<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>

新聞中心

EEPW首頁(yè) > 模擬技術(shù) > 設計應用 > 一種可靠檢測低速率DDoS攻擊的異常檢測系統

一種可靠檢測低速率DDoS攻擊的異常檢測系統

作者: 時(shí)間:2009-12-01 來(lái)源:網(wǎng)絡(luò ) 收藏
2.2.2 數據包信息萃取

進(jìn)行了包捕獲之后,需要將捕獲到的數據包通過(guò)回調函數進(jìn)行數據包的解析。因此在對回調函數進(jìn)行封裝時(shí),必須借助一解析流程,實(shí)現回調函數和線(xiàn)程類(lèi)間的數據共享,再根據TCP/IP協(xié)議族層次結構圖及各層數據包格式的定義,對各層加入的頭和控制信息進(jìn)行解封裝。詳細過(guò)程見(jiàn)文獻[9]。圖3是該解析流程的過(guò)程。


上述實(shí)時(shí)采集及信息萃取模塊采用基于GUI的可重用設計方法。其流量解析結果以GUI界面輸出,進(jìn)行對入侵檢測系統的接口操作,實(shí)現下一模塊:攻擊識別與決策的數據包采集與萃取的預處理過(guò)程。

2.3攻擊識別與決策模塊

此模塊的關(guān)鍵問(wèn)題有兩個(gè):一是根據識別方法選擇合適的檢測特征;另一是如何實(shí)現可靠識別??煽孔R別的意思是指,用戶(hù)可事先設定所需要的識別概率和漏報概率。

設x(t)為到達流量函數。其最小流量約束函數記做f(I)(I>0)。則在區間[0,I]內,到達的累積流量不會(huì )小于f(I)=min[x(t+I)-x(t)]。在時(shí)間區間[(n-1)I,nI](n=1,2,…,N)內,f(I,n)就是該區間內的最小流量約束函數。它是關(guān)于n的隨機序列。把各區間[(n-1)I,nI]都分成M段。每段長(cháng)度為L(cháng)。對第m段(m=1,2,…,M),取平均值E[f(I,n)]m。則當M>10時(shí),E[f(I,n)]m符合高斯分布



設置信系數為1-a1,則統計下限為:



于是,得到模板η=E[f(I,n)]。令閾值Vt=bf(M,α1),則低速檢測概率和丟失概率分別為:



由此,用戶(hù)可以預先設置α1值來(lái)得到給定的檢測概率和漏報概率。當η≥Vl時(shí),視數據流為正常。

本文引用地址:http://dyxdggzs.com/article/188489.htm


2.4報警模塊

IDS檢測到低速攻擊后,向用戶(hù)報警并將該事件通知給安全管理中心,做出防衛決策。根據需要,可將報警信息發(fā)給其他網(wǎng)絡(luò ),構成全方位的、立體的網(wǎng)絡(luò )安全解決方案。當出現報警信息時(shí)可以采取的報警方式有:開(kāi)啟警燈,彈出界面,開(kāi)啟警鈴,發(fā)短信給高層決策者,發(fā)Email給高層決策者等,這幾種報警方式可以單獨采用也可以集中相結合。

警報出現時(shí),還要通知安全管理中心,如果是嚴重的大范圍攻擊,則通知其他網(wǎng)絡(luò ),防止攻擊對網(wǎng)絡(luò )造成大范圍的破壞;否則,內部處理。

3實(shí)驗結果

采用以前的工作所述的方法仿真實(shí)驗用的網(wǎng)絡(luò )流量,分別用正常和非正常情況下的兩個(gè)數據流進(jìn)行實(shí)驗,并做一個(gè)對比。

圖5表示兩個(gè)數據流的x(t),圖6,圖7表示兩種情況下的,f(I,n)(n,I=1,2,…,16)。由于版面限制,只給出前四種情況。圖8,圖9是兩種情況下的平均速率圖和速率的概率密度分布圖,由此可以清楚地看到,此種方法能準確地分辨出低速率和正常的速率,能夠用于低速率攻擊的檢測。



關(guān)鍵詞: DDoS 檢測 低速 攻擊

評論


相關(guān)推薦

技術(shù)專(zhuān)區

關(guān)閉
国产精品自在自线亚洲|国产精品无圣光一区二区|国产日产欧洲无码视频|久久久一本精品99久久K精品66|欧美人与动牲交片免费播放
<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>