论文部分内容阅读
拒绝服务DoS(Denial of Service)攻击对互联网中的相关服务产生极大影响,而慢速拒绝服务LDoS(Low rate DoS)攻击作为一种新的DoS攻击,其攻击效率更高、隐蔽性更强,使得传统DoS攻击的检测方法很难准确检测出LDoS攻击。同时,现有的LDoS攻击检测方法存在一些不足。因此,探索出行之有效的LDoS攻击检测方法,对提升网络的安全性具有重要的理论意义和现实意义。通过对LDoS攻击原理的分析,解析了LDoS攻击效果与攻击周期、攻击脉冲持续时间和攻击脉冲强度三个攻击参数之间的关系,并阐述了LDoS攻击对TCP(Transmission Control Protocol)数据流量产生的影响。为便于讨论和分析LDoS攻击发生时TCP数据流量所体现出来的特征,归纳出三种具代表性的网络场景,并基于这三种网络场景,详细描述了LDoS攻击导致的TCP数据流量的“异常分布”形态和流量大小“异常变化”。针对LDoS攻击发生时TCP数据流量异常分布的特征,使用指数加权移动平均算法EWMA(Exponentially Weighted Moving Average)度量TCP数据流量的分布。针对LDoS攻击发生时TCP数据流量大小异常变化的特征,使用“熵差”度量TCP数据流量的大小变化。基于LDoS攻击发生时TCP数据流量所体现出来的这两种特征,提出了一种基于TCP数据流量异常分布和TCP数据流量大小异常变化的LDoS攻击检测方法,并给出了相应的检测准则。为验证给出的LDoS攻击检测方法的有效性,通过仿真实验和基于DARPA99(Defense Advanced Research Projects Agency1999)数据集的测试,结果表明所提出的LDoS攻击检测方法检测准确度和检测效率较高,误报率和漏报率较低。