久久ER99热精品一区二区-久久精品99国产精品日本-久久精品免费一区二区三区-久久综合九色综合欧美狠狠

新聞中心

EEPW首頁 > 模擬技術 > 設計應用 > 一種可靠檢測低速率DDoS攻擊的異常檢測系統

一種可靠檢測低速率DDoS攻擊的異常檢測系統

作者: 時間:2009-12-01 來源:網絡 收藏
2.2.2 數據包信息萃取

進行了包捕獲之后,需要將捕獲到的數據包通過回調函數進行數據包的解析。因此在對回調函數進行封裝時,必須借助一解析流程,實現回調函數和線程類間的數據共享,再根據TCP/IP協議族層次結構圖及各層數據包格式的定義,對各層加入的頭和控制信息進行解封裝。詳細過程見文獻[9]。圖3是該解析流程的過程。


上述實時采集及信息萃取模塊采用基于GUI的可重用設計方法。其流量解析結果以GUI界面輸出,進行對入侵檢測系統的接口操作,實現下一模塊:攻擊識別與決策的數據包采集與萃取的預處理過程。

2.3攻擊識別與決策模塊

此模塊的關鍵問題有兩個:一是根據識別方法選擇合適的檢測特征;另一是如何實現可靠識別??煽孔R別的意思是指,用戶可事先設定所需要的識別概率和漏報概率。

設x(t)為到達流量函數。其最小流量約束函數記做f(I)(I>0)。則在區間[0,I]內,到達的累積流量不會小于f(I)=min[x(t+I)-x(t)]。在時間區間[(n-1)I,nI](n=1,2,…,N)內,f(I,n)就是該區間內的最小流量約束函數。它是關于n的隨機序列。把各區間[(n-1)I,nI]都分成M段。每段長度為L。對第m段(m=1,2,…,M),取平均值E[f(I,n)]m。則當M>10時,E[f(I,n)]m符合高斯分布



設置信系數為1-a1,則統計下限為:



于是,得到模板η=E[f(I,n)]。令閾值Vt=bf(M,α1),則低速檢測概率和丟失概率分別為:



由此,用戶可以預先設置α1值來得到給定的檢測概率和漏報概率。當η≥Vl時,視數據流為正常。

本文引用地址:http://www.cqxgywz.com/article/188489.htm


2.4報警模塊

IDS檢測到低速攻擊后,向用戶報警并將該事件通知給安全管理中心,做出防衛決策。根據需要,可將報警信息發給其他網絡,構成全方位的、立體的網絡安全解決方案。當出現報警信息時可以采取的報警方式有:開啟警燈,彈出界面,開啟警鈴,發短信給高層決策者,發Email給高層決策者等,這幾種報警方式可以單獨采用也可以集中相結合。

警報出現時,還要通知安全管理中心,如果是嚴重的大范圍攻擊,則通知其他網絡,防止攻擊對網絡造成大范圍的破壞;否則,內部處理。

3實驗結果

采用以前的工作所述的方法仿真實驗用的網絡流量,分別用正常和非正常情況下的兩個數據流進行實驗,并做一個對比。

圖5表示兩個數據流的x(t),圖6,圖7表示兩種情況下的,f(I,n)(n,I=1,2,…,16)。由于版面限制,只給出前四種情況。圖8,圖9是兩種情況下的平均速率圖和速率的概率密度分布圖,由此可以清楚地看到,此種方法能準確地分辨出低速率和正常的速率,能夠用于低速率攻擊的檢測。



關鍵詞: DDoS 檢測 低速 攻擊

評論


相關推薦

技術專區

關閉