1、开题报告 基于重尾特性的基于重尾特性的 DDoS异常检测研究异常检测研究 指导老指导老 师:师: * 报告人:报告人: *内容提要1、研究背景及研究现状、研究背景及研究现状2、研究内容及目标、研究内容及目标3、疑点和难点、疑点和难点4、本课题的创新之处、本课题的创新之处5、课题进度安排、课题进度安排研究背景研究背景n随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。研究背景研究背景nDDOS是英文Distributed Denial of Ser
2、vice的缩写,意即“分布式拒绝服务“DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击人难以防备,因此具有较大的破坏性。这种攻击可以使网站的email、文件传输和WWW等服务终止几个甚至几十小时之久。全球许多大型的网站以及国内的知名网站都曾遭受了其攻击。nDDoS的攻击原理如图所示研究背景研究背景 研究背景研究背景 DDoS的攻击方式主要有以下三种:nTCP-SYN flood:该攻击以多个随机或伪造的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,
3、造成了资源的大量消耗而不能向正常请求提供服务。研究背景研究背景nUDP flood:目前在互连网上提供的WWW、Mail等服务一般为使用UNIX操作系统,默认情况下它们开放了一些UDP服务。如:原本作为测试功能的chargen服务会在收到每一个数据包时会随机反馈一些字符,如果恶意攻击者将两个UDP服务互指,则网络可用带宽就会很快耗尽。研究背景研究背景nICMP flood:向某台计算机发送大数量(或刚刚超过规定数量)的ICMP数据包,其用意在于企图引起该计算机中TCP/IP栈瘫痪并停止响应TCP/IP请求。 比如:Ping of death 攻击。 研究现状 针对DDoS攻击的检测方法有很多:
4、n基于统计阀值 Thomer M.Gil等人提出以二叉树的方式按前缀保存某个IP或IP段包数的数据结构,以包数超过预设阈值作为发现DDoS异常的条件,该方法较容易理解与实现,但特征过于简单,判断DDoS异常误报率较高。研究现状 Alsan Habib 等人提出将网络拓扑结构以图的方式保存,并对进出的流数进行统计,以进出某主机或路由器的流数是否超出预设阈值作为发现DDoS异常的判定条件。 Laura Feinstein和Darrell Kinkred等人计算一定长度网络流量序列的IP地址、数据包长度等属性信息的统计分布值,根据这两个值来判断是否存在研究现状 攻击。此方法易于被攻击者识破后模拟这种
5、分布,使得上述方法计算出的统计值接近于正常值,从而避免被检测到。因而该方法检测率很 低。研究现状n基于主机 Thomer M.Gil和Massimiliano Poletto提出通过监测每个连接在路由器两端的数据包速率,如果一端速率显著下降,则表明这端的主机有可能受到了攻击。该方法假设两个主机间数据传输是对称的,而这在实际网络环境中是不准确的,因而准确率不是很高. 研究现状n基于宏观流量 东南大学程光等人 提出以ICMP请求报文和应答报文之间比率的网络行为为测度,并采用抽样测量的方法,建立网络流量异常行为实时检测模型来检测ICMP DDoS攻击,该方法虽然抽样测量的理论很新颖,但没能提出针对性
6、更广泛的DDoS攻击的检测特征,适用范围不广。研究现状 李广辉 张伟提出的基于聚焦算法的DDOS数据流检测和分析。针对DDOS攻击的本质特征,对ip数据流进行轻量级协议分析 把ip流分为tcp,udp,icmp数据流,分别建立相应的聚集模式,根据该模式检测DDOS聚集所占资源,采取相应的措施过虑攻击包,从而保证正常数据包的发送。研究现状 南京邮电大学 的任勋益 王汝传 王海艳 基于自相似检测DDOS攻击的小波分析方法,利用DDOS攻击对网络流量的自相似性的影响的基础上,提出了小波分析检测DDOS攻击的方法,但是改方法在区分正常的突发流量和异常流量方面存在缺陷。研究内容和目标 本文主要研究在宏观
7、网络流量背景下的异常检测技术 , 这里所说异常,是指由DDoS攻击所引发的流量异常。实现了一个基于重尾分布的DDoS异常检测方法。研究内容与目标 经研究正常的网络流量是符合重尾分布的,服从重尾分布的随机变量的特点是:大量的小抽样取值和少量的大抽样取值并存,在这些抽样数据集中,虽然大部分的抽样取值是小的,但是对抽样的均值和方差起决定作用的是那些少量的大抽样取值 。现实网络流量分布很好的符合重尾分布的pareto模型。研究内容与目标 而发生DDOS攻击时,网络流量的重尾特性遭到破坏,重尾分布的特征参数 随之变化,研究表明 在正常流量 时取值范围为 0 2 . 我们把IP流量进行协议划分,分为tcp
8、,udp,icmp流量.通过统计请求连接,利用没有回应的连接占所有请求连接的比率(ratio)和请求连接符合重尾分布的特性来判断是否发生DDOS攻击。 研究内容与目标n例如TCP-SYN flood,该攻击以多个随机或伪造的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应。当ratio大于一定数值时表明有可能是ddos攻击,也可能是良性主机。又因为ddos对连接流量的重尾特性不产生影响,再用利用重尾分布对流量进行检测,如果 的值大于2则表明发生ddos攻击。疑点和难点n现实DDOS攻击数据的采取。n如何区分DDOS 蠕虫 木马。创新点 传统地检测和防范措施是基于特征
9、匹配地检测,往往要求有一定地先验知识,难以区分突发和DDOS攻击。大量的研究表明,正常的网络流量符合重尾分布,DDOS攻击对网络流量得重尾分布特性产生明显得影响,因此,根据重尾分布得补积累分布图中网络流量图的变化可以有效方便快捷得检测DDOS攻击。 进度安排工作项工作项目目阶段工作和预计指标阶段工作和预计指标起止时间起止时间科研调科研调查查查询、搜集资料查询、搜集资料13.07-13.09整理资料,调查分析整理资料,调查分析13.09-13.10相关理论的学习和研究相关理论的学习和研究 13.10-13.12选题报选题报告告分析资料,选择合适地分析资料,选择合适地研究方向及内容研究方向及内容1
10、3.12-14.01理论分理论分析析预采用方法的可行性分预采用方法的可行性分析析14.01-14.02进度安排工作项目工作项目阶段工作和预计指标阶段工作和预计指标起止时间起止时间实验阶段实验阶段 在理论分析的基础上,在理论分析的基础上,对最终使用的方法编对最终使用的方法编写代码进行实验写代码进行实验14.02-14.05论文撰写论文撰写 对实验方法和获得的对实验方法和获得的结果分析、总结,并结果分析、总结,并撰写毕业论文撰写毕业论文14.05-14.09论文审阅论文审阅 论文的修改、送审论文的修改、送审14.09-14.11论文答辩论文答辩 实验演示及答辩实验演示及答辩14.12结束语谢谢!谢谢!
