论文部分内容阅读
拒绝服务攻击是近年来互联网的重大威胁,这种攻击使得计算机系统或者网络无法正常运转,从而使得合法用户获得的服务质量降低甚至无法获得服务。经过十年的发展,拒绝服务攻击呈现新的特点,例如使用更多主机发功攻击,降低单台主机的攻击强度以逃避检测;采用新型的攻击方式,如脉冲式拒绝服务攻击等。而目前对拒绝服务攻击的检测方法往往着重于总体流量的检测,无法辨别正常用户和攻击主机。本文提出一种基于隐马尔可夫模型的异常流量检测方法:在训练阶段,通过采用大量正常用户的流量对模型进行训练,得到正常用户流量的评价模型和或然概率正常区间;在检测阶段,计算待检流量相对评价模型的或然概率,根据其是否落在正常区间判断待检流量来自正常用户还是攻击主机。鉴于Web流量本身具有多样性的特点,我们进一步使用基于隐马尔可夫模型的聚类算法,对Web用户流量进行聚类,对每个聚类的用户流量再分别建立评价模型,以提高检测效果。针对新出现的脉冲式拒绝服务攻击,我们提出一种基于流量摘要的检测方法,在观测周期内使用CountingBloomFilter对通过链路的流量进行摘要,观测周期结束后对总体流量进行检测判断是否存在攻击,如果存在攻击则进一步使用流量摘要对攻击流进行过滤。最后,针对拒绝服务攻击会造成网络性能下降的特点,提出一种对排队时延、时延抖动和丢包率等网络性能指标测量的方法,并通过对不同场景下的网络性能指标的测量,验证了该测量方法的有效性。