（计算机系统结构专业论文）嵌入式图像服务器的设计及安全性研究.pdf

l 7 甏 气，一 一 。i j ； 一 一 f一_ 原创性声明和关于论文使用授权的说r 帆y 删1 m 7 眦9 帆惴1 帆8 m 2 i i 0 眦 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含 任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出 重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责 任由本人承担。 论文作者签名：日期： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：兰竺i 茎缉导师签名：埤 理 e j 尸 山东大学硕士学位论文 目录 摘要i a b s t r a c t i i i 第1 章 绪论1 1 1 课题研究背景和意义：1 1 2 1 3 第2 章 2 1 2 2 2 3 2 4 2 5 第3 章 3 1 1 1 1 研究背景1 1 1 2 问题的提出2 国内外研究与发展概况4 1 2 1 嵌入式视频服务器4 1 2 2 传统d d o s 攻击检测5 1 2 3 应用层d d o s 攻击检测6 论文的主要工作与组织结构7 1 3 1 本文的主要工作7 1 3 2 本文的组织结构9 嵌入式图像服务器r e m o t ee y e s 1 0 监控系统总体方案：1 0 硬件架构设计1 1 2 2 1 硬件体系结构1 1 2 2 2 硬件开发平台搭建1 3 系统软件设计1 3 2 3 1 视频采集1 4 2 3 2 视频发布2 l 2 3 3 用户管理2 7 嵌入式图像服务器的安全2 8 小结2 9 应用层d d o s 攻击3 1 入侵检测3 l 3 1 1 入侵检测的基本概念与模型3 1 3 1 2 入侵检测技术3 2 山东大学硕士学位论文 3 2 传统d d o s 攻击3 2 3 3 应用层d d o s 攻击3 5 3 4 小结3 7 第4 章w e b 数据挖掘3 8 4 1w e b 数据挖掘技术3 8 4 2w e b 使用挖掘4 0 - i 4 3w e b 日志挖掘4 1 4 3 1w e b 日志分析原理4 1 4 3 2w e b 日志格式4 2 4 3 3w e b 日志挖掘步骤4 4 4 4 小结4 5 第5 章利用蚁群聚类检测应用层d d o s 攻击的方法4 6 5 1 蚁群聚类算法( a t t a ) 4 6 5 1 1 蚁群聚类原理4 6 5 1 2a t t a 算法4 7 5 2 检测原理与模型4 7 5 2 1 检测原理分析4 7 5 2 2 检测模型建立4 8 5 3 检测过程4 8 5 3 1 检测模型建立4 8 5 3 2 攻击行为检测及异常过滤5 1 一5 4 实验结果及分析5 2 5 5 小结5 4 第6 章总结与展望j 5 5 6 1 全文总结5 5 6 2 课题展望5 6 参考文献5 7 致谢6 2 攻读学位期间发表的学术论文目录6 3 攻读学位期间参与科研项目及获奖情况6 4 山东大学硕士学位论文 c o n t e n t s a b s t r a c ti nc h i n e s e i a b s t r a c ti ne n g l i s h i i i c h a p t e r1 i n t r o d u c t i o n 1 1 1r e s e a r c hb a c k g r o u n da n ds i g n i f i c a n c y 1 1 1 1b a c k g r o u n d 1 1 1 2m o t i v a t i o n 2 1 2s t a t eo f a r t 4 1 2 1e m b e d d e dv i d e os e r v e r 4 1 2 2t r a d i t i o n a ld d o sa t t a c kd e t e c t i o n 5 1 2 3a p p l i c a t i o nd d o sa t t a c kd e t e c t i o n 6 1 3t h e s i so u t l i n e 7 1 3 1m a i nw o r k s 7 1 3 2t h e s i sa r r a n g e m e n t 9 c h a p t e r2e m b e d d e di m a g es e r v e r - r e m o t ee y e s 1 0 2 1o v e r a l ld e s i g ns c h e m e ，1 0 2 2a r c h i t e c t u r ed e s i g no fh a r d w a r ep l a t f o r m 1 1 2 2 1h a r d w a r ea r c h i t e c t u r e 11 2 2 2h a r d w a r ed e v e l o p m e n tp i a t f o r ms t r u c t u r e s 1 3 2 3s y s t e ms o f t w a r ed e s i g n 1 3 2 3 1v i d e oc a p t u r e 1 4 2 3 2v i d e od i s t r i b u t i o n 2 1 2 3 3u s e rm a n a g e m e n t 2 7 2 4s a f e t yo fe m b e d d e di m a g es e r v e r 2 8 2 5s u m m a r y 2 9 c h a p t e r3a p p l i c a t i o nl a y e rd d o s a t t a c k 3 1 3 1i n t r u s i o nd e t e c t i o n 3 1 3 1 1c o n c e p ta n dm o d e lo fi n t r u s i o nd e t e c t i o n 3 1 3 1 2i n t r u s i o nd e t e c t i o nt e c h n o l o g y 3 2 山东大学硕士学位论文 3 2t r a d i t i o n a ld d o sa t t a c kd e t e c t i o n 3 2 3 3a p p l i c a t i o nd d o sa t t a c kd e t e c t i o n 3 5 3 4s u m m a r y 3 7 c h a p t e r4w e bd a t am i n i n g 3 8 4 1w e bd a t am i n i n gt e c h n o l o g y 3 8 4 2w e b u s a g em i n i n g 。4 0 4 3w e bl o gm i n i n g 4 1 4 3 1p r i n c i p l e so fw e bl o ga n a l y s i s 4 1 4 3 2w e bl o gf o r m a t 4 2 4 3 3w e bl o gm i n i n gs t e p s 4 4 4 4s u m m a r y 4 5 c h a p t e r5m e t h o df o ra p p l i c a t i o nl a y e rd d o sd e t e c t i o nu s i n ga n t c l u s t e r i n g 4 6 5 1a n tc o l o n yc l u s t e r i n ga l g o r i t h m ( a t t a ) 4 6 5 1 1a n tc o l o n yc l u s t e r i n gp r i n c i p l e 4 6 5 1 2a t t a 4 7 5 2d e t e c t i o np r i n c i p l ea n dm o d e l 4 7 5 2 1d e t e c t i o np r i n c i p l ea n a l y s i s 4 7 5 2 2d e t e c t i o no fm o d e lb u i l d i n g 4 8 5 ，3d e t e c t i o np r o c e s s 4 8 5 3 1d e t e c t i o nm o d e lb u i l d i n g 4 8 一一一5 3 2a g g r e s s i v ed e t e c t i o na n de x c e p t i o nf i l t e r i n g ，51 一 5 4e x p e r i m e n t a lr e s u l t sa n da n a l y s i s 5 2 5 5s u m m a r y 5 4 c h a p t e r6c o n c l u s i o na n df u t u r ew o r k 5 5 6 1c o n c l u s i o n s 5 5 6 2f u t u r ew o r k 5 6 r e f e r e n c e a c k n o w l e d g m e n t s p a p e r s p u b l i s h e d ： r e s e a r c hp r o j e c t sp a r t i c i p a t e da n da w a r d s ， 【i 东大学硕七学位论文 摘要 随着嵌入式技术研究的逐步深入以及互联网技术与信息家电、工 业控制等技术结合的日益紧密，以i n t e r n e t 为标志的嵌入式系统正处于 一个迅速发展的阶段。嵌入式网络视频服务器是一种以网络为依托， 综合利用数字化图像处理、嵌入式计算机系统、数据传输网络、自动 控制和人工智能等技术的新型数字图像监控系统，真正满足了当前对 视频监控系统远程、实时和集中的需求。然而伴随着网络技术发展而 出现的病毒、蠕虫、非法入侵、拒绝服务攻击等安全问题给人们造成 了巨大的损失，系统本身的安全运作以及信息在网络中的存储、处理 和传输都存在一定的危险性。因此，保证远程视频监控系统的安全性 变得越来越重要。 本文首先设计了一种轻型的、支持多点接入的嵌入式图像服务器 ( r e m o t e e y e s ) 来实现网络视频监控，详细介绍了其软硬件体系架构以 及关键技术的实现，包括视频采集模块、视频发布模块和系统管理模 块等。r e m o t e e y e s 以i n t e r n e t 为依托，工作在x s c a l e 架构、l i n u x 操 作系统之上，集用户管理、实时视频采集、视频转发、截图并以多种 途径传送实时图像等多种功能为一体，实现了实时监控、多点接入和 远程控制。由于这种图像服务器的设计简单、成本较低，而且具有性 能可靠、灵活性和扩展性强的特点，可用于多种不同场合满足人们工 作和生活的需求，具有较好的应用前景。 网络安全技术的发展和完善使得攻击手段由底层逐步向高层发 展。其中，基于应用层的d d o s 攻击利用了高层协议和服务的复杂性， 更加有效且更具隐蔽性，对基于w e b 的服务造成严重的后果。新型网 络的流突发性，给攻击提供了新的环境，单靠传统的分组特征、流特 征、速率分析的方法无法有效地检测和预防应用层d d o s 攻击。为了 保证图像服务器及其他基于w e b 的应用在网络环境中的安全，本文在 分析这种新网路环境下出现的应用层d d o s 攻击手段和特点的基础上， 提供了一种将数据挖掘技术和入侵检测技术相结合的攻击识别和预防 的方法。该方法将攻击信号看作一种异常的w e b 用户浏览行为，首先 【i i 东大学硕十学位论文 曼曼曼曼曼曼曼晕曼曼皇曼曼曼皇曼曼曼曼曼皇皇曼皇! 曼曼曼曼皇曼曼曼曼曼曼曼曼皇曼曼蔓曼曼曼曼! 鼍曼皇曼曼曼曼曼曼曼曼曼曼鼍曼曼曼曼! 曼曼! ! 曼皇皇鼍 从合法用户的w e b 日志中提取出用户会话并计算不同会话间的相似 度，运用一种改进的蚁群聚类算法( a t t a ，a d a p t i v et i m e d e p e n d e n t t r a n s p o r t e ra n t s ) 建立检测模型。然后根据合法用户和攻击用户在浏览 行为模式上的差异，利用该模型对应用层分布式拒绝服务攻击进行检 测。为了反映用户访问模式的变化，识别为正常用户的数据将会作为 训练数据集在一定时间间隔后更新检测模型。之后本文利用模拟实验 弋 对检测模型进行了测试。结果表明，该方法具有较好的有效性和一定 的适应性。 关键字：嵌入式图像服务器；视频监控；应用层拒绝服务攻击；浏览 行为；异常检测 i i ， 山东大学硕士学位论文 a bs t r a c t a l o n gw i t ht h es t u d y o fe m b e d d e dt e c h n o l o g yg r a d u a l l yg o i n g i n - d e p t h a n de v e r - - c l o s e i n t e g r a t i o n o fi n t e r n e t t e c h n o l o g i e s w i t h i n f o r m a t i o na p p l i a n c ea n di n d u s t r i a lc o n t r o lt e c h n o l o g i e s ，t h ee m b e d d e d s y s t e mw i t hi n t e r n e ta si t ss y m b o ls t e p si n t oi t sr a p i dd e v e l o p m e n ts t a g e e m b e d d e dn e t w o r kv i d e os e r v e rb a s e do nt h en e t w o r ki san e wd i g i t a l i m a g em o n i t o r i n gs y s t e m ，w h i c hr e l i e so nt h et e c h n o l o g i e so fd i g i t a l i m a g ep r o c e s s i n g ，e m b e d d e dc o m p u t e rs y s t e m ，d a t at r a n s m i s s i o nn e t w o r k ， a u t o m a t i cc o n t r o la n da r t i f i c i a l i n t e l l i g e n c e t h i ss y s t e m s u c c e e d st o m e e tt h ec u r r e n tn e e d so f v i d e os u r v e i l l a n c es y s t e m sf o rr e m o t e ，r e a l - t i m e a n dc e n t r a l i z a t i o n h o w e v e r ，a l o n gw i t ht h ed e v e l o p m e n to fn e t w o r k t e c h n o l o g y ，v i r u s e s ，w o r m s ，h a c k i n g ，d e n i a lo fs e r v i c ea t t a c k sa n do t h e r s e c u r i t yi s s u e sh a v ec a u s e de n o r m o u sd a m a g e s s oi t i si n e v i t a b l et o c o n s i d e rt h er i s k sb r o u g h tt os y s t e mi t s e l fa sw e l la si n f o r m a t i o ns t o r a g e ， p r o c e s s i n ga n dt r a n s m i s s i o ni nn e t w o r k s t h e r e f o r e ，e n s u r i n gt h es a f e t y o fr e m o t ev i d e os u r v e i l l a n c es y s t e m si sg r e a t l yn e e d e d i n t h i st h e s i s ，w ed e s i g na ne m b e d d e di m a g es e r v e rs y s t e mw h i c hi s l i g h t w e i g h t e da n ds u p p o r t sm u l t i - p o i n ta c c e s s t h ea r c h i t e c t u r eo ft h i s m o n i t o r i n gs y s t e mi sa l s og i v e ni nd e t a i l s ，w h i c hi n c l u d e sv i d e oc a p t u r e m o d u l e ，d i s t r i b u t e d m o d u l ea n d s y s t e mm a n a g e m e n t m o d u l e r e m o t e - e y e ss y s t e mw o r k si nt h eo p e r a t i n gs y s t e mo fl i n u xw i t hx s c a l e a r c h i t e c t u r e ，w h i c hs u p p o r t su s e rm a n a g e m e n t ，r e a l t i m ev i d e oc a p t u r e ， v i d e of o r w a r d i n g ，s c r e e n s h o t sa n ds e n d i n gi m a g e si nav a r i e t yo fw a y s t h i se m b e d d e di m a g es e r v e rc a ns a t i s f yt h ed a i l yn e e d so fp e o p l ea n db e p u t i n t o p r a c t i c eb e c a u s eo fi t ss i m p l ed e s i g n ，l o wc o s t ，r e l i a b i l i t y ， f l e x i b l ei n t e g r a t i o na n ds t r o n ge x p a n s i o n t h ed e v e l o p m e n ta n di m p r o v e m e n to fn e t w o r ks e c u r i t yt e c h n o l o g i e s m a k e st h em e a n so fa t t a c kg r a d u a l l yf r o mt h el o wl a y e r st ot h eh i g h e r d d o sa t t a c k st a r g e t e do nt h ea p p l i c a t i o nl a y e ru s i n gt h ec o m p l e x i t yo f i i i 山东大学硕士学位论文 h i g hl e v e lp r o t o c o l sa n ds e r v i c e sa r em o r ee f f i c i e n ta n di n v i s i b l e ，w h i c h m a k e ss e r i o u sc o n s e q u e n c e st ot h es e r v i c e sb a s e do nw e b b e s i d e st h a t ， u n e x p e c t e dc h a n g e so fd a t af l o wi nt h en e t w o r kg i v e sh i g h e rc h a n c et o p e r f o r ma t t a c k s t r a d i t i o n a la n a l y s i so fp a c k e tc h a r a c t e r i s t i c s ，f l o w c h a r a c t e r i s t i c so rt r a n s i t i o n r a t ec a n n o td e t e c ta n dp r e v e n ts u c h a p p l i c a t i o n - l e v e ld d o sa t t a c k se f f e c t i v e l y t h i s t h e s i s a n a l y z e s t h e f e a t u r e sa n dm e c h a n i s mo ft h e a p p l i c a t i o nl a y e rd d o sa t t a c k sa n d p r e s e n t sam e t h o do fc o m b i n i n gd a t am i n i n gt e c h n o l o g i e sw i t hi n t r u s i o n d e t e c t i o nt e c h n o l o g i e st oi d e n t i f ya n dp r e v e n tt h ea t t a c k a c c o r d i n gt o t h ed i f f e r e n c e sb e t w e e nn o r m a lu s e r s b r o w s i n gp a t t e r n sa n da b n o r m a l o n e s ，a tt h ev e r yb e g i n n i n g ，u s e rs e s s i o n sa r ee x t r a c t e df r o mt h ew e bl o g s 广 【j i 东大学硕士学位论文 第1 章绪论 1 1 课题研究背景和意义 本课题为国家自然科学基金重大研究计划“嵌入式分布系统可信 性研究( n s f c 9 0 7 l8 0 3 2 ) 所资助。 1 1 1 研究背景 随着互联网技术的逐渐成熟以及网络带宽的逐步提高，网络化和 信息化的要求越来越高，互联网技术与信息家电、工业控制等技术的 结合也日益紧密。目前，嵌入式系统正处于一个以i n t e r n e t 为标志的迅 速发展的阶段【1 1 ，而以嵌入式w e b 服务器为中心的监控系统研究正逐 步成熟。 图像监控系统的发展大致经历了模拟图像监视、数字化图像监控 和多媒体网络图像监控三个阶段。嵌入式网络视频服务器是近年来出 现的一种新型数字图像监控系统，它以网络为依托，以数字视频处理 技术为核心，综合利用数字化图像处理、嵌入式计算机系统、数据传 输网络、自动控制和人工智能等技术。嵌入式网络视频服务器不仅具 有第一代本地数字监控系统所具有的计算机现场处理、数字信息抗干 扰、快速记录查询、视频图像清晰及单机多路图像显示等优点，而且 依托网络，真正发挥了网络带宽的优势，通过i p 网络把监控中心和网 络可以到达的任何地方的监控目标组合成一个系统，真正适应了当前 对视频监控系统远程、实时、集中的需求。具体来说，嵌入式网络视 频服务器一般是采用嵌入式实时多任务操作系统的嵌入式设备，成本 低、体积小、低功耗、环境适应能力强，便于灵活部署：系统提供多 路监控视频的输入接口，可以对多个视频采集终端集中管理和控制； 对采集来的视频信息进行数字化压缩或其它处理后，可以从中提取出 某些有价值的信息；系统带有以太网接口，利用内嵌其中的嵌入式w e b 山东大学硕士学位论文 服务器，可以通过网络进行视频发布，而合法授权用户通过服务器提 供的统一的基于浏览器方式的操作和控制页面进行远程监视和实时控 制，可以降低为不同操作平台制定人机交互界面的开发、通信、人员 培训和系统升级所需的费用；此外，若系统附有无线上网接口，则用 户还可以通过移动终端( 通常是手机) 来实施现场监控功能，增强系 统的灵活性。由于嵌入式网络视频服务器的诸多优势，在智能家居、 工业控制、通信等领域正得到日益广泛的关注，具有十分广阔的应用 前景1 1 。 在将嵌入式系统和、b 技术相结合给人们带来利益和方便的同 时，伴随着网络技术发展而出现的网络安全问题的日益突出也提出了 严峻的挑战，病毒、蠕虫、非法入侵、拒绝服务攻击等都让人们领教 了它们的威力。嵌入式网络视频服务器作为一种新兴的视频监控方式， 系统本身在网络环境中的安全运作以及视频图像信息在网络上的存 储、处理和传输都存在一定的潜在危险，而且由于系统监控内容的敏 感性和重要性，对数据传输管理和系统本身的安全性及可靠性又提出 了更高的要求。因此，我们不仅需要妥善解决数据的安全传输问题， 还需要预防针对服务器本身的网络攻击。其中分布式拒绝服务攻击是 一种实施相对简单，发生频繁高、影响却非常恶劣的攻击方式，使得 w e b 服务器成为网络中的瓶颈。应用层d d o s 攻击是新网络环境下出 现下的结合高层服务的一种分布式拒绝服务攻击手段，更具隐蔽性且 危害更大。本文就是针对嵌入式网络视频服务器的设计以及应用层 一d d o s 这种安全问题进行研究。一一 一一一 一一一一 一一 1 1 2 问题的提出 嵌入式网络视频服务器的研究和设计主要涉及嵌入式系统设计、 驱动程序编写、音视频编解码技术、流媒体传输技术、网络编程等， 如何降低系统成本、设计的复杂性、减轻服务器本身的负载以及增加 系统的灵活性等，将是我们需要进一步考虑的问题。通过设计轻型的 嵌入式图像服务器来完成网络视频监控功能，利用摄像头作为视频采 集终端，并利用多种方式将实时视频图像进行转发，不仅可以满足上 2 ， 山东大学硕士学位论文 述要求，还可以将其作为一种嵌入式网络应用设计框架，通过添加功 能模块应用于不同场合。 传统的d d o s 攻击主要是发生在网络层和传输层，利用低层协议的 安全缺陷，使得被攻击目标接受大量无用数据包或维持半开放t c p 连 接链表，消耗主机的网络带宽或处理资源，通常被称为数据包洪泛攻 击，例如s y n 洪泛、u d p 洪泛、s m u r f 洪泛等【2 】。目前大多数d d o s 检 测的研究主要是针对这种类型的攻击进行的，低层防御措施的加强使 得攻击策略逐步向高层迁移，出现了利用高层协议和服务多样性特点 的针对应用层的d d o s 攻击【3 】。这种新型的d d o s 攻击方式通过向网络 中的服务器发送合法的请求以达到消耗目标c p u 年e i i o 带宽，使服务器 无法响应合法用户的请求甚至被迫停机，成为网络中的瓶颈。例如2 0 0 4 年爆发的m y d o o m ( 又称为n o v a r ga n dm i m a i l r ) 病毒及其变种，中 毒者会向特定网站发起大量连接请求而形成d d o s 攻击。应用层d d o s 攻击的隐蔽性更强，其造成的危害也越大。由于人们的生活更加依赖 于基于w e b 的应用，联系日益密切，涉及金融、网上交易、云计算、远 程监控等各个领域，解决应用层的d d o s 攻击问题存在着客观必然性。 所谓可信，简单地讲就是计算系统总能按人们期望的状态运行， 并得到预期的结果【41 。可信计算作为解决安全问题的一个重要理念， 其提倡增强终端安全从而为构建整个安全体系奠定基础。可信性具有 可预测性和可控性，强调了系统可以对将来的一些行为进行预测，检 测出可能出现的危害，并对这种危害做出响应，控制危害行为的发生， 增强系统的安全。而本文通过研究应用层d d o s 攻击，分析系统的状态 特征，检测用户行为中可能发生的攻击行为，并根据各种不同的情况 做出响应，增强图像服务器在网络环境中的安全性，也正体现了可信 的可预测性和可控性。 山东大学硕士学位论文 1 2 国内外研究与发展概况 1 2 1 嵌入式视频服务器 嵌入式网络视频服务器的重要应用是作为数字监控系统，而远程 监控一直是国内外研究的前沿课题【51 ，一些知名的全球主导运营商如 贝尔南方( b e l l s o u t h ) 、英国电信( b t ) 、新加坡电信( s i n g t e l ) 、台 湾中华电信等都开展了视讯监控业务。由斯坦福大学、麻省理工学院 以及s u n 、h p 、b o e i n g 、i n t e l 、f o r d 等涉及制造业、计算机业和仪器仪 表业的l2 家大公司共同推出的一个实验性的系统t e s t b e d 用嵌入式 w e b 组网、用实时j a 、，a 和b a y e s i a nn e t 初步形成了在i n t e r n e t 范围内的 信息监控和诊断推理。许多国际组织也展开了通过网络进行设备监控、 故障诊断和技术推广的工作，并制定了一些信息交换格式和标准。 n a t i o n a li n s t r u m e n t s 公司在它的产品l a b w i n d o w s c v i 以及l a b v i e w 中 加入了网络通讯处理模块，可以通过w w w 、e m a i l 等方式在网络范围 内传送监控数据。但这些监控系统一般需要采用专业的视频捕捉设备， 成本较高，系统的可维护性和可扩展性较差。 轻型的嵌入式视频服务器的实现大多是基于l i n u x 操作系统并采 用摄像机( 头) 作为其视频采集设备，之后通过软件或硬件手段，利用多 媒体编码和网络传输技术将信息源压缩成视频流发布给用户【6 ，7 1 ，并 对用户进行一定的权限管理。以视频流作为信息源需要一定的硬件支 持，而采用软件方法来实现则会增加服务器端的开销，容易使服务器 成为系统瓶颈。而且，实时监控信息的转发方式较为单一，降低了系 统的灵活性。 嵌入式w e b 服务器【8 】是网络视频监控的核心，结合了网络技术、 w e b 技术和嵌入式技术。它是指将w e b 服务器引入到现场测试和控制设 备中，在相应的硬件平台和软件系统的支持下，使传统的测试和控制 设备转变为以t c p i p 为底层通信协议、w e b 技术为核心的基于互联网的 网络测试和控制设备。目前国外的相关研究有很多，目前市面上流行 的如p h a r l a p 公司的m i c r o w e b 、a g r a n a t s y s t e m s 公司的e m w e b 、e m w a r e 4 山东大学硕士学位论文 公司的e m m i c r o 、a l l e g r o 公司的r o m p a g e r 以及w i n d r i v e r 公司的w i n d 等 f 9 1 。国内的w e b i t 【l o1 基于嵌入式i n t e n r e t 技术，提出一种面向设备动 态驱动的异种网络互连体系结构并建立模型。国防科技大学为了提高 w e b 服务性能，以内核模块的形式实现了一种非对称多线程流水线结构 的w e bj 艮务器k e t a 【1 1 1 ，但这种内核级w e b 服务器的设计将会降低系统 的安全性，因为一旦发生溢出等安全攻击，攻击者就可以直接将自己 的代码注入内核空间执行，具有系统最高权限而不受约束。此外，一 些开源的嵌入式w e b 服务器如t h t t p d 和b o a 在某些方面的性能并不比目 前广泛应用的a p a c h e 艮务器差。 1 2 2 传统d d o s 攻击检测 传统d d o s 攻击是利用底层协议的安全隐患或者系统的设计漏洞 发起攻击的，针对这种攻击类型的大部分研究主要是依靠分析网络数 据包的分组特征2 ，13 1 、网络流量统计特点1 4 ，15 1 、请求速率1 61 等 来进行检测，而防火墙、入侵检测系统以及对d d o s 攻击的追踪技术组 成了网络安全系统【3 ，1 7 】。 文献【13 】提出了对t c p 的连接状态进行研究，以识别t c ps y n f l o o d 攻击，但这种方法只适用于t c ps y nf l o o d 攻击，对u d pf l o o d 、 i c m pf l o o d 和其它类型的攻击则无法检测和预防。文献【1 4 】提出了一 种基于链路特征的d d o s 攻击检测方法，利用极大似然估计技术推出 网络内部链路特征分布，应用自组织映射神经网络进行链路特征活动 轮廓学习和异常链路检测。 文献 15 】提出了基于聚类和协议分析预防d d o s 的模型来检测预防 攻击，包括异常流量聚类、协议分析和流量处理，可以在误判时回复 非攻击流量，保证合法的正常网络通信。文献【l6 】在对泛洪d o s d d o s 攻击发生时网络流量变化特性进行分析的基础上，给出一种基于网络 异常流量判断泛洪d o s d d o s 攻击的检测算法，通过对流量大小和波 动趋势的判断，对泛洪d o s d d o s 攻击的发生进行检测。 文献【l7 】分析了低速率d d o s 攻击的原理机制，根据l d d o s 攻击 流量呈现周期性的特点，采用缓存队列占有率统计的方法，重点研究 山东大学硕士学位论文 了受害目标路由器的缓存队列，分别统计了正常和攻击流量的占有率， 提取了l d d o s 攻击流量上的特征，用来提高l d d o s 攻击的检测率。 文献【18 】为了提高入侵检测的能力，将e c a 规则引入检测机制中， 分析了系统的动态特征和静态特征，提出了基于e c a 规则的入侵检测 系统体系结构。但文章只是进行了初步研究，一些问题有待完善。文 献 3 】首先描述了不同的d o s d d o s 攻击方法，然后对现有的防范技术 进行了讨论和评价并重点介绍了长期的解决方案i n t e r n e t 防火墙策 略，它可以在攻击分组到达被攻击主机之前在i n t e r n e t 核心网络中截取 这些攻击分组。此外，文章还指出，除了d d o s 攻击之外，攻击者还 在不断的设计出新的攻击方式，d d o s 攻击检测和过滤中的相关理论 和实践问题也需要研究人员付出更大的努力去研究并解决。 1 2 3 应用层d d o s 攻击检测 目前国内外针对应用层d d o s 攻击这一问题的研究并不多，谢逸和 余顺争等人将隐半马尔可夫模型( h s m m ) 引入检测方法，在文献【l8 】 19 】