收藏本站
《西南交通大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

超球体多类支持向量机及其在DDoS攻击检测中的应用

徐图  
【摘要】: 分布式拒绝服务(DDoS)攻击通过操纵“僵尸网络”,向受害主机发起海量的垃圾请求,使受害主机完全超过工作负荷而无法响应正常用户的请求,达到拒绝服务的目的。由于“僵尸网络”是由分布在全球的有安全缺陷的主机组成,受到攻击者的幕后指挥,而且又可用虚假IP地址发起的攻击,因此很难通过IP包中的信息来发现真正的攻击者,在网络上发起DDoS攻击对攻击者而言相对比较安全,使得这种攻击对Internet安全造成了极大的威胁。为了遏制DDoS在互联网上泛滥,必须对DDoS的防御措施进行研究。若要有效防御DDoS攻击,首先需要准确地检测到DDoS。由于DDoS常常使用虚假IP地址,而TCP/IP协议并不对IP地址进行认证,因此无法识别哪些包使用了虚假IP地址,这就给检测DDoS带来了困难。 DDoS检测已经成为网络安全的研究热点,已经提出了不少检测算法。这些算法的一个共同点是,寻找到DDoS攻击的某个数值特征,根据这个数值特征来反映攻击是否存在。一方面,由于网络流的随机性和复杂性以及攻击行为的多样性使得通过单一特征来检测DDoS的方法的可靠性受到质疑,它们容易将突发的大流量正常数据流也识别为攻击而造成误警率过高。为了准确地检测DDoS,必须使用多个属性进行检测。另一方面,为了有效地防御DDoS,要求检测环节能尽可能多地提供攻击流的信息,例如同时提供攻击强度、攻击方式和攻击协议的信息。综合考虑,一种可行的方法是采用多类模式识别的方法,根据攻击强度、攻击方式和攻击协议的不同,将攻击分为24种不同的类型,寻找到一组能区分各类攻击的特征向量,然后采集不同类型攻击的样本,对多类学习机进行训练;检测阶段,采集网络流的特征数据,送到训练好的学习机中进行检验,以获得的类标来判断是否有攻击发生以及相应的攻击强度、攻击方式和攻击协议的信息。 支持向量机(SVM)是基于统计学习理论(SLT)的新型学习机,它集最大间隔超平面、Mercer核、凸二次规划、稀疏解和松弛变量等技术于一身,可以克服传统学习机的局部最小、维数灾难和过学习等问题,是一种性能良好的分类器。标准的SVM是个二分类器,若用SVM解决多类分类问题,需要将SVM扩展到多类。目前的主要思路是将多类问题转化为一系列的二分类问题,然后由多个SVM进行分类,例如常用的1-v-r和1-V-1分类器。这种方法可有效实现多分类功能,但因它是以间接的方式形成的分类能力,需要训练的SVM数量较多,所以它们的学习效率不高,不适合类别多、训练规模大的问题。因此,间接型多类SVM不适用于DDoS攻击检测。 由于DDoS分类类别比较多,需要效率更高的直接型多类学习机。在前人工作的基础上,建立了直接型多分类器——超球体多类支持向量机(HSMC-SVM)的概念。建立超球的原则是,对某类样本,在超球半径尽可能小的情况下,包含该类样本尽可能多。为每类样本建立一个超球,N类样本就建立N个超球,在空间中形成像肥皂泡一样的分类结构。在判决时,测试样本离哪个超球最近,就属于那个超球代表的类,这就是HSMC-SVM的分类原理。它是以直接的方式形成分类能力,具有学习容量大、训练速度快、可扩展性强的优点。每个超球的确定相当于求解一个凸二次规划(QP)问题,根据训练SVM的SMO算法的思想,建立了HSMC-SVM的SMO训练算法,并给出了“二阶逼近”的工作集选择法,使得训练速度进一步提高。在加快训练速度方面,还采用了样本缩减和核矩阵缓存的策略。通过理论分析已经证明,HSMC-SVM的分类误差有界。实验表明,HSMC-SVM在训练和测试速度上较1v-r和1-v-1分类器有较大幅度提高,但分类精度略有下降。 为了进一步提高训练速度和训练精度,将最小二乘法引入到HSMC-SVM中,提出了最小二乘超球支持向量机(LSHS-MCSVM)的概念。与HSMC-SVM相比,LSHS-MCSVM在目标函数中使用了二次函数,将不等式约束改为等式约束,并取消了乘子的取值限制,使得LSHS-MCSVM在乘子搜索和优化计算方面速度更快,从而加快了它的整体收敛速度。LSHS-MCSVM的训练仍可使用SMO算法,在“一阶逼近”和“二阶逼近”的工作集选择下,LSHS-MCSVM的收敛速度比基于经验的工作集选择法有进一步提高。由于都使用球形分类结构,LSHS-MCSVM与HSMC-SVM有类似的学习误差上界。数值实验表明,在不降低分类精度的情况下,LSHS-MCSVM比HSMC-SVM有更快的训练速度,在某些数据集上,LSHS-MCSVM还有更高的学习精度。 为了区分不同类型的攻击,对DDoS攻击流进行分析,提取了9维相对值(RV)特征向量。分别将HSMC-SVM和LSHS-MCSVM用于DDoS攻击检测。实验表明,它们完全能区分不同类型的攻击,并能较准确地识别由真实的攻击工具发起的攻击。对不同类型的攻击,两种分类器都能比较准确地给出攻击的类标。根据识别出的类标,可以获得攻击强度、攻击协议和攻击方式的信息,为防御环节采取相应措施提供了依据。
【学位授予单位】:西南交通大学
【学位级别】:博士
【学位授予年份】:2008
【分类号】:TP393

【相似文献】
中国期刊全文数据库 前10条
1 郑先伟;;在线编辑器漏洞影响高招安全[J];中国教育网络;2011年07期
2 吴蓉晖;吴岚;;IP追踪中的包标记算法[J];湖南大学学报(自然科学版);2011年06期
3 冷鹏;;变异DDOS攻击方式的攻击防范探析[J];武汉商业服务学院学报;2011年03期
4 耿永军;李栋柯;;蜜罐技术在网络安全中的应用[J];河南城建学院学报;2011年04期
5 李蓓蓓;;网络DDOS攻击技术研究[J];福建电脑;2011年05期
6 李占新;;分布式拒绝服务攻击原理和防治策略[J];电脑编程技巧与维护;2011年16期
7 闫巧;宁土文;;基于确定线性网络编码的IPv6追踪[J];计算机应用;2011年09期
8 牛少彰;;黑客崛起:网络战士如何交火[J];人民论坛;2011年S1期
9 吴清秀;欧军;;DNS服务器设计与实现[J];计算机安全;2011年07期
10 陈冬梅;;浅谈电子商务的安全问题[J];辽宁行政学院学报;2011年08期
中国重要会议论文全文数据库 前7条
1 陈雷;卢任妍;姜琳;叶德建;;针对流媒体服务的DoS、DDoS攻击研究[A];第四届全国信息检索与内容安全学术会议论文集(上)[C];2008年
2 刘宝旭;安德海;许榕生;;黑客入侵分析与防范[A];第十届全国核电子学与核探测技术学术年会论文集[C];2000年
3 荆一楠;肖晓春;王雪平;蔡敏;张根度;;HITS:层次结构的攻击源追踪系统[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
4 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年
5 傅翀;钱伟中;秦志光;陈剑勇;;移动通信网络中基于安全等级的主动网络防御机制[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
6 荆一楠;肖晓春;王雪平;张根度;;分布式流量限速的研究与实现[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
7 李扬;王景中;杨义先;;基于统计分析的DDoS概率包标记追踪技术研究[A];2009年研究生学术交流会通信与信息技术论文集[C];2009年
中国重要报纸全文数据库 前10条
1 ;防御DDoS的六大绝招[N];网络世界;2002年
2 ;DoS和DDoS的“终 结 者”[N];网络世界;2003年
3 ;思科一心为中小企业着想[N];网络世界;2003年
4 小陈;2000年值得关注的三个安全话题[N];中国计算机报;2001年
5 陆余良;密切关注网络对抗关键技术发展[N];解放军报;2002年
6 傅江;McAfee ePO建智能架构 用策略管理[N];中国计算机报;2002年
7 特约撰稿 刘彬;Linux与Windows:谁更安全?[N];通信信息报;2004年
8 ;DoS和DDoS仍是网络的头号威胁[N];网络世界;2002年
9 杨浩;最后的战役[N];中国电脑教育报;2003年
10 王翌;思科推最新高端路由器[N];计算机世界;2004年
中国博士学位论文全文数据库 前8条
1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年
2 张亚平;基于分布智能代理的自保护系统研究[D];天津大学;2005年
3 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年
4 荆一楠;分布式拒绝服务攻击中攻击源追踪的研究[D];复旦大学;2006年
5 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年
6 陈伟;针对TCP协议的分布式拒绝服务攻击的防范方法研究[D];武汉大学;2005年
7 蒋卫华;智能网络入侵检测与安全防护技术研究[D];西北工业大学;2003年
8 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年
中国硕士学位论文全文数据库 前10条
1 曲广平;分布式拒绝服务攻击防御系统研究[D];沈阳工业大学;2008年
2 吴哲;基于随机包标记的不重复标记追踪模型[D];湖南大学;2009年
3 陈刚;DDoS攻击的对策研究[D];西安电子科技大学;2005年
4 郑显举;DDoS攻击分析和防御方法[D];电子科技大学;2005年
5 贾凯恺;基于网络处理器的DDoS防御技术研究与实现[D];电子科技大学;2008年
6 杨振;基于Linux的抗DDoS防火墙的设计与实现[D];天津大学;2007年
7 宋志军;基于多核(多处理单元)的防火墙架构研究与关键技术实现[D];电子科技大学;2009年
8 赵继俊;分布式拒绝服务攻击检测与响应研究[D];中南大学;2007年
9 蒋堃;基于邮政网络防火墙体系的研究与设计[D];山东大学;2008年
10 孙亮;分布式拒绝服务攻击检测及追踪技术的研究[D];大连理工大学;2009年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026