一種可靠檢測(cè)低速率DDoS攻擊的異常檢測(cè)系統(tǒng)

作者：時(shí)間：2009-12-01 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢

2.2.2 數(shù)據(jù)包信息萃取

進(jìn)行了包捕獲之后，需要將捕獲到的數(shù)據(jù)包通過(guò)回調(diào)函數(shù)進(jìn)行數(shù)據(jù)包的解析。因此在對(duì)回調(diào)函數(shù)進(jìn)行封裝時(shí)，必須借助一解析流程，實(shí)現(xiàn)回調(diào)函數(shù)和線程類間的數(shù)據(jù)共享，再根據(jù)TCP／IP協(xié)議族層次結(jié)構(gòu)圖及各層數(shù)據(jù)包格式的定義，對(duì)各層加入的頭和控制信息進(jìn)行解封裝。詳細(xì)過(guò)程見(jiàn)文獻(xiàn)[9]。圖3是該解析流程的過(guò)程。

上述實(shí)時(shí)采集及信息萃取模塊采用基于GUI的可重用設(shè)計(jì)方法。其流量解析結(jié)果以GUI界面輸出，進(jìn)行對(duì)入侵檢測(cè)系統(tǒng)的接口操作，實(shí)現(xiàn)下一模塊：攻擊識(shí)別與決策的數(shù)據(jù)包采集與萃取的預(yù)處理過(guò)程。

2.3攻擊識(shí)別與決策模塊

此模塊的關(guān)鍵問(wèn)題有兩個(gè)：一是根據(jù)識(shí)別方法選擇合適的檢測(cè)特征；另一是如何實(shí)現(xiàn)可靠識(shí)別。可靠識(shí)別的意思是指，用戶可事先設(shè)定所需要的識(shí)別概率和漏報(bào)概率。

設(shè)x(t)為到達(dá)流量函數(shù)。其最小流量約束函數(shù)記做f(I)(I>0)。則在區(qū)間[0，I]內(nèi)，到達(dá)的累積流量不會(huì)小于f(I)=min[x(t+I)-x(t)]。在時(shí)間區(qū)間[(n-1)I，nI](n=1，2，…，N)內(nèi)，f(I，n)就是該區(qū)間內(nèi)的最小流量約束函數(shù)。它是關(guān)于n的隨機(jī)序列。把各區(qū)間[(n-1)I，nI]都分成M段。每段長(zhǎng)度為L(zhǎng)。對(duì)第m段(m=1，2，…，M)，取平均值E[f(I，n)]m。則當(dāng)M>10時(shí)，E[f(I，n)]m符合高斯分布

設(shè)置信系數(shù)為1-a1，則統(tǒng)計(jì)下限為：

于是，得到模板η=E[f(I，n)]。令閾值Vt=bf(M,α1)，則低速率檢測(cè)概率和丟失概率分別為：

由此，用戶可以預(yù)先設(shè)置α1值來(lái)得到給定的檢測(cè)概率和漏報(bào)概率。當(dāng)η≥Vl時(shí)，視數(shù)據(jù)流為正常。

本文引用地址：http://www.biyoush.com/article/188489.htm

2.4報(bào)警模塊

IDS檢測(cè)到低速率攻擊后，向用戶報(bào)警并將該事件通知給安全管理中心，做出防衛(wèi)決策。根據(jù)需要，可將報(bào)警信息發(fā)給其他網(wǎng)絡(luò)，構(gòu)成全方位的、立體的網(wǎng)絡(luò)安全解決方案。當(dāng)出現(xiàn)報(bào)警信息時(shí)可以采取的報(bào)警方式有：開(kāi)啟警燈，彈出界面，開(kāi)啟警鈴，發(fā)短信給高層決策者，發(fā)Email給高層決策者等，這幾種報(bào)警方式可以單獨(dú)采用也可以集中相結(jié)合。

警報(bào)出現(xiàn)時(shí)，還要通知安全管理中心，如果是嚴(yán)重的大范圍攻擊，則通知其他網(wǎng)絡(luò)，防止攻擊對(duì)網(wǎng)絡(luò)造成大范圍的破壞；否則，內(nèi)部處理。

3實(shí)驗(yàn)結(jié)果

采用以前的工作所述的方法仿真實(shí)驗(yàn)用的網(wǎng)絡(luò)流量，分別用正常和非正常情況下的兩個(gè)數(shù)據(jù)流進(jìn)行實(shí)驗(yàn)，并做一個(gè)對(duì)比。

圖5表示兩個(gè)數(shù)據(jù)流的x(t)，圖6，圖7表示兩種情況下的，f(I，n)(n，I=1，2，…，16)。由于版面限制，只給出前四種情況。圖8，圖9是兩種情況下的平均速率圖和速率的概率密度分布圖，由此可以清楚地看到，此種方法能準(zhǔn)確地分辨出低速率和正常的速率，能夠用于低速率攻擊的檢測(cè)。