·· 通信学报 第28卷 第2期 孙红杰等：基于链路特征的DDoS攻击检测方法 ·· 第28卷第2期 通信学报 Vol.28No.2 2007年2月 JournalonCommunications February2007 基于链路特征的DDoS攻击检测方法 孙红杰,方滨兴,张宏莉 （哈尔滨工业大学国家计算机信息内容安全重点实验室，黑龙江哈尔滨150001） 摘要：提出了一种基于链路特征的DDoS攻击检测方法，利用极大似然估计技术推出网络内部链路特征分布，应用自组织映射神经网络进行链路特征活动轮廓学习和异常链路检测。实验结果表明，该方法有效，具有一定的发展潜力，对于DDoS攻击的检测和预防具有重要现实意义。 关键词：分布式拒绝服务；异常链路；极大似然估计；自组织映射 中图分类号：TP393文献标识码：B文章编号：1000-436X(2007)02-0088-06 DDoSattacksdetectionbasedonlinkcharacter SUNHong-jie,FANGBin-xing,ZHANGHong-li (NationalComputerInformationContentSecurityKeyLibrary,HarbinInstituteofTechnology,Harbin150001,China) Abstract:AnewmethodbasedonlinkcharacterwasproposedforDDoSattacksdetection.Maximumlikelihoodestimationwasusedtoestimatethedistributionoflinkcharacter.SOMneuralnetworkisusedforlinkactivityprofilelearningandanomalylinkdetection.Experimentresultsindicatethatthetechniqueiseffectiveandofadefinitepracticability.IthasafurtherdeveloppotentialforDDoSattacksdetection. Keywords:distributeddenialofservice;anomalylink;maximumlikelihoodestimation;SOM 1引言 2000年2月，黑客利用分布式拒绝服务(DDoS)对全球重要电子商务网站Yahoo、CNN等进行大规模袭击[1]。自此以后，DDoS攻击开始频繁出现在Internet上，成为威胁网络安全的重要因素[2,3]。政府部门、军事机构、金融机构和企业的计算机网络频遭黑客袭击，攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害。DDoS对Internet呈现出越来越严重的危害性，被公认为是对Internet最大的威胁之一，同时也成为国内外网络安全领域研究的一个热点。 收稿日期：2006-08-29；修回日期：2006-10-20 基金项目：国家自然科学基金资助项目（60203021）；国家高技术研究发展计划(“863”计划)基金资助项目（2002AA142020）；国家网络与信息安全保障持续发展计划（2004-4-AA-01） FoundationItems:TheNationalNaturalScienceFoundationofChina(60203021);TheNationalHighTechnologyResearchandDevelopmentProgramofChina(863Program)(2002AA142020);TheNationalNetworkandInformationSecurityProgram(2004-4-AA-01) DDoS是分布式的DoS。DoS/DDoS最早作为一种网络测试工具，利用它能够产生大量的分布式数据包，可以模拟用户访问，网络安全公司使用它来测试网络的最大带宽；测试网络设备、服务器的最大负载能力。作为网络攻击手段，DDoS是一种很简单但又很有效的进攻方式，借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。它的目的就是拒绝用户的服务访问，破坏系统的正常运行，最终它会使用户的部分Internet连接和网络服务失效。DDoS的攻击方式有很多种，最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DDoS攻击方法主要有TCPSYNflood、UDPflood、ICMPflood、RST和FIN攻击、Pingofdeath、Smurf等。 DDoS攻击具有隐蔽性、突发性和复杂性