一種可靠檢測低速率DDoS攻擊的異常檢測系統
加入技術交流群
進行了包捕獲之后,需要將捕獲到的數據包通過回調函數進行數據包的解析。因此在對回調函數進行封裝時,必須借助一解析流程,實現回調函數和線程類間的數據共享,再根據TCP/IP協議族層次結構圖及各層數據包格式的定義,對各層加入的頭和控制信息進行解封裝。詳細過程見文獻[9]。圖3是該解析流程的過程。
上述實時采集及信息萃取模塊采用基于GUI的可重用設計方法。其流量解析結果以GUI界面輸出,進行對入侵檢測系統的接口操作,實現下一模塊:攻擊識別與決策的數據包采集與萃取的預處理過程。
2.3攻擊識別與決策模塊
此模塊的關鍵問題有兩個:一是根據識別方法選擇合適的檢測特征;另一是如何實現可靠識別。可靠識別的意思是指,用戶可事先設定所需要的識別概率和漏報概率。
設x(t)為到達流量函數。其最小流量約束函數記做f(I)(I>0)。則在區間[0,I]內,到達的累積流量不會小于f(I)=min[x(t+I)-x(t)]。在時間區間[(n-1)I,nI](n=1,2,…,N)內,f(I,n)就是該區間內的最小流量約束函數。它是關于n的隨機序列。把各區間[(n-1)I,nI]都分成M段。每段長度為L。對第m段(m=1,2,…,M),取平均值E[f(I,n)]m。則當M>10時,E[f(I,n)]m符合高斯分布
設置信系數為1-a1,則統計下限為:
于是,得到模板η=E[f(I,n)]。令閾值Vt=bf(M,α1),則低速率檢測概率和丟失概率分別為:
由此,用戶可以預先設置α1值來得到給定的檢測概率和漏報概率。當η≥Vl時,視數據流為正常。本文引用地址:http://www.104case.com/article/188489.htm
2.4報警模塊
IDS檢測到低速率攻擊后,向用戶報警并將該事件通知給安全管理中心,做出防衛決策。根據需要,可將報警信息發給其他網絡,構成全方位的、立體的網絡安全解決方案。當出現報警信息時可以采取的報警方式有:開啟警燈,彈出界面,開啟警鈴,發短信給高層決策者,發Email給高層決策者等,這幾種報警方式可以單獨采用也可以集中相結合。
警報出現時,還要通知安全管理中心,如果是嚴重的大范圍攻擊,則通知其他網絡,防止攻擊對網絡造成大范圍的破壞;否則,內部處理。
3實驗結果
采用以前的工作所述的方法仿真實驗用的網絡流量,分別用正常和非正常情況下的兩個數據流進行實驗,并做一個對比。
圖5表示兩個數據流的x(t),圖6,圖7表示兩種情況下的,f(I,n)(n,I=1,2,…,16)。由于版面限制,只給出前四種情況。圖8,圖9是兩種情況下的平均速率圖和速率的概率密度分布圖,由此可以清楚地看到,此種方法能準確地分辨出低速率和正常的速率,能夠用于低速率攻擊的檢測。
評論