DDoS的全局檢測方法.pdf

1、DDoS攻擊有近10年的歷史，它以占用網絡帶寬，消耗主機資源從而使合法用戶不能得到正常服務而聞名。許多知名的網站曾經遭受過它的攻擊，據統計全球13個根服務器都曾經多次遭受它的攻擊。但是目前對于DDoS的檢測仍然沒有非常好的辦法。在受害者網絡中有利于檢測卻不利于攻擊的防御和數據包過濾；攻擊者網絡有利于過濾和防御，但是檢測比較困難。目前認為分布式防御機制是一種較好的DDoS防御方法，但現有的方法主要是針對局部網絡或者是單條鏈路，檢測精度不高

2、，對后期的防御作用較小。本文針對目前分布式防御機制存在的問題，研究DDoS的全局檢測方法和技術，取得了如下研究成果和進展。 與傳統的檢測方式不同，我們將流量矩陣作為檢測對象，研究利用攻擊流之間在時間域的相關特性進行檢測。由于攻擊流和正常背景流本身都存在較強的相關特性，因此不能直接分析流量矩陣的相關性來檢測攻擊。我們首先利用PCA變換將高維的流量矩陣分解為正常空間和異?？臻g，去除背景流量的相關性，然后分析異常空間的相關性從而檢測攻

3、擊。仿真實驗證明該方法能有效檢測DDoS攻擊。 時間域檢測要求有比較大的攻擊流，同時研究表明DDoS異常流量信號的頻率域特征與正常流量有較大區(qū)別，因此我們將流量信號檢測域從時域轉換到頻域。異常流量與背景流量在不同頻帶的能量是不相同，異常流量的能量在總能量中所占比例越高，異常檢測就越容易。基于頻域的檢測將異?？臻g變換到瞬頻域，通過計算瞬時頻率的相關特性檢測攻擊。在獲得了異常空間數據后，首先用希爾波特變換計算異常空間的解析信號，通過

4、滑動時窗由解析信號計算瞬時頻率。仿真表明該方法對于噪聲信號檢測效果明顯，同時對于規(guī)則信號也具有比較好的檢測效果。 好的檢測方法還需要好的防御機制相配合。針對本文的全局檢測方法，提出了一種新的分布式全局防御體系，該體系構建在本地和全局雙層檢測基礎之上。本地節(jié)點采集鏈路流數據，在進行本地檢測的同時向中心節(jié)點傳輸鏈路數據和路由信息，用于中心節(jié)點實施全局檢測。一旦本地節(jié)點檢測到可疑流量，即通知中心節(jié)點發(fā)起全局檢測。為使攻擊檢測能實時可靠