基于协议分析技的网络入侵检测系统中DDoS攻击的方法研究.doc

技 术 研 究???2012年第04期 doi?：10.3969/j.issn.1671-1122.2012.04.010 基于协议分析技术的网络入侵 检?测?系?统?中?DDoS?攻?击?的?方?法?研?究 方欣，万扬，文霞，郭彩云 （湖南理工学院，湖南岳阳???414006） 摘　要?：随着网络技术的发展，网络环境变得越来越复杂，对网络安全来说，单纯的防火墙技术暴露出 明显的不足和弱点，包括无法解决安全后门问题，不能阻止网络内部攻击等问题。在众多的网络安全威胁中， DDoS?攻击以其实施容易，破坏力度大，检测困难等特点而成为网络攻击检测与防御的重中之重。近年来， 针对网络流量相关性的?DDoS?攻击检测方法层出不穷，文章在分析?DDoS?攻击检测方法的基础上，利用基于 协议分析技术的网络入侵检测系统对?DDoS?进行研究。 关键词?：入侵检测?；协议分析?；DDoS 中图分类号?：TP393.08???文献标识码?：A???文章编号?：1671-1122（2012）04-0036-03 DDoS?Attacks?Based?on?Protocol?Analysis?of?Network?Intrusion Detection?System?Research FANG?Xin,???WAN?Yang,?WEN?Xia,?GUO?Cai-yun ?Hunan?Institute?of?Science?and?Technology,Yueyang?hunan?414006,China? Abstract:?With?the?development?of?network?technology,?network?environment?becomes?increasingly complex,?network?security,?firewall?technology?alone?exposed?the?obvious?shortcomings?and?weaknesses,?can not?be?resolved?to?secure?the?back?door?problem,?can?not?stop?the?internal?network?attacks.?In?a?large?number?of network?security?threats,?DDoS?its?implementation?is?easy?to?undermine?efforts?to?detection?dif?culties?in?making it?become?a?network?attack?detection?and?prevention?a?top?priority.?In?recent?years,?an?endless?stream?of?network traf?c?detection?of?DDoS?attacks,?in?the?analysis?of?the?DDoS?attack?detection?method?based?on?the?use?of?protocol analysis?technology-based?network?intrusion?detection?system?against?DDoS?research. Key?words:??intrusion?detection;?protocol?analysis;?DDoS 0?引言 分布式拒绝服务? DDoS [1]?是一种破坏性大、防范困难的攻击形式。2012?年，云端平台?Akamai?针对互联网发展状况作出调 查，报告中指出，由于互联网应用频繁，过去三年来分布式拒绝服务（DDoS）攻击越来越严重，数量上升了?2000%。据调查显示， 许多拥有较高网络安全技术水平的网站如?Yahoo、韩国国防部、美国特情局等都曾遭到过?DDoS?攻击??[2]。因此，如何快速高效地 检测出?DDoS?攻击已成为信息安全研究的热点。由于?DDoS?攻击可以伪造源地址或目标地址，因而具有极大的隐蔽性，对其检测 有一定的难度，本文采用协议分析技术，借助入侵检测系统?RG-IDS，对?DDoS?攻击进行了检测研究。 1?入侵检测基础 1.1?入侵检测的定义 入侵是指在没有授权的情况下，进行的可能危及计算机资源完整性、机密性或可用性的行为。入侵检测是指对入侵行为的检 测。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策 收稿时间?：2011-12-23 基金项目：湖南省教育厅项目资助?[10C0758]、湖南省教育厅项目资助?[04C272]、湖南理工学院校级大学生研究性学习和创新性实验计划项目 [XSKYLX