隐式带宽消耗型网络攻击行为与检测模型研究

隐式网络带宽消耗型网络攻击是一种新兴的网络攻击手段，由于其行为隐蔽而使得其难以检测且危害性更大，目前缺少有效的检测方法。因此，本项目旨在研究这种最新的网络攻击形式、分析和挖掘这类攻击的原理和基本规律、提出新的流量异常检测模型和算法。具体研究内容包括以基于Botnet的攻击为重点对象，找出其内在运行机制，然后在行为特性研究的基础上，提炼新的流量特性指标体系，并将其与基本的信息论结合起来，构造全新的网络流量信息结构检测模型；结合我们在流量矩阵和流量异常检测方面的已有研究工作，研究基于流量矩阵，分布式多点协同检测大规模网络中流量异常的算法。项目的研究有助于揭示这类新兴的网络攻击的基本特征，获取相关的流量特性指标体系，丰富和完善流量异常检测的理论和方法，为计算机网络的有效使用和管理提供理论和技术基础。

拒绝服务（Denial of Service，DoS）攻击当前仍然是互联网上攻击最频繁、攻击流量最大的网络攻击，对其研究依然是网络安全研究领域的一个热点和难点问题。隐式带宽消耗型网络攻击是一种新兴的网络攻击手段，由于其行为隐蔽而使得其难以检测且危害性更大，目前缺少有效的检测方法。.本项目围绕网络隐式带宽消耗这种非典型性的网络攻击形式，按照项目申请书中提出的技术路线，较深入地分析和挖掘了这类攻击的原理和基本规律；研究了在这类攻击发生情况下的流量特性和流量分布特性的变化规律；提出了多个流量异常检测模型和算法，并且做了大量模拟和真实实验验证这些算法的性能。在项目研究的后期，我们也结合最新的大数据技术等初步构建了一个基于Storm的网络海量流量数据分析及实时异常检测平台，对所提出的算法进行了验证。.本项目的研究取得了以下几个方面的重要结果：.1、分析和验证了一类典型的隐式带宽消耗型网络攻击，即降质攻击（Reduction of Quality, RoQ）的攻击模型与流量特征；考察了不同攻击参数对RoQ攻击效果的影响。.2、针对降质攻击，提出了基于小波和倒频谱的单点异常检测算法。提出了基于流量矩阵及PCA主元素分析法的MIL-RoQ方法，可实现从全网角度监测子网链路上发生的异常，定位异常所在的链路并最终识别RoQ攻击。.4、分别基于回归方程、Least Mean Square自适应滤波器、LMS及流量熵率的前向滤波以及协同性长流提出了四种异常检测算法。.5、提出了利用Storm流计算平台实时估计数据流熵值的算法。构建了基于Storm流计算技术，综合多种检测算法实现的实时在线异常检测平台。.6、在重要学术刊物及国际会议上发表论文 24篇，其中 SCI/EI/ISTP三大检索的文章 21篇，申请国家发明专利2项（其中已授权1项），在IETF提出了关于网络管理的RFC 标准草案 1项。.7、在项目研究期间，培养博士生4名（分别为张宾、文坤、王子玉、李晨曦），硕士生5名（分别为高磊、姜宁、孙鲁敬、陈泽佳、付迪）。.网络安全事关公民的隐私，企业的经济效益，乃至国家的安全。本项目的研究揭示了隐式带宽消耗型网络攻击的基本原理和特征，丰富和完善了网络流量异常检测的理论、方法和技术，提高了相关攻击检测的有效性和准确性，为计算机网络的有效使用和管理提供了新的理论和技术基础。