:主要针对中小企业,尤其是以 网络为核心业务的企业,采用有细织的分布式拒绝服务攻击(DDoS)攻击等 手段进行勒索,从而迫使企业接受相应条件,彩响企业正常业务的开展。(3)用户身份窃取:主要针对个人用户,攻击者通过网络钓鱼 (Phishing)和网址嫁接(Pharming)等手段,非法获得用户的游戏账号、银行账号、密码等,窃取用户的私有财产。(4)恶意代码:主要包括蠕虫、间谍软件、木马程序等这些恶意代码 通
14、过恶意网页、社交工程、电子邮件和信息系统漏洞等方式传播,窃取用户的 私有信息,阻塞网络带宽。2007年以来各种网络安全事件数量较之以往均有显著增加。说明互联网面 临着更加严重的安全威胁。而以获益为目的的网络攻击事件将为广大用户带来 更加直接的经济损失。在上述各种攻击手段中,DDoS攻击和蠕虫是针对网络资源的攻击,其通 过对网络带宽或信息系统计算能力的恶意消耗,引起网络流量的剧增或信息系 统服务能力的剧降,进而影响用户的正常使用,严重的可能导致骨干网的大规 模瘫痪。因此及时发现DDoS攻击和蠕虫所引起的网络异常,并进行有效处 置,对于维护互联网的秩序,保障用户的对于网络应用的正常吏用具有重要的
15、埋论和现实意义。1.2拒绝服务攻击和蠕虫拒绝服务攻击(DoS)和蠕虫(Wonn)虽然目的不同,但是却有着相似 的外在表现,即大罐的消耗网络带宽和计算资源,从而导致网络和信息系统性 能的急剧下降甚至完全瘫痪。1.2.1拒绝服务攻击拒绝服务(DoS)攻击是一种很简单但又很有效的攻击方式。它的目的就 是拒绝你的服务访问,破坏组织的正常运行,最终使你的部分信息网络服务失 效。DoS的攻击方式有很多种,最基本的攻击方式就是通过消琵网络和信息系 统的带宽或计算资源,阻止受攻击者对外提供正常的服务。(1)针对带宽资源拒绝服务攻击:攻击者通过产生大量导向受害网络的 包,消耗该网络所有的可用带宽。例如在smur
16、f5攻击中,攻击者从远端节点向 #北京邮电人学丁程硕I:学位论文某网络的广播地址发送ICMP echo请求包,网络上所有节点响应这一请求,产 生大量包,使得网络阻塞或瘫痪。在攻击中,攻击者通常采用假冒源地址的方 式,使得被假冒者也成为受害者。(2)针对计算资源的拒绝服务攻击:攻击者针对目标主机产生大最的网络 连接,阻止受害主机或网络和其他网络进行通信。TCP SYN洪流就是这样一 种攻击方式,攻击者与受害节点建立连接,但是并不最终完成。由于受害节点 需要保持数据结构用于等待完成这些半连接,结果导致合法的连接因为缺乏数 据结构资源而无法正常建立连接。在这种攻击中,攻击者消耗的是核心数据结 构,而不
