| 【中文题名】 | 基于LoSS和分维技术的DoS-TE入侵检测 |
| 【英文题名】 | Analysis, Detection DoS-TE by LoSS and Fractal-Dimension Technology |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2005-10-17 |
| 【中关键词】 | 拒绝服务攻击,自我相似损耗(LoSS,Loss,of,Self-Similarity),分形 |
| 【英关键词】 | DoS(Denial-of-Service),DoS-TE(Denial-of-Service by Traffic Exploit),LoSS(Loss of Self-Similarity),Fractal,Fractal-Dimension,ID (Intrusion Detect), |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | 本文开始部分介绍并分析典型的拒绝服务攻击DoS 的方式。然后在现有的理论基础上,借鉴两种已有的较新的入侵算法来实现检测入侵系统,其中一种是利用自我相似性来进行入侵检测,另一种则利用了分维理论。然后我对这两种方法实现的入侵检测系统进行了测试和评估。我的实验结果表明在实验环境下,LoSS 方法可以检测到大约84%的攻击,而分维方法可以检测到大约96%的攻击,在这些测试中都未引起误报。就结果来看,后者的有效性比前者高,但二者结合的效果更好。此外论文将介绍我开发的入侵攻击生成工具,这些工具是在对入侵攻击的协议特点和方法进行研究后,在Linux 下用C 实现。
LoSS 检测技术是建立在当特定的网络被攻击之后,其通信特性出现变化。对此深入分析可以发现这些攻击会让通信的自我相似性发生变化。这样依靠监测通信变化来检测攻击的主要优点包括:
(1)之前对这些攻击行为不需要有了解;
(2)不需要建立“正常”通信活动的模板。
分维技术是建立在对可测量的通信特性异常的检测上,利用攻击会使通信的拓扑分维发生变化的特征,可以对攻击做出准确的判断,包括攻击的发生时间和结束时间。虽然这种技术需要提供一个通信的模板,但是它... |
| 【论文题纲】 |
|
1 总论 |
7-26 |
|
1.1 入侵,故障,攻击 |
7-14 |
|
1.1.1 使服务器拒绝访问类攻击 |
9-11 |
|
1.1.2 嗅探 |
11 |
|
1.1.3 攻击分析和识别 |
11-14 |
|
1.2 入侵检测 |
14 |
|
1.3 入侵检测系统发展简史 |
14-18 |
|
1.3.1 早期的计算机安全 |
15-16 |
|
1.3.2 正常模型 |
16-17 |
|
1.3.3 入侵检测的近期发展 |
17-18 |
|
1.4 入侵检测研究的现状 |
18-22 |
|
1.4.1 Bro:监视包内容 |
18-19 |
|
1.4.2 EMERALD-模块化的入侵检测系统 |
19-20 |
|
1.4.3 开放源码入侵检测系统 |
20-21 |
|
1.4.4 信息可视化和入侵检测 |
21-22 |
|
1.5 入侵检测系统的分类 |
22 |
|
1.6 现有系统的局限 |
22-24 |
|
1.7 论文说明 |
24-26 |
|
2 利用网络的自我相似特性检测新的拒绝服务攻击 |
26-46 |
|
2.1 网络传输的特性 |
26 |
|
2.2 自我相似的定义 |
26-31 |
|
2.2.1 林肯实验室的数据自我相似性 |
29 |
|
2.2.2 自我相似的背景通信 |
29-31 |
|
2.3 基于自关联损耗的攻击检测 |
31-35 |
|
2.3.1 相关研究 |
31-32 |
|
2.3.2 检测准则 |
32-33 |
|
2.3.3 攻击检测标准的应用 |
33-35 |
|
2.4 试验设计 |
35-38 |
|
2.4.1 测量网络数据的自我相似 |
35-36 |
|
2.4.2 攻击试验 |
36 |
|
2.4.3 经典背景通信中合成攻击的试验 |
36-38 |
|
2.4.4 现代网络中捕获的通信加入攻击的试验 |
38 |
|
2.5 林肯实验室数据的测试结果 |
38-43 |
|
2.5.1 用林肯实验室数据进行攻击检测 |
38-42 |
|
2.5.2 林肯实验室数据的攻击检测 |
42-43 |
|
2.6 结论 |
43-46 |
|
2.6.1 攻击检测总结 |
43-44 |
|
2.6.2 问题研究 |
44-46 |
|
3 利用入侵对分维的影响进行入侵检测 |
46-57 |
|
3.1 分维的定义 |
46-48 |
|
3.1.1 相关研究 |
47-48 |
|
3.1.2 网络通信的分维 |
48 |
|
3.2 网络通信分维的计算 |
48-50 |
|
3.2.1 算法 |
49-50 |
|
3.2.2 算法分析 |
50 |
|
3.3 基于相关分维的入侵检测方法 |
50-51 |
|
3.3.1 攻击数据与背景数据 |
51 |
|
3.3.2 攻击检测 |
51 |
|
3.4 试验设计 |
51-54 |
|
3.4.1 网络通信的模板 |
51-53 |
|
3.4.2 试验过程 |
53-54 |
|
3.5 结果 |
54-55 |
|
3.6 后续工作 |
55-56 |
|
3.7 总结 |
56-57 |
|
4 入侵攻击的工具 |
57-77 |
|
4.1 生成攻击的系统简介 |
57-58 |
|
4.2 不同类型的攻击的分析 |
58-60 |
|
4.2.1 对smurf 的分析 |
58 |
|
4.2.2 对teardrop 的分析 |
58 |
|
4.2.3 对udpstorm 的分析 |
58-59 |
|
4.2.4 对neptune 的分析 |
59 |
|
4.2.5 对mailbomb 的分析 |
59 |
|
4.2.6 对land 的分析 |
59 |
|
4.2.7 对ipsweep 的分析 |
59-60 |
|
4.2.8 对back 的分析 |
60 |
|
4.2.9 对apache 的分析 |
60 |
|
4.3 攻击生成系统的设计 |
60-61 |
|
4.3.1 主要功能 |
60-61 |
|
4.3.2 性能的要求 |
61 |
|
4.4 攻击生成系统的实现 |
61-75 |
|
4.4.1 smurf 的攻击实现 |
62-64 |
|
4.4.2 Teardrop 的攻击实现 |
64-66 |
|
4.4.3 Land 的攻击实现 |
66-68 |
|
4.4.4 Neptune 的攻击实现 |
68-69 |
|
4.4.5 mailbomb 的攻击实现 |
69-71 |
|
4.4.6 IPSweep 的攻击实现 |
71-74 |
|
4.4.7 UDPStorm 的攻击实现 |
74-75 |
|
4.5 以后的工作 |
75-76 |
|
4.6 结论 |
76-77 |
|
5 回顾与总结 |
77-80 |
|
5.1 试验结果总结 |
77-78 |
|
5.2 以后的工作 |
78 |
|
5.3 结论 |
78-80 |
|
参考文献 |
80-83 |
|
作者在读期间科研成果简介 |
83-84 |
|
声明 |
84-85 |
|
致谢 |
85 |
|
| 【DOI】 | LunWen.ID:2.2008.371638 |
