硕士研究生开题报告..pptVIP

开题报告 基于重尾特性的 DDoS异常检测研究 指导老 师： *** 报告人： *** 2013-12 内容提要 1、研究背景及研究现状 2、研究内容及目标 3、疑点和难点 4、本课题的创新之处 5、课题进度安排 研究背景 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。 研究背景 DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务“DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击人难以防备，因此具有较大的破坏性。这种攻击可以使网站的email、文件传输和WWW等服务终止几个甚至几十小时之久。全球许多大型的网站以及国内的知名网站都曾遭受了其攻击。 DDoS的攻击原理如图所示 研究背景 研究背景 DDoS的攻击方式主要有以下三种： TCP-SYN flood：该攻击以多个随机或伪造的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 研究背景 UDP flood：目前在互连网上提供的WWW、Mail等服务一般为使用UNIX操作系统，默认情况下它们开放了一些UDP服务。如:原本作为测试功能的chargen服务会在收到每一个数据包时会随机反馈一些字符，如果恶意攻击者将两个UDP服务互指，则网络可用带宽就会很快耗尽。 研究背景 ICMP flood：向某台计算机发送大数量（或刚刚超过规定数量）的ICMP数据包，其用意在于企图引起该计算机中TCP/IP栈瘫痪并停止响应TCP/IP请求。 比如：Ping of death 攻击。 研究现状 针对DDoS攻击的检测方法有很多： 基于统计阀值 Thomer M.Gil等人提出以二叉树的方式按前缀保存某个IP或IP段包数的数据结构，以包数超过预设阈值作为发现DDoS异常的条件，该方法较容易理解与实现，但特征过于简单，判断DDoS异常误报率较高。 研究现状 Alsan Habib 等人提出将网络拓扑结构以图的方式保存，并对进出的流数进行统计，以进出某主机或路由器的流数是否超出预设阈值作为发现DDoS异常的判定条件。 Laura Feinstein和Darrell Kinkred等人计算一定长度网络流量序列的IP地址、数据包长度等属性信息的统计分布值，根据这两个值来判断是否存在 研究现状 攻击。此方法易于被攻击者识破后模拟这种分布，使得上述方法计算出的统计值接近于正常值，从而避免被检测到。因而该方法检测率很 低。 研究现状 基于主机 Thomer M.Gil和Massimiliano Poletto提出通过监测每个连接在路由器两端的数据包速率，如果一端速率显著下降，则表明这端的主机有可能受到了攻击。该方法假设两个主机间数据传输是对称的，而这在实际网络环境中是不准确的，因而准确率不是很高. 研究现状 基于宏观流量 东南大学程光等人 提出以ICMP请求报文和应答报文之间比率的网络行为为测度，并采用抽样测量的方法，建立网络流量异常行为实时检测模型来检测ICMP DDoS攻击，该方法虽然抽样测量的理论很新颖，但没能提出针对性更广泛的DDoS攻击的检测特征，适用范围不广。 研究现状 李广辉 张伟提出的基于聚焦算法的DDOS数据流检测和分析。针对DDOS攻击的本质特征，对ip数据流进行轻量级协议分析 把ip流分为tcp,udp,icmp数据流，分别建立相应的聚集模式，根据该模式检测DDOS聚集所占资源，采取相应的措施过虑攻击包，从而保证正常数据包的发送。 研究现状 南京邮电大学 的任勋益 王汝传 王海艳 基于自相似检测DDOS攻击的小波分析方法，利用DDOS攻击对网络流量的自相似性的影响的基础上，提出了小波分析检测DDOS攻击的方法，但是改方法在区分正常的突发流量和异常流量方面存在缺陷。 研究内容和目标 本文主要研究在宏观网络流量背景下的异常检测技术 ， 这里所说异常，是指由DDoS攻击所引发的流量异常。实现了一个基于重尾分布的DDoS异常检测方法。 研究内容与目标 经研究正常的网络流量是符合重尾分布的，服从重尾分布的随机变量的特点是：大量的小抽样取值和少量的大抽样取值并存，在这些抽样数据集中，