基于双向流量的DDoS检测

目录摘要...............................................IABSTRACT............................................II1绪论...........................................11.1研究背景和意义...........................................................................11.2网络流量分析...............................................................................21.3DDoS攻击现状研究....................................................................32分布式拒绝服务攻击.............................42.1DDoS攻击简介............................................................................42.2DDoS攻击及过程........................................................................42.2.1DDoS攻击方法....................................................................................42.2.2DDoS攻击原理....................................................................................72.2.3DDoS攻击过程....................................................................................82.3DDoS攻击的分类........................................................................82.4DDos攻击的流量.......................................................................123流量分析模型..................................143.1分析与讨论.................................................................................143.2网络模型.....................................................................................144实验平台的建立................................164.1NS2平台的搭建.........................................................................164.2AWK数据分析工具...................................................................174.3XGrpah绘图工具简介...............................................................185双向流量的仿真实验............................195.1仿真实验.....................................................................................195.2实验数据分析.............................................................................225.3结论.............................................................................................23致谢...............................................24参考文献............................................25基于双向流量的DDoS检测I摘要本文系统介绍了DDoS攻击的基本原理、攻击类型和攻击特点，研究了DDoS攻击的发生对于网络流量的相关性的影响。鉴于传统的用单向流量分析、检测异常流量的方法无法正确区分突发的正常流量和DDoS攻击流量，本文提出了一种基于双向流量的分析检测机制，通过对网络节点的输入、输出流量的关系分析，从而区分异常流量和正常的突发流量。在此基础上提出了对研究Internet实际网络异常流量检测有重要意义的8种状态模型，并在NS2平台上进行了仿真，验证了这种检测机制的有效性和可行性。关键字：双向流量，DDoS，正常突发流量，异常检测基于双向流量的DDoS检测IIABSTRACTThisarticlesystematicallyintroducethebasicprincipleofDDoSattack,theattacktypeandtheattackcharacteristic.WealsostudytheoccurrenceofDDoSattackregardingtheinfluencetotherelevanceofthenetworkflow.Inviewofthefactthatthemethodwithtraditionalunidirectionflowanalysis,abnormalflowexaminationarebothunabletodifferentiatetheoutburstofnormaltrafficandtheDDoSattacktraffic.Inthearticle,weproposeonedetectionmechanismthatbasedontheanalysisoftwo-waytraffic.Withtheinputofnetworknodesandanalysisoftheoutputtrafficrelationship,thenwecandifferentiatetheabnormaltrafficandthenormaloutbursttraffic.Onthisbasis,weproposetheeightconditionalmodels,whichhasimportantmeaningwhenstudingthedetectionofabnormaltrafficoftheInternetactualnetwork.IthasbeencarriedonthesimulationintheNS2platform,whichverifiesthevalidityandthefeasibilityofthedetectionmechanism.Keywords:two-waytraffic，DDoS，normaloutbursttraffic，detectionofabnormaltraffic基于双向流量的DDoS检测11绪论1.1研究背景和意义近年来，Internet得到了飞速发展，网络规模急剧膨胀，Internet己经成整个社会基础设施的重要组成部分。然而，高速互连的计算机网络给人们的工作与生活带来很大便利的同时也为一些攻击提供了有利的条件。网络安全事件也开始频繁的发生，各种攻击手段层出不穷，计算机网络的保密性、完整性、可用受到了严峻的考验。每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美元。网络安全问题已经成为严重制约网络发展的主要问题，尤其是电子商务等商业活动在网络中显现，给人们的生活带来了极大的不便，甚至威胁到了家和社会的安全。目前Internet安全的威胁主要来自黑客(Hacker)入侵、计算机病毒(Viru)和拒绝服务(DeniesofService)攻击三个方面。特别是近年来在拒绝服务攻DoS攻击的基础上发展起来的分布式拒绝服务攻击DDoS(DistributedDenialofService)无疑是最大的安全威胁之一。DoS攻击是以一台接入互联网的单机向目标发动攻击，消耗目标主机或目的网络的资源，从而干扰或完全阻止为合法用户提供服务。而DDoS攻击通常采用几百台甚至几千台分布的主机并发地对单个或多个目标进行攻击，以大量的非法数据耗尽网络带宽和服务器资源，致使被攻击的服务器或者网络不能提供服务。DDos由于分布式攻击的源头分布广泛，且攻击时使用伪造的虚假源IP地址，使这种危害性极大的攻击具有难以检测、难以追查和难以抵挡的特点。而且这种攻击可以非常容易地实现，因为任何普通用户都能从网上下载DDos攻击工具，成功地发动DDOS攻击。DDoS攻击易发动但难检测的特点导致了DDoS攻击的广泛发生。国外很多著名的网站都遭受过DDoS的攻击，1999年8月，一种叫Trinoo的DDoS攻击程序攻击了美国明尼苏达州大学的一台机器，使这台机器关闭了两天；2000年2月7日至9日，美国的Yahoo!、Buy.eom、eBay、Amazon、Datek、E一trade、新闻网站CNN等众多网站相继受到身份不明的黑客发动的DDoS攻击，系统瘫痪达几十小时之久，造成了高达12亿美元的经济损失I；2002年10月21日，互联网的核心，位于美国、瑞典、英国、日本的13台肩负互联网数据传输重任的根服务器遭到来历不明的网络攻击，攻击者发送了数百万条虚假信息请求，使服务器淹没在这些请求中，造成其中9台根服务器瘫痪，服务中断1小时；2003年12月15日，攻击者采用了一种新型的DDos攻击手段，对北美、欧洲、亚洲等地的互基于双向流量的DDoS检测2联网发动了攻击，据估计至少有2.2万台网络服务器和25万台计算机遭受到了攻击。受灾最严重的韩国甚至举国网络瘫痪了整整24小时，造成了难以挽回的巨大损失。在我国，随着宽带业务的不断推广，宽带用户数量大幅度的增加。根据第21次中国互联网络发展状况统计调查结果显示，中国网民人数、上网计算机数、注册网站数量己经分别达到了2.1亿人、5940万台、150万。网站遭到DDoS攻击的情况也变得较为严重，绝大多数的ISP和ICP、电信公司、知名的新闻站点、商业网站、大型学术论坛等等都遭受过DDoS攻击，致使很多网站长时间响应速度极慢，甚至无法访问。2003年7月，以虚拟主机性价比享誉的商务中国()一连遭受几波极其猛烈的DDoS黑客攻击，在攻击过程中，商务中国托管在某地方电信级IDC机房的服务器无一幸免；2004年10月，腾迅公司的QQ服务器被DDos攻击，对方甚至提出经济要求来作为“修复费用”，并且这次攻击更加狡滑，先是进行一段高速攻击，然后再进行低速攻击，使得DDoS攻击的检测变得异常困难；2005年1月21日晚，我国国内知名的商业网站8848.net和8848.com被几千万个来自百度搜索联盟成员的IP地址在短时间内同时访问8848首页，造成分布式拒绝服务攻击，使8848主页突然无法被正常的访问。上述攻击事件表明，即使是具有雄厚技术支持的高性能网站，在DDoS攻击下也不能幸免。而对于那些规模较小，没有报道的DDoS攻击更是不计其数。由此可见DDoS攻击己经对Internet安全构成了巨大威胁，己成为网络发展的