当前位置:文档之家 › 基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

  • 格式:pdf
  • 大小:491.85 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

DDoS攻击的检测与防御策略研究

DDoS攻击的检测与防御策略研究

DDoS攻击的检测与防御策略研究随着互联网技术的发展,网络攻击已经成为一个全球性的问题,而DDoS攻击则是其中最为常见和具有破坏性的一种攻击手段。

DDoS攻击是指通过多台计算机同时对一个网络地址进行攻击,以消耗目标网络的带宽、处理能力等资源,使其无法正常工作的一种攻击方式。

为了保障网络的安全稳定,需要采取有效的技术手段来检测和防范DDoS攻击。

本文将对DDoS攻击的检测和防御策略进行研究,以便更好地应对网络安全风险。

一、DDoS攻击的检测方法DDoS攻击的检测方法主要包括两类,一类是基于流量分析的方法,另一类是基于行为分析的方法。

1. 基于流量分析的方法基于流量分析的DDoS攻击检测方法,是通过对网络流量进行采集和分析,来判断是否存在DDoS攻击。

常见的流量分析方法包括:流量监测、流量特征提取和流量分析。

流量监测是指对网络流量进行动态监测,以实时获得网络流量信息。

流量特征提取则是在流量监测的基础上,对流量进行分析,从中提取出特定的特征值,来判断是否存在DDoS攻击。

流量分析是指通过对流量特征进行分析,来识别和定位DDoS攻击的来源以及攻击目标。

2. 基于行为分析的方法基于行为分析的DDoS攻击检测方法是通过对网络行为进行分析与监测来识别和定位DDoS攻击。

常见的行为分析方法包括:入侵检测技术、异常检测技术和机器学习技术。

入侵检测技术是指通过对网络入侵行为进行检测和分析,来判断是否存在DDoS攻击。

异常检测技术则是通过对网络流量、系统资源等参数进行监测和分析,来判断系统是否存在异常行为。

机器学习技术是指通过对网络行为数据进行学习和训练,来识别和定位DDoS攻击。

二、DDoS攻击防御策略为了避免DDoS攻击给网络带来的严重影响,需要采取有效的防御策略。

DDoS攻击防御策略主要包括两类,一类是基于网络架构的策略,另一类是基于安全技术的策略。

1. 基于网络架构的策略基于网络架构设计的DDoS攻击防御策略,主要涉及到网络拓扑结构、流量控制和负载均衡等方面的调整。

计算机网络中的DDoS攻击与防范研究

计算机网络中的DDoS攻击与防范研究

计算机网络中的DDoS攻击与防范研究随着计算机网络的快速发展和广泛应用,网络安全问题变得愈发突出。

其中,分布式拒绝服务(DDoS)攻击被认为是当前网络威胁的主要形式之一。

DDoS攻击针对网络服务、应用或服务器进行大流量的恶意请求,使其超过承受能力而无法正常工作。

本文将就DDoS攻击与防范进行研究,探究其工作原理和常见防范手段。

一、DDoS攻击的工作原理DDoS攻击主要利用大量的恶意流量淹没目标服务器或网络资源,使其不堪重负而无法正常响应合法用户的请求。

攻击者通常通过控制多个“僵尸”主机或计算机网络的一部分(比如感染的僵尸网络)来发动攻击。

这些僵尸主机或者由于被感染的原因变成了攻击者的“军队”,或者被伪装成合法用户向目标系统发送诸如HTTP请求、SYN Flood请求等。

攻击者利用大量的假冒请求将目标系统的网络带宽、计算资源或处理能力耗尽,导致正常用户无法正常访问或使用被攻击目标。

二、DDoS攻击的类型1. 带宽攻击(Bandwidth Attack):攻击者通过大量的UDP或ICMP包(User Datagram Protocol或Internet Control Message Protocol)淹没目标网络,耗尽其可用带宽,使合法用户无法近乎正常访问。

2. 消耗攻击(Resource Consumption Attack):攻击者通过发送占用大量系统资源的请求(如服务器资源、数据库查询等),耗尽目标系统的计算资源,使其无法响应合法用户的请求。

3. 连接攻击(Connection Attack):攻击者通过创建大量的TCP连接并保持不释放,耗尽目标系统的最大连接数,从而导致合法用户无法建立新的连接。

4. 应用层攻击(Application Layer Attack):攻击者通过发送合法但恶意的应用层请求,如HTTP请求、DNS请求等,使目标服务器的应用程序崩溃或资源耗尽。

三、DDoS攻击的防范手段1. 流量过滤:使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)来监测和过滤入站和出站流量,可以减少恶意流量对网络的影响。

网络安全中的DDoS攻击技术分析

网络安全中的DDoS攻击技术分析

网络安全中的DDoS攻击技术分析网络安全是一个重要的话题,在如今高速发展的数字化时代中,网络安全问题令人忧虑。

攻击者开发出许多方法破坏网络安全,最臭名昭著的就是DDoS(分布式拒绝服务)攻击。

DDoS攻击是指利用多台计算机发起攻击,使被攻击对象无法正常工作,造成恶性影响。

在这篇文章中,我们将深入研究DDoS攻击的技术原理,以及如何防御这种攻击。

DDoS攻击的原理DDoS攻击利用多台计算机形成一个“僵尸网络”,这种网络是广泛分布的恶意软件所控制的大量计算机的集合。

攻击者通过这种网络发起攻击。

网络攻击者首先在社交媒体、贴吧等平台散布木马病毒程序,利用未经授权的访问,获取计算机的访问权限。

接着,攻击者可以将被控制的计算机用于攻击,使被攻击的目标无法正常工作。

DDoS攻击技术通常具有以下特征:1. 大规模攻击:攻击者可以使用成千上万的计算机发起攻击。

这种攻击规模很大,可以轻松地击垮目标计算机的防御系统。

2. 高强度攻击:攻击者使用高强度攻击手段,例如暴力攻击、防护系统攻击、扫描端口等,以破坏目标系统。

3. 隐蔽性:攻击者经常采取隐蔽性手段,例如使用NAT(网络地址转换)隐蔽IP地址,以免被发现。

4. 容易攻击:DDoS攻击通常利用常见漏洞。

例如,攻击者可以在目标计算机的负载均衡器上发起攻击。

这是因为负载均衡器通常不会对发起请求的计算机进行身份验证。

DDoS攻击的类型DDoS攻击技术一直在不断进化。

由于攻击者使用的手段越来越复杂,所以各种DDoS攻击技术的类型也多种多样。

下面简要介绍一下几种常见的DDoS攻击技术:1. 洪泛攻击:这是最常见的DDoS攻击方法之一。

攻击者向目标计算机发送大量的数据包,以使其达到处理能力的极限,从而无法响应用户的请求。

2. SYN攻击:这种攻击利用TCP/IP协议中的漏洞,攻击者伪造大量的SYN包,并将其发送到目标计算机。

随后,攻击者发送ACK包,但不进行握手协议,从而使目标计算机等待回复的时间过长,耗尽其资源。

《基于深度学习的DDoS攻击检测方法研究》

《基于深度学习的DDoS攻击检测方法研究》

《基于深度学习的DDoS攻击检测方法研究》篇一一、引言随着互联网技术的迅猛发展,分布式拒绝服务攻击(DDoS)已成为网络安全领域的重要威胁。

DDoS攻击通过大量伪造或合法的请求,使目标服务器过载,导致服务无法正常运行。

传统的DDoS攻击检测方法在面对复杂多变的攻击手段时,面临着识别效率低下和误报率高的挑战。

本文基于深度学习技术,研究并探讨了一种有效的DDoS攻击检测方法。

二、DDoS攻击概述DDoS攻击是一种利用大量伪造或合法的请求,使目标服务器或网络资源过载的攻击方式。

其特点在于攻击来源广泛、隐蔽性强、难以追踪。

DDoS攻击对网络和服务器资源造成严重威胁,可能导致服务中断、数据丢失等严重后果。

三、传统DDoS攻击检测方法的局限性传统的DDoS攻击检测方法主要依赖于特征匹配和流量统计等方法。

然而,随着网络环境的复杂化和攻击手段的多样化,传统方法的识别效率和准确性逐渐降低,误报率上升。

此外,传统方法难以处理大量的网络数据,对新型的隐蔽性较强的DDoS攻击难以有效检测。

四、基于深度学习的DDoS攻击检测方法针对传统方法的局限性,本文提出了一种基于深度学习的DDoS攻击检测方法。

该方法通过构建深度神经网络模型,利用大量历史网络数据对模型进行训练,使模型能够学习到网络流量的正常模式和异常模式。

当新的网络流量进入时,模型可以自动判断其是否为DDoS攻击。

具体而言,该方法包括以下几个步骤:1. 数据收集与预处理:收集大量的网络流量数据,包括正常流量和各种类型的DDoS攻击流量。

对数据进行清洗和预处理,使其适合用于模型训练。

2. 构建深度神经网络模型:根据网络流量的特点,构建适合的深度神经网络模型。

模型可以采用卷积神经网络(CNN)或循环神经网络(RNN)等结构。

3. 模型训练:利用大量历史网络数据对模型进行训练,使模型能够学习到网络流量的正常模式和异常模式。

在训练过程中,可以采用无监督学习或半监督学习方法,以提高模型的泛化能力。

网络安全中的DDoS攻击检测与防御方法研究

网络安全中的DDoS攻击检测与防御方法研究

网络安全中的DDoS攻击检测与防御方法研究随着互联网的迅猛发展,网络安全问题也显得日益突出。

其中,分布式拒绝服务(DDoS)攻击成为一种常见的网络安全威胁。

DDoS攻击通过大量的请求淹没目标服务器,从而使得服务不可用,给网络运营商和用户造成严重损失。

为了应对这种威胁,网络安全研究领域涌现出许多针对DDoS攻击的检测与防御方法。

首先,为了检测DDoS攻击,研究人员提出了多种不同的方法。

其中之一是基于特征的方法,该方法通过分析网络流量中的特征,例如数据包大小、流量峰值等,来识别潜在的DDoS攻击流量。

该方法具有较高的准确性,但需要节点具备大量的计算和存储资源。

另一种常见的方法是基于统计的方法,该方法通过监测和分析网络流量的统计特征,例如流量速率、流量分布等,来区分正常流量和攻击流量。

该方法对于检测未知的DDoS攻击具有较好的性能,但对于复杂的攻击方法可能存在一定的局限性。

除了检测方法外,在网络安全防御中,还有许多方法可以应对DDoS攻击。

其中,一种常见的方法是流量过滤和阻断,通过将非法的流量筛选出来并阻止其进一步传播,从而减轻目标服务器的负载压力。

该方法可以采用硬件设备、软件程序或者网络防火墙来实现。

另外,还有一种常见的方法是流量分析与识别,该方法通过对网络流量的实时监测和分析,识别出潜在的DDoS攻击流量,并对其进行分析和优化。

通过对攻击流量进行分析,网络管理员可以了解攻击的来源和目的,并及时采取相应的防御措施。

此外,还有一些新兴的技术和方法用于DDoS攻击的检测与防御。

例如,使用人工智能和机器学习技术来自动识别和应对攻击行为。

这些技术可以通过学习大量的网络流量数据,建立模型并判断未知的DDoS攻击。

此外,还有一些方法采用了分布式的防御策略,将网络流量分散到多个服务器上进行分析和处理,从而提高整体的防御能力。

同时,也有一些方法采用了协同防御的策略,各个节点之间相互合作,并共享信息,以提高检测和防御的准确性和效率。

网络安全中的DDoS攻击检测与应对技术研究

网络安全中的DDoS攻击检测与应对技术研究

网络安全中的DDoS攻击检测与应对技术研究随着互联网的普及,网络已经成为人们工作和生活中不可或缺的一部分。

然而,网络安全问题在近年来愈加凸显,DDoS攻击也成为安全领域的一大难题。

DDoS(Distributed Denial of Service)攻击是一种向目标服务器发送大量恶意请求,使其无法正常处理合法请求的攻击方式。

相对于单一源的攻击,DDoS攻击利用分布式攻击的方式,其攻击威力更大,更难以防范和应对。

在面对DDoS攻击时,传统的防御方式主要包括黑名单过滤和流量清洗。

黑名单过滤指的是将攻击源的IP地址加入黑名单中,并拒绝对这些IP地址的请求进行响应,以防止攻击者发起恶意请求。

而流量清洗则是使用一些工具对进入服务器的数据进行清洗和过滤,只允许合法的请求通过。

然而,这些传统的防范方式已经无法满足现代互联网的需求,因为不断进化的攻击手段已经让上述防御方法失去了效果。

此时,需要有一些新的技术手段来应对几乎无法防范的DDoS攻击。

基于机器学习的DDoS攻击检测是一种新兴的检测技术。

其基本思想是通过对网络流量数据进行深入分析,识别DDoS攻击的流量特征,并通过监测模型不断学习数据,以提高准确性和可靠性。

机器学习技术的核心是数据模型的构建和训练。

在DDoS攻击检测中,数据模型主要包括两个部分:特征提取和分类器。

特征提取是将网络流量数据中的特征提取出来。

这些特征可分为两类:传输层特征和应用层特征。

传输层特征包括数据包大小、发送速率、端口号等。

而应用层特征则通过分析TCP或UDP包的负载来提取。

提取的特征可以被用于区分正常流量和DDoS攻击流量。

分类器则是将提取出的特征与预设的攻击模型进行比较,以确定流量是否构成DDoS攻击。

现在已经出现了许多常用的分类器,如K近邻、支持向量机和人工神经网络等。

分类器的核心在于训练,需要使用标记好的数据进行反复模拟验证和训练,以提高检测的正确率和鲁棒性。

目前,基于机器学习的DDoS攻击检测技术在实际应用中已经取得了很好的效果。

基于网络流量分析的DDoS攻击检测技术研究

基于网络流量分析的DDoS攻击检测技术研究一、背景介绍随着网络的普及和发展,网络攻击已成为每个人都需要关注的问题。

其中最常见的一种攻击方式是DDoS攻击(分布式拒绝服务攻击),即通过向目标网站或服务器发送大量请求,使其服务能力降低或瘫痪,导致网络服务瘫痪,严重影响生产和生活秩序。

二、DDoS攻击原理DDoS攻击的原理是利用大量的计算机或设备协同攻击同一目标,从而使目标服务器的网络带宽、CPU、内存等资源达到饱和,进而无法正常处理网络请求,导致拒绝服务。

随着技术的发展,攻击手段日益复杂,各种攻击手法层出不穷,如SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、DNS Flood等。

三、DDoS攻击检测技术为保障网络服务的安全稳定,研究和发展DDoS攻击检测技术变得至关重要。

目前,主要的DDoS攻击检测技术主要包括:1、网络流量分析网络流量分析是常用的DDoS攻击检测方法之一,可以实时分析网络流量,依据相关统计学特征和规则进行异常检测。

此外,可以通过监控网络流量的状态,及时发现并抵御DDoS攻击。

2、机器学习方法机器学习方法是一种基于数据的自动学习和优化算法,可以识别各种攻击方式,如DDoS攻击、恶意软件攻击等。

通过正常流量的学习,能够识别异常流量和DDoS攻击流量。

3、深度学习方法深度学习方法是机器学习算法的一种,能够自动学习和识别网络攻击流量和正常流量。

通过建立深度神经网络模型,可以从大量的数据中学习网络攻击的特征和规律,不断优化模型,提高检测准确率和效率。

四、基于网络流量分析的DDoS攻击检测技术网络流量分析是DDoS攻击检测技术中应用最为广泛的一种技术手段。

网络流量分析主要分为统计学方法和基于规则的方法。

1、统计学方法统计学方法是通过对流量特征进行分析,对正常流量进行学习建模,并对异常流量进行识别和检测。

常用的统计学方法有自相关函数、互相关函数、延时相关函数、总变差函数等。

《基于深度学习的DDoS攻击检测方法研究》范文

《基于深度学习的DDoS攻击检测方法研究》篇一一、引言随着互联网技术的迅猛发展,分布式拒绝服务攻击(DDoS)已成为网络安全领域的一大挑战。

DDoS攻击利用大量伪造的请求,通过分散的服务器和客户端向目标服务器发起攻击,导致目标服务器无法正常处理请求,从而造成服务中断或降低服务质量。

传统的DDoS攻击检测方法往往依赖于简单的模式匹配和阈值判断,难以应对日益复杂的攻击手段。

因此,本文提出基于深度学习的DDoS攻击检测方法研究,以提高DDoS攻击检测的准确性和实时性。

二、DDoS攻击原理与特征在分析深度学习方法之前,我们需要了解DDoS攻击的基本原理和特征。

DDoS攻击主要通过对目标服务器发起大量无用的数据包请求,消耗服务器的资源,使其无法处理正常的业务请求。

攻击过程中,数据包的数量、频率、类型等特征与正常流量存在显著差异。

这些特征为后续的深度学习检测提供了依据。

三、深度学习在DDoS攻击检测中的应用深度学习技术为处理复杂的非线性模式提供了有效的工具,具有强大的特征提取和模式识别能力。

在DDoS攻击检测中,我们可以利用深度学习对网络流量进行分类,并利用已训练的模型进行实时检测。

深度学习的优势在于可以自动从数据中提取特征,减少对先验知识的依赖,从而提高检测的准确性和效率。

四、深度学习模型设计在本文中,我们采用基于循环神经网络(RNN)的深度学习模型进行DDoS攻击检测。

该模型可以有效地处理时间序列数据,从而实现对网络流量的实时检测。

我们通过训练RNN模型,使模型能够自动提取出DDoS攻击和正常流量的关键特征。

同时,为了解决过拟合问题,我们还采用了正则化技术和其他优化策略。

五、数据集与实验结果为了验证本文提出的深度学习模型的性能,我们使用了一个包含大量网络流量数据的真实数据集进行实验。

我们将数据集分为训练集和测试集,通过训练RNN模型来提取特征并进行分类。

实验结果表明,我们的模型在DDoS攻击检测中取得了较高的准确率,有效地降低了误报和漏报率。

基于网络流量分析的DDoS攻击检测算法研究

基于网络流量分析的DDoS攻击检测算法研究近年来,DDoS攻击已经成为网络安全领域的一大难题。

DDoS攻击利用大量的合法请求来淹没被攻击的系统,造成系统停止服务的结果。

这种攻击不仅能够对个人和企业的网络造成严重影响,也能够造成对国家网络安全的威胁。

随着网络技术的不断进步,恶意攻击者的攻击方式也在不断的变化和升级,这导致传统的防御方式无法有效地保护被攻击的系统。

为了应对DDoS攻击,针对网络流量进行分析已经成为一种非常有效的防御手段之一。

本文将基于网络流量分析的DDoS攻击检测算法进行深入研究,探讨其应用与发展。

一、网络流量分析技术的应用网络流量分析技术是指通过对网络流量的收集、分析和处理来获取网络中有关流量的信息。

网络流量分析技术可以应用于网络安全领域,以检测和识别各种恶意活动,如DDoS攻击、网络蠕虫和病毒等。

网络流量分析技术通过捕获网络流量,在分析过程中,可以获取有关攻击者的IP地址、攻击类型、攻击目标等信息。

通过对这些信息的整理和分析,能够有效地检测和识别各种恶意活动,为网络安全提供更加完善的保护措施。

二、DDoS攻击检测算法的研究现状目前,有很多基于网络流量分析的DDoS攻击检测算法被提出。

这些算法大多基于传统的机器学习技术和数据挖掘技术,如支持向量机、朴素贝叶斯和聚类等,以提高检测的准确性和效率。

然而,这些算法也存在一定的问题。

例如,传统的机器学习算法需要对特征属性进行预定义,而特征属性的定义可能存在不完整和不准确的情况。

此外,数据量的增大也会导致算法的执行效率变慢。

这些问题都影响了算法的检测准确性和效率,使得这些算法在实际应用中并不十分有效。

三、基于深度学习的DDoS攻击检测算法发展趋势为了克服传统算法的局限性,基于深度学习的DDoS攻击检测算法正在蓬勃发展。

深度学习是一种强大的机器学习技术,它不需要预定义特征属性,而是通过大量的数据和计算来训练神经网络,使其能够自动学习特征属性并更好地保护网络安全。

基于网络安全技术的DDoS攻击防御研究

基于网络安全技术的DDoS攻击防御研究随着网络技术的不断发展,网络安全问题越来越受到重视。

据统计,每年全球网络攻击事件超过1000万次,其中DDoS攻击占比较大。

DDoS(分布式拒绝服务攻击)是一种利用大量计算机或网络设备对目标服务器进行攻击的行为,目的是使目标服务器无法提供正常的服务。

如何防御DDoS攻击已经成为了网络安全领域的热点话题之一。

本文将基于网络安全技术对DDoS攻击的防御进行研究和探讨。

一、DDoS攻击原理与类型1. DDoS攻击原理DDoS攻击是利用大量的计算机或网络设备发起攻击,将大量的流量通过互联网向目标服务器发起攻击,从而使目标服务器无法提供正常的服务。

DDoS攻击通常使用Zombie网络作为攻击工具,这种网络是由一些感染了恶意代码的计算机形成的,这些计算机被远程控制,可以在攻击者的命令下发起攻击。

2. DDoS攻击类型DDoS攻击种类繁多,其中常见的有以下几种:① SYN Flood攻击:攻击者伪造大量TCP连接请求,使得目标服务器消耗大量的资源,导致无法正常提供服务。

② ICMP Flood攻击:攻击者在网络上发送大量的ICMP报文,使目标服务器的网络带宽消耗殆尽。

③ UDP Flood攻击:攻击者发送大量的UDP数据包到目标服务器上,使得目标服务器无法处理请求。

④ DNS攻击:攻击者在网络上发送大量的DNS请求,目标服务器花费大量时间解析请求,以至于无法正常提供服务。

二、防御DDoS攻击的技术方案1. 流量过滤技术流量过滤是一种比较常见的DDoS攻击防御技术,它通过网络设备对流量进行过滤,将正常的流量传输到目标服务器上,同时过滤掉恶意攻击流量,从而保障目标服务器的正常运行。

流量过滤的原理是将所有的数据包经过过滤器进行过滤,过滤掉恶意流量,只将正常流量发送到目标服务器。

2. 负载均衡技术负载均衡是一种流量分担技术,它可以将流量均衡地分配给多台服务器,从而实现资源共享,提高服务器的可靠性和可用性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2 1年 第 0 期 02 4
■ d i 03 6  ̄i n 6 11 2 0 20 1 o 1 9 9 s 7 -1 2 2 1 4 0 0 s 1
基于协 议分析 技术的 网络入侵 检测 系统 中 DDo 击的方法研 究 S攻
方欣 ,万扬 ,文霞 ,郭彩云 -
协议分析技 术的 网络入 侵检测 系统对 DDo S进 行研 究。
关 键词 :入侵检 测 ;协议 分析 ;D o DS 中图分类号 :T 330 文献标识码 :A 文章编号:17 — 12( 02) 4 0 3 —3 P9. 8 6 1 12 2 1 0 —0 6 0
DD o t c s d o o o o SAta ksBa e n Pr t c l Ana y i fNe wo k nt uso l sso t r I r i n De e to se s a c t ci n Sy t m Re e r h
基 于协议分析技术 的入侵检 测系统基 本思路是 将从 网上
图1 DF CI 模型结构 图
捕 获的数据 包按 T PI 据传 输的反向顺 序逐个将各层的首 C/ P数
部 中的关 键字段解 析 出来 】 ,然后根 据各层 头部的关键 字段 来 区分出是何种 协议 , 由各层首部 中的特殊字段 ( 如标 识字段 ) 来 确定 应该是 何种协议 ,再 以此 协议特征 进行分析来确定攻
事件 产 生 器 事件 分 析 器
协议分析技术 中的命令 解析 器使 用的命 令解析技 术可以对各
种上层协议 进行解析 ,对每一个用户命令作出详细 的分析,还
可以通 过 I P分片重组等手段 来判 断一些欺骗性复杂攻击。
响应
事 件 数据 库
响 应 单元

2基于协议分析技术的入侵检 测系统基本原理
面可以对各个模块进行配 置,另—方面也可以接收告警信息。
21协议 分 析基 本 流 程 .
1 )预 处 理。R I S的传感 器 捕 获数 据 包 后,将 数 据 G— D 送 到 T P I ,采用状 态追踪技术 ,在 I C /P层 P分片重组 、排序 、 T P流重组 的基础上,记录和保持 S sin的发起 、建立和结 C es o 束 等状态 ,同时 记录序列号并 进行协议状 态检测分析 ,确保
组合就是人侵检 测系统 , 简称 I SIt s nD tc o yt 。 D ( r i eet n s m) nu o i S e
通用人侵检测框架 ( o C mmo nr s nD tc o rm w r ) nIt i eet nF a e 0k uo i 如图 1 所示 。
数 据处 理模 块将解 析 出的特 征与 已知的攻击 特 征进 行匹配 ,
根据 匹配结果来判断 “ 入侵行为” 。如发现 入侵行为,则及时
件模 式相 匹配时就报警。它适合 于已知使 用模 式的检 测,只
能检 测到 已知的入侵 方式 l 用检测代 表性 的检测方 法是 。误 模 式匹配算 法。
许多拥有较高 网络安全技术水平的网站如 Y h o a o 、韩国国防部 、美 国特情局等都 曾遭到过 D o 攻击 。因此 ,如何快 速高效地 DS
检测 出 D S攻击已成为信息安全研究 的热点。由于 D o Do D S攻击可以伪造源地址或 目标地址 ,因而具有极大的隐蔽性 ,对其 检测
有一定 的难度,本文采用协议分析技 术,借助入侵检测系统 R — S 对 D o 攻击进行了检测研究。 GI , D DS
n t e rs l e o s c r eb c o r r b e c n n ts p t e itma e r  ̄ c s I r en mb ro o e ov d t e u e t a k d o o lm, a o t h n e 1 t k a a k . n a l g u e f b h p o n wo a
D S 击 以其 实施 容 易 ,破 坏 力度 大,检测 困难 等特 点 而成 为网络 攻击检 测 与防御 的 重 中之 重 。近年 来 , Do 攻
针 对 网络 流量相 关性 的 D o 攻 击检测 方法层 出不 穷 ,文章在 分析 D S 击检 测 方法的基 础上 ,利用基 于 DS Do 攻
1 入侵检测基础
11入侵检测 的定义 .
入侵 是指在没有授权的情况下,进行 的可能危及计算机资源完整性、机密性或可用性的行为。入侵检测是指对 入侵行为的检 测。它通过从计算 机网络或 系统 中的若干关键点收集信息,并对这些信息进行分析,从而发现 网络或系统 中是否有违 反安全策

收 稿 时 间 : 0 1 1— 3 2 1— 2 2
a l sstc n o y— s dne o ki tu indee to y tm g is nay i h olg ba e t r nr so tci ns se a an tDDO e e r h e w S r s ac . K e r s itu in ee to p o o o n l i; y wo d : n r so d tcin; r t c 1 ayss DDoS a
击行为。
入侵检 测系统基本 功能是 : 视 、分 析用户及 系统活动; 监 发现入侵企 图或异常现象 ; 记录、报警和响应。人侵检测系统
工作流程如 图 2所示 。
— 厂
— — —





据 捕
— 厂
— — —

据 过

据 分

件 响
基 于协议分 析技术 的入侵 检测 系统 首先根 据 网络流量 , 截获 网络 数据包 ;然后通 过协议分析来检 测入侵,其基 本模
ne ok e u iy tr as DDoS isi w t r s c rt h e t. t mplm e tto se s o u dem ie e o t o d tci n d ̄ c te nm a i e nai n i a y t n r n f rst ee to i ul si kng i i e o t o k a c ee to n p e n in a tp pro t.I e e ty a s n nde ss e m e ok tb c me anew r aa k d tcin a d r ve to o i r y n r c n e r,a e ls f a ofn t r i w ta cd tci no o R c s i h n lssofteDD o ta k ee t eh dba e n teus fp o o o r f ee to fDD S a a k .nt ea ay i i h S at c d tci m t o s do h eo r t c 1 on
不会受 到 I S躲避技 术的欺骗。当 T P I D C /P协议状态检测后,
但建立正常模 型困难 ,存在误检率高 和管理复杂的缺点 ’ 。异
测两种。
图3 基于协议分析的I 总体框架 DS
数 据采集模 块负责从 网络上收集 原始 的网络数 据流,这
些 数据 经过预 处理 后,被送 到数 据处理 模块 进行 特征解 析,
误 用检测是 对 已知的攻击或入侵 的方式做 出确定性 的描 述 ,形成相 应的事件 模式 。当被 审计 的事 件与 已知的入侵事
c mpe , ewok sc r y f e l tc n tg ln x o e eo vo sso to n sa dwe k ess cn o lx n t r eu i , rwale h oo y ao ee p s dt b iu h r mig n a n se , a t i h c
( 南理 工学院 ,湖 南岳 阳 4 4 0 ) 湖 10 6
摘 要 :随 着网络技 术的发展 , 网络环 境 变得越 来越 复杂 ,对网络安全 来说 ,单纯的 防火墙技 术暴露 出
明显的不足 和弱点 ,包括 无法解 决安全后 门问题 ,不 能阻止 网络 内部攻击等 问题 。在众 多的 网络安 全威 胁 中,
A bs r c :W ih t v l pm e t r e h l y tat t he de e o ntofne wo k t c no og .new o k e io t r nv r nm e tb c n e om e ic e sn y s n r a i gl
基金 项 目:湖南省教育厅项 目资助 [ C0 5] 1 7 8、湖南省教育厅项目资助 [4 2 2、湖南理 工学院校 级大学生研究性学习和创新性 实验计 划项 目 0 0 C 7]
【 KYL 0 13 XS X2 10 ]
作 者简介: 方欣 ( 9 1 ) 17一 ,男,湖南,讲师,硕士,主要研 究方向 : 计算机 网络、信息安全 ; 万扬 ( 9 0 ) 10 一 ,男,湖南,本科,主要研 究方向: 计算机网络 、信息安全 ; 文霞 ( 9 1 ) 19 - ,女,湖南,本科,主要研究方向 : 计算机网络 、信息安全 ; 郭彩云 ( 9 1 ) 19一 ,女,湖南,本科,主要研
究方向 : 计算机 网络、信息安全。
21 年第0 期 02 4
略的行为 和遭到攻击 的迹象。进行入侵检测 的软件和硬件 的
包特定字段 来判定数 据包 的类 型,然后进行模 式匹配时数据 包 只和指定类 型的规则进 行匹配,这样大 大减少了所需 匹配 的规 则数 目和 长度,有 效 的提高了检测 速度与检 测效率 。2 )
异常检测首先建立一个 的正常活 动模 型,然后用这个模型 对系统和用户的实际活动进行审计,看是否会对系统构成威胁。 异常检测 的优点 是通用性强 ,能一定程 度上检测出未 知攻击,
将 分析结果送 到响应模 块,由响应模 块 向控制 台产生告 警信 息 ,同时将重要的数据保存起来 。