随着计算机和计算机网络的普及与应用,人们的生活和工作越来越依赖互联网。互联网的安全问题也引起了各个国家、机构的高度重视。针对互联网的攻击手段层出不穷,而分布式拒绝服务攻(DDoS)击由于其简单、破坏性大,正在被攻击者广泛使用,极大地影响着网络和业务主机系统的有效运行。传统的DoS防范方法对迅猛发展的分布式拒绝服务攻击已是捉襟见肘,尤其是开展网上交易业务或进行关键、绝密信息网络传输的企业及政府部门,急切需要行之有效的反大流量、防多类型DoS攻击的防拒绝服务产品和解决方案。因此,开发先进的防拒绝服务产品具有非常重要的战略意义和市场应用前景。本文研究和实现了防拒绝服务攻击产品中的异常分析子系统,主要工作有以下内容:(1)研究并提出了适用于专有网络处理平台的DDoS防御体系结构,将此结构与CAVIUM公司的双核OCTEON3120网络处理器相结合,实现了能有效检测并防御DDoS攻击的防拒绝服务系统。整个防拒绝服务系统作为一个软硬件一体的专用网络安全设备,充分利用OCTEON3120处理器高性能的网络数据包处理能力,辅以其他计算机服务器,构成针对DDoS的防御网络架构,以隐形方式接入网络,对出入受保护网络的网络流量进行实时监控,对DDoS攻击作出快速反应。(2)运用协方差分析模型,设计并实现了异常流量的检测模块。异常检测利用网络数据包各属性字段间的关联,计算抽样数据包各属性字段的协方差矩阵,再计算此协方差矩阵与历史协方差期望矩阵间的欧式距离,以此距离值作为判断网络是否发生异常的度量值。同时,为了使异常检测模块具有更好的自学习性,对历史度量值作保存和维护,以此为样本,利用中心极限定理对度量值的置信区间进行矩估计,实时更新此置信区间。最后,利用可信度评估算法对检测结果的可信度进行二次评估,减少误报率。(3)运用贝叶斯基分类算法,设计并实现了对网络数据包危险等级划分。利用远程数据库中的抽样流量,首先提取数据包关键字段,将关键字段等距划分为不同类型,再利用贝叶斯公式,计算不同类型数据包为正常数据包的概率值。一个数据包若为正常,则其概率值也会接近正常流量的均值。依照此方法,计算每一个流经DDoS防御引擎的数据包概率值,再依据其距抽样流量概率均值的距离,将其映射为不同的危险等级,使不同数据包有明显的危险等级区分,为DDoS防御引擎的过滤策略提供参考。