基于变动和式累积检验算法的DDoS攻击检测

在SYN Flooding攻击检测中,为了检测算法能够实时快速准确地完成检测功能,在异常发生时能够在最短时间内发出警告,同时又必须保证警告结果的准确。根据网络TCP通信业务中SYN数据包与FIN(RST)数据包流量的变化特点,利用变动和式累积检验算法PCUSUM建立检测系统,对归一化后的SYN包与FIN(RST)包差值进行实时监控,检测网络流量异常。检测过程中,算法不需要建立正常业务和攻击行为的详细模型,仿真结果表明,在保持相同检测准确度情况下,算法对SYN Flooding攻击具有较短的报警时间,提高了检测系统的性能。

基于半连接列表的SYN泛洪攻击检测

针对攻击性极大的SYN泛洪攻击,提出一种检测方法。分析SYN泛洪的攻击特征,在每个时间间隔,对服务器的半连接列表进行统计,计算出未确认的表项数目,采用补偿方法形成基于时间的统计序列,使用改进的变动和式累积检验(PCUSUM)算法进行检测。实验结果表明,该算法不仅能够实现快速检测,且与同类工作相比具有更低的误报率,检测结果更准确。

关于累积和(CUSUM)检验的改进

对连续检验问题,常用的检测方法有三大类,其一是众所周知的Shewhart控制图,它是最常用的对生产过程进行连续监控的控制方法,不过,如果过程均值有小的漂移(即μ-μ_0小)时,Shewhart控制图的检验效果不是很好,除了Shewhart控制图外,另有二类常用的控制图法,其一是累积和控制图(CUSUM),由Page基于似然比导出,其二是指数加权移动平均控制图(EWMA),由Roberts给出,它们已被证明在检测小的漂移时效果不错。许多人对CUSUM与EWMA进行了比较,总的来说,最好的CUSUM与最好的EWMA在检测小的漂移方面难分优劣,但CUSUM是由似然比导出的,且其平均运行长度的计算相对来说要简便些,因此,CUSUM在与EWMA的比较中更具优势,应用更广。我们分析了CUSUM的导出过程和公式,指出CUSUM有二个可以进一步改进的方面,在此基础上,我们给出了二个新的累积和检验统计量及其判断准则,它们分别是PCUSUM检验统计量P_n和DCUSUM检验统计量S_n.在连续检验问题中判断一个检验方法好坏的最重要的标准是其平均运行长度,比较标准是:在要求具有相同的受控状态下平均运行长度ARL_0的条件下,比较其失控状态下的平均运行长度ARL_1,ARL_1越小越好,我们对PCUSUM检验和DCUSUM检验都建立了其平均运行长度ARL的计算公式,通过对CUSUM,PCUSUM。