一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)

作者：時間：2009-12-01 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

2.2.2 數(shù)據(jù)包信息萃取

進(jìn)行了包捕獲之后，需要將捕獲到的數(shù)據(jù)包通過回調(diào)函數(shù)進(jìn)行數(shù)據(jù)包的解析。因此在對回調(diào)函數(shù)進(jìn)行封裝時，必須借助一解析流程，實現(xiàn)回調(diào)函數(shù)和線程類間的數(shù)據(jù)共享，再根據(jù)TCP／IP協(xié)議族層次結(jié)構(gòu)圖及各層數(shù)據(jù)包格式的定義，對各層加入的頭和控制信息進(jìn)行解封裝。詳細(xì)過程見文獻(xiàn)[9]。圖3是該解析流程的過程。

上述實時采集及信息萃取模塊采用基于GUI的可重用設(shè)計方法。其流量解析結(jié)果以GUI界面輸出，進(jìn)行對入侵檢測系統(tǒng)的接口操作，實現(xiàn)下一模塊：攻擊識別與決策的數(shù)據(jù)包采集與萃取的預(yù)處理過程。

2.3攻擊識別與決策模塊

此模塊的關(guān)鍵問題有兩個：一是根據(jù)識別方法選擇合適的檢測特征；另一是如何實現(xiàn)可靠識別?？煽孔R別的意思是指，用戶可事先設(shè)定所需要的識別概率和漏報概率。

設(shè)x(t)為到達(dá)流量函數(shù)。其最小流量約束函數(shù)記做f(I)(I>0)。則在區(qū)間[0，I]內(nèi)，到達(dá)的累積流量不會小于f(I)=min[x(t+I)-x(t)]。在時間區(qū)間[(n-1)I，nI](n=1，2，…，N)內(nèi)，f(I，n)就是該區(qū)間內(nèi)的最小流量約束函數(shù)。它是關(guān)于n的隨機(jī)序列。把各區(qū)間[(n-1)I，nI]都分成M段。每段長度為L。對第m段(m=1，2，…，M)，取平均值E[f(I，n)]m。則當(dāng)M>10時，E[f(I，n)]m符合高斯分布

設(shè)置信系數(shù)為1-a1，則統(tǒng)計下限為：

于是，得到模板η=E[f(I，n)]。令閾值Vt=bf(M,α1)，則低速率檢測概率和丟失概率分別為：

由此，用戶可以預(yù)先設(shè)置α1值來得到給定的檢測概率和漏報概率。當(dāng)η≥Vl時，視數(shù)據(jù)流為正常。

本文引用地址：http://2s4d.com/article/188489.htm

2.4報警模塊

IDS檢測到低速率攻擊后，向用戶報警并將該事件通知給安全管理中心，做出防衛(wèi)決策。根據(jù)需要，可將報警信息發(fā)給其他網(wǎng)絡(luò)，構(gòu)成全方位的、立體的網(wǎng)絡(luò)安全解決方案。當(dāng)出現(xiàn)報警信息時可以采取的報警方式有：開啟警燈，彈出界面，開啟警鈴，發(fā)短信給高層決策者，發(fā)Email給高層決策者等，這幾種報警方式可以單獨采用也可以集中相結(jié)合。

警報出現(xiàn)時，還要通知安全管理中心，如果是嚴(yán)重的大范圍攻擊，則通知其他網(wǎng)絡(luò)，防止攻擊對網(wǎng)絡(luò)造成大范圍的破壞；否則，內(nèi)部處理。

3實驗結(jié)果

采用以前的工作所述的方法仿真實驗用的網(wǎng)絡(luò)流量，分別用正常和非正常情況下的兩個數(shù)據(jù)流進(jìn)行實驗，并做一個對比。

圖5表示兩個數(shù)據(jù)流的x(t)，圖6，圖7表示兩種情況下的，f(I，n)(n，I=1，2，…，16)。由于版面限制，只給出前四種情況。圖8，圖9是兩種情況下的平均速率圖和速率的概率密度分布圖，由此可以清楚地看到，此種方法能準(zhǔn)確地分辨出低速率和正常的速率，能夠用于低速率攻擊的檢測。

新聞中心

一種可靠檢測低速率DDoS攻擊的異常檢測系統(tǒng)

評論

相關(guān)推薦

技術(shù)專區(qū)