随着Internet的日益普及,网络的安全性已经直接影响着Internet发展的前景。网络攻击导致网络和用户受到侵害,其中拒绝服务(DoS,Denial of Service)攻击以其攻击范围广、隐蔽性强、简单有效等特点成为常见的网络攻击技术之一,极大地影响网络和业务主机系统的有效服务。其中,尤其是分布式拒绝服务(DDoS,Distributed Denial of Service)攻击,由于其隐蔽性和分布性很难被识别和防御严重威胁着互联网。 本文首先分析了常见的拒绝服务攻击和分布式拒绝服务攻击的原理和攻击手法,然后对正常网络流量建立一个统计分析模型,通过这种模型对DDoS攻击进行检测。 本系统由事件产生器、事件分析器、事件数据库、响应单元组成。事件产生器就是捕获网络数据包和对它们进行协议分析。事件分析器使用了两种检测技术,即误用检测和异常检测。其中误用检测模块,将捕获到的网络包与己知的攻击模式(检测规则)进行比较,如发现相符者,则认为有攻击事件发生,向响应单元报告,并把原始信息和分析结果在事件数据库中作日志记录。而异常检测模块,它采用基于统计分析模型检测“异常”的网络行为。响应单元的功能是,当有入侵事件发生时,产生报警信息并向管理员报告。事件数据库的功能是,用来存储入侵对象的数据信息,以备系统需要的时候使用。