文档介绍:DDoS攻击检测技术研究
张明猛1 赵天福2
(1 江南计算技术研究所江苏无锡 214083)
(2 江南计算技术研究所江苏无锡 214083)
摘要: 分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法,无法适用于分布式拒绝服务攻击的检测。文章介绍了一种基于CUSUM算法的检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。
关键词: 分布式拒绝服务攻击; 检测; CUSUM算法
中图分类号: 文献标识码:A
Research on the Detection Technique of
Distributed Deny of Service Attack
ZHANG Mingmeng, ZHAO Tianfu
(Jiangnan Institute puting Technology, Wuxi Jiangsu 214083, China)
Abstract: Distributed Deny of Service (DDoS) attack is one of most serious security threats. Traditional detecting method based work flow characteristic can not apply to detect Distributed Deny of Service attack. This paper introduces a new DDoS detecting technique based on Cumulative Sum algorithm (CUMSUM), which can efficiently distinguish DDoS flow from work flow.
Key words: Distributed Deny of Service; Detecting; Cumulative Sum algorithm
1引言
拒绝服务攻击(Deny of Service,DoS)曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚马逊等)陷入瘫痪长达数小时甚至数天,造成了巨大的经济损失。 拒绝服务攻击非常容易发起,并不像其它攻击一样需要有一定技术基础。
拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石,它是按照在开放和彼此信任的群体中使用来设计的,在实现上力求效率,而没有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实现,并且只能在终端结点实施控制,这就使得大量报文可以不受约束地到达终端结点;路由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IP Spoofing)容易实施,DoS攻击正是利用这个弱点,使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。
传统的拒绝服务攻击从一个攻击源攻击一个目标,可以很容易地根据流量来识别[2]。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式拒绝服务攻击(Distributed Deny of Service, DDoS)。DDoS呈现的特征与正常的网络访问高峰非常相