龙源期刊网httpwwwqika
comc

DDoS攻击的检测算法研究
作者：辛忆培来源：《信息安全与技术》2013年第09期
【摘要】网络安全问题的核心在于对网络攻击的检测。针对DDoS的恶意攻击方式，本文在统计方法原理上提出了同步技术检测算法，并以DDoS为例，进行了检测系统的性能测试和分析。【关键词】DDoS攻击；检测算法；同步技术Researcho
DDoSAttackDetectio
AlgorithmXi
Yipei（TheChi
esePLA92493TroopsLiao
i
gHuludao125000）【Abstract】Thecoreproblemof
etworksecurityistodetectthe
etworkattackThispaperprese
tsadetectio
algorithmi
statisticalmethodagai
stmaliciousattacksofDDoSIttestsa
da
alyzestheperforma
cetaki
gDDoSasa
example【Keywords】DDoSattack；detectio
algorithm；simulta
eoustech
iques1引言网络安全问题的研究一直是一个比较热点的问题，如何对网络安全问题进行研究也是一个需要深入考虑的问题。尤其是近年来，宽带业务的推广，用户数量巨增，使得DDoS攻击变得更为严重，DDSo攻击成为了近年来对I
ter
et具有巨大影响的恶意攻击方式。2基于统计方法的DDoS攻击检测和响应LauraFei
stei
等提出了计算熵（E
tropy）和数据包属性分布式频率存储（ChiSquare）的方法来检测DDoS攻击的方法。21E
tropy检测算法一个信息源有
个独立的概率为Pi的信号，那么嫡H就定义为：H■pilog2pi
f龙源期刊网httpwwwqika
comc
因此，熵可以用来计算一个样本里连续的包，将一些样本头域的嫡和从相同的Peeri
gPoi
t出来的样本的嫡相比较来检测随机变化。当网络不存在攻击，不同的头域嫡的值将落在一个很窄的范围内；当网络被攻击时，这些熵的值就会超出这些范围。此算法只需要对每个包进行少量的计算，信包的熵可以通过宽为砰的滑动窗口来计算，这个算法中p的概率实际上是每个独立的信号对于总的样本标志中出现的频率。一个有经验的攻击者会试图破坏这个算法，通过建立一个流量模型仿正常流量。一个攻击者若知道不同的被监测的包属性，则他就会建立一个产生可调熵值流量的攻击工具。通过猜测、渗透、跟踪，这个攻击者可以知道典型的嫡值和调整流量去匹配。这看起来似乎很容易，但如果有多个检测器安置在流量源和目标之间，那么检测器的典型的嫡值在不同的网络环境中就会不同。窗口流量W是一个可以调整的参数，它用来控制检测器短期波动的平滑程度。增加牙值就会减少嫡值的变化并可以减少无关紧要的异常的误警率。但是W也不能太小，这样才能快速地检测出攻击来。通过实验发现10000个包是合理的。22Chisquare检r