基于变异系数和海宁格距离的慢速拒绝服务攻击检测方法研究

摘要

作为传统DoS(Denialof Service)攻击的改进,LDoS(Low-rate Denialof Service)攻击具有相当的危害性且更强的隐蔽性。由于LDoS攻击的高隐蔽性特征,传统的DoS攻击检测方法已无法对其进行有效地检测,而现有的LDoS攻击检测方法仍然存在一些不足。因此研究一种能够有效检测LDoS攻击的方法,具有较大的理论价值和实际意义。
　　通过对LDoS攻击的原理和特点的分析,指出了检测LDoS攻击所存在的难度。为突出问题研究的重点,归纳出三种具有代表性的网络场景,分析和讨论了这三种网络场景中TCP(Transmission Control Protocol)数据流量的波动状况,得出了LDoS攻击发生时TCP数据流量的离散程度与无攻击时相比呈现显著差异的结论。基于这一结论,使用统计学中的变异系数对这种差异进行了度量,并在此基础上提出了一种基于变异系数检测LDoS攻击的方法。
　　针对基于变异系数检测LDoS攻击的方法中存在的不足,通过对三种网络场景中TCP数据流量概率分布的分析,引入了巴氏系数和海宁格距离来度量不同网络场景中的TCP数据流量概率分布之间的差异,在此基础上提出了一种基于海宁格距离检测LDoS攻击的方法。基于实用性和有效性原则,设计了一个融合基于变异系数和海宁格距离两种检测方法的检测系统LBDS(LDoSBlend Detection System),给出了相应的检测规则和检测算法。
　　基于公共数据集和仿真实验,对LBDS检测系统的有效性进行了测试和验证。实验结果表明,LBDS检测系统能够检测出大多数LDoS攻击,且具有较低的误报率和漏报率,证明了LBDS检测系统用于LDoS攻击检测的可行性和有效性。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1 拒绝服务攻击概述

1.2 慢速拒绝服务攻击概述

1.3 课题研究的意义、内容及目标

1.4 论文的组织结构

2 基于变异系数的LDoS攻击检测方法

2.1 相关概念与定义

2.2 LDoS攻击导致的TCP数据流量“变异”的现象及分析

2.3 TCP数据流量“变异”程度的度量与判断

2.4 基于变异系数的LDoS攻击检测算法

2.5 实验及结果分析

2.6 本章小结

3 基于海宁格距离的LDoS攻击检测方法

3.1 相关概念与定义

3.2 LDoS攻击对TCP数据流量分布的影响

3.3 TCP数据流量分布异常的描述与分析

3.4 TCP数据流量分布异常的判别

3.5 基于海宁格距离的LDoS攻击检测算法

3.6 实验及结果分析

4 融合两种检测方法的LDoS攻击检测系统LBDS

4.1 系统的原型

4.2 系统的部署

4.3 系统的检测规则与算法

4.4 系统的算法复杂度分析

4.5 实验及结果分析

4.6 本章小结

5 结束语

5.1 已完成工作

5.2 下一步工作

致谢

参考文献

附录 英文缩写词