基于网络自相似性的DDoS攻击检测摘要：虽然目前在危害Internet的安全中，分布式拒绝服务即DDOS已经成为重要的隐患之一，但是由于对DDOS攻击进行防范、检测和反击的研究工作还没有取得实质性的重大突破，因此，目前还没有一种有效的方法来准确及时的预测DDOS攻击的发生。本文提出一种根据网络业务自相似性，通过实时建模和动态分析检测拒绝服务攻击发生前后网络流量自相似性参数Hurst的变化来检测DDoS攻击。通过仿真试验，该方法能够快速准确的检测出DDoS攻击的发生。Abstract：AlthoughtheharmfulnessofInternetsecurity，distributeddenialofserviceDDOShasbecomeoneoftheimportantpotentialdanger，butbecauseoftheworkofprevention，detectionandresponsetoDDOSattackshavenotachievedamajorbreakthrough，thereisnotanefficientwaytopredictDDOSattacksaccuratelyandtimely.Thispaperpresentsaselfsimilaritybasedonnetworktraffic，byreal-timemodelinganddynamicanalysistodetectdenialofserviceattacksoccurredbeforeandaftertheselfsimilarnetworktrafficchangesofparametersofHursttodetectDDoSattacks.Throughthesimulationtest，themethodcanquicklyandaccuratelydetecttheoccurrenceofDDoSattack.关键词：自相似；DDoS；HurstKeywords：self-similiarity；DDoS；Hurst中图分类号：TP393文献标识码：A文章编号：1006-4311（2014）21-0232-020引言目前，在计算机网络安全方面，DDOS的攻击最为突出，现有的DDoS入侵检测主要以模式匹配，流量限制，手工分析为主。模式匹配对入侵只能进行有限的防御，网络攻击手段发展变化后就无能为力了，流量检测方法比较单一，准确率低。手工检测工作量大，速度慢，误报率较高。本文提出了一种基于网络自相似性的检测方法。该方法根据文献[2]的相关理论，通过分析DDoS攻击前后网络自相似性Hurst参数的统计特性的变化来检测DDoS。1分布式拒绝服务攻击（DDOS）1.1分布式拒绝服务攻击（DDOS）攻击方法由于分布式拒绝服务攻击能够联合或控制网络上能够发动DOS攻击的若干主机同时制造成千上万的数据分组流入想要攻击的目标，因此，会导致流向目标的服务请求极其拥塞而造成目标的系统瘫痪。在客户端，攻击者操纵攻击过程，每个主控端主机能够控制多个代理端，并且每个主控端和代理端都是一台被入侵并运行某种特定程序的系统主机，每个代理端会向被攻击目标主机发送拒绝服务的攻击数据包。目前，虽然业内普遍认为Internet基本架构难以避免的缺陷之一就是DDOS，但是目前还没有一种有效的方法来准确预测DDOS攻击的发生。1.2拒绝服务攻击（DDoS）数据类型分类根据DDoS攻击的数据流特征，分为以下四种类型，如图1所示：第一，恒速率攻击。从图1（a）看出，从攻击开始到结束一直保持恒定的最大攻击速率，记为D1。第二，间歇式攻击。如图1（b）看出，0和最大值的持续时间都是100s，记作D2。第三，数率渐增的攻击。如图1（c）看出，在300s内，攻击速率从0到最大值并持续到攻击结束，记作D3。第四，如图1（d）看出，作为第二三种攻击的组合最为复杂，300s内，攻击速率从0增大到最大值并保持20s。接下来10s逐渐降低到0，持续0值40s后攻击重新开始，记作D4。2网络流量自相似性设X（t）是随机过程，R（t）是该随机过程的相关函数。如果■R（t）=∞则称X（t）是长相关过程，对于离散函数，如果■R（t）=∞，则称X（t）是长相关过程；相反，如果■R（t）3基于网络自相似性的DDOS攻击检测根据文献[2]有以下推论：当一个数据流具有长相关性时，无论加入它的数据量本身是否具有长相关，汇聚后仍具有长相关性。但是，聚合数据流的Hurst系数、均值、方差等都会发生改变。另外，文献[3]指出，网络的正常流量除了具有长相关外，还能够用自相似模型进行描述。当DDOS发生攻击时，虽然大量与其汇聚的流量仍旧呈现长相关，但是其参数却可能发生较大变化。我们认为，正常网络业务中的某一特定节点，各个数据之间并没有时间和分组特性方面的相关性，但是根据DDOS攻击原理由于同一时间段向攻击目标发送大量的请求从而造成了临近分组段之间存在某种特定的相关性，而就是这种...