摘要: 随着当代网络信息技术的高速发展，以及经济利益的驱使，导致一些网络黑客发动攻击来达到自己的目的。其中，针对应用层协议(如HTTP、DNS等)而发起的攻击首当其冲。为了保护正常用户的合法利益以及网络环境的净化，针对网络安全的研究刻不容缓。本文主... 展开 随着当代网络信息技术的高速发展，以及经济利益的驱使，导致一些网络黑客发动攻击来达到自己的目的。其中，针对应用层协议(如HTTP、DNS等)而发起的攻击首当其冲。为了保护正常用户的合法利益以及网络环境的净化，针对网络安全的研究刻不容缓。本文主要针对HTTP协议以及DNS协议的DDoS攻击分别提出了一种检测方法。 本文首先对相关背景知识进行了研究和概括，包括分析了HTTP协议和DNS协议的特点，以及针对HTTP协议和DNS协议的DDoS攻击原理和特征并分别阐述了针对两种协议的典型DDoS攻击，同时对现有的针对上述两种协议的DDoS攻击检测方法进行研究分类，总结各自的优点和不足之处。 现有的针对HTTP协议的DDoS攻击检测方法普遍存在精度低、复杂度高、难以区分Flash Event等不足之处，本文提出了基于新型信息论的应用层DDoS攻击检测方法,利用一套新的信息理论指标φ-熵和φ-差异度量来检测应用层DDoS攻击和突发流事件。所提出的度量指标对于网络流量中的微小变化高度敏感，且与现有的主要使用的广义熵和广义信息差异度量相比，该方法效果更好。实验结果表明，该方法具有高度的敏感性和收敛性，能够高效的检测出DDoS攻击并区分突发流。 对于针对DNS协议的DDoS攻击检测方法所存在的使用特征单一、实时性较差等不足之处，本文提出了一种DNS放大攻击的检测与过滤方法，分析并选取发生DNS放大攻击时的特征，以单位时间内的数据量作为计算项，通过K-means++算法进行聚类分析，判断是否发生攻击；并通过HOP-count信息，过滤流向受害者的攻击流量。通过实验表明，该方法能够有效检测出DNS放大攻击，具有准确度高、实时性强的特点；且能够有效地过滤非法流量，降低受害者的受损程度。 收起