隱式頻寬消耗型網路攻擊行為與檢測模型研究

隱式網路頻寬消耗型網路攻擊是一種新興的網路攻擊手段，由於其行為隱蔽而使得其難以檢測且危害性更大，目前缺少有效的檢測方法。因此，本項目旨在研究這種最新的網路攻擊形式、分析和挖掘這類攻擊的原理和基本規律、提出新的流量異常檢測模型和算法。具體研究內容包括以基於Botnet的攻擊為重點對象，找出其內在運行機制，然後在行為特性研究的基礎上，提煉新的流量特性指標體系，並將其與基本的資訊理論結合起來，構造全新的網路流量信息結構檢測模型；結合我們在流量矩陣和流量異常檢測方面的已有研究工作，研究基於流量矩陣，分散式多點協同檢測大規模網路中流量異常的算法。項目的研究有助於揭示這類新興的網路攻擊的基本特徵，獲取相關的流量特性指標體系，豐富和完善流量異常檢測的理論和方法，為計算機網路的有效使用和管理提供理論和技術基礎。

拒絕服務（Denial of Service，DoS）攻擊當前仍然是網際網路上攻擊最頻繁、攻擊流量最大的網路攻擊，對其研究依然是網路安全研究領域的一個熱點和難點問題。隱式頻寬消耗型網路攻擊是一種新興的網路攻擊手段，由於其行為隱蔽而使得其難以檢測且危害性更大，目前缺少有效的檢測方法。 本項目圍繞網路隱式頻寬消耗這種非典型性的網路攻擊形式，按照項目申請書中提出的技術路線，較深入地分析和挖掘了這類攻擊的原理和基本規律；研究了在這類攻擊發生情況下的流量特性和流量分布特性的變化規律；提出了多個流量異常檢測模型和算法，並且做了大量模擬和真實實驗驗證這些算法的性能。在項目研究的後期，我們也結合最新的大數據技術等初步構建了一個基於Storm的網路海量流量數據分析及實時異常檢測平台，對所提出的算法進行了驗證。 本項目的研究取得了以下幾個方面的重要結果： 1、分析和驗證了一類典型的隱式頻寬消耗型網路攻擊，即降質攻擊（Reduction of Quality, RoQ）的攻擊模型與流量特徵；考察了不同攻擊參數對RoQ攻擊效果的影響。 2、針對降質攻擊，提出了基於小波和倒頻譜的單點異常檢測算法。提出了基於流量矩陣及PCA主元素分析法的MIL-RoQ方法，可實現從全網角度監測子網鏈路上發生的異常，定位異常所在的鏈路並最終識別RoQ攻擊。 4、分別基於回歸方程、Least Mean Square自適應濾波器、LMS及流量熵率的前向濾波以及協同性長流提出了四種異常檢測算法。 5、提出了利用Storm流計算平台實時估計數據流熵值的算法。構建了基於Storm流計算技術，綜合多種檢測算法實現的實時線上異常檢測平台。 6、在重要學術刊物及國際會議上發表論文 24篇，其中 SCI/EI/ISTP三大檢索的文章 21篇，申請國家發明專利2項（其中已授權1項），在IETF提出了關於網路管理的RFC 標準草案 1項。 7、在項目研究期間，培養博士生4名（分別為張賓、文坤、王子玉、李晨曦），碩士生5名（分別為高磊、姜寧、孫魯敬、陳澤佳、付迪）。 網路安全事關公民的隱私，企業的經濟效益，乃至國家的安全。本項目的研究揭示了隱式頻寬消耗型網路攻擊的基本原理和特徵，豐富和完善了網路流量異常檢測的理論、方法和技術，提高了相關攻擊檢測的有效性和準確性，為計算機網路的有效使用和管理提供了新的理論和技術基礎。