收藏本站
《东北大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

分布式拒绝服务攻击防御技术研究

郭睿  
【摘要】: 随着人们对计算机网络的依赖性不断增强,网络安全越来越受到重视。分布式拒绝服务攻击(DDoS, Distributed Denial of Service)由于其分布式的特性,具有强大的破坏力,而且防范困难。目前对DDoS攻击的防御策略有基于源端、受害端和中间网络三种防御策略。对于这三种策略,目前已有许多成熟的技术,如基于受害方网络的入侵检测系统、DDoS防火墙,基于中间网络的核心路由器包过滤技术等。 针对DDoS防御,虽然已有很多研究性的或者已经商业化的DDoS防御系统,但是针对DDoS的很多问题并没有得到很好的解决。本文从尚未解决的问题入手,首先从以下两方面进行分析研究。 (1)阐述DDoS的根源及DDoS的发展变化,对DDoS的攻击原理、攻击工具、攻击分类及防御方法做了细致的分析,为DDoS防御提供了基本的依据,并且深入分析了现存的解决方案。 (2)深入探讨了千兆级DDoS防火墙研制开发和高速网络带宽耗尽DDoS防御方法,和第三方DDoS主动防御策略模型。设计实现了DDoS防火墙和防御算法应对分布式攻击。然而DDoS防火墙和防御算法并不是阻止DDoS攻击的完整解决方案。本文主要阐述了受害端防御(以防火墙的形式实现),中间网络防御和第三方防御,以上方法均能有效地检测并防御DDoS,同时并没有以牺牲系统性能为代价,在攻击过程中能够给合法流量提供优质服务。 通过研究高速网络DDoS防御的特点,提出了基因过滤算法。主要针对高速网络环境不能采用低速过滤设备的特点,采用路由器过滤带宽耗尽DDoS攻击流量,用统计的方法为路由器路由的流量分配权重。主要利用遗传算法在路由器上过滤流量,从而得到最大的有效流量。最后,在真实的网络环境中验证了其可行性和有效性,讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。 结合全网防御特征,首次提出了DDoS的第三方防御方法。应用微分对策理论,提出防止DDoS应该采取主动策略,如果第三方占有足够的资源,能够和攻击者抗衡,则针对受害网络或服务器的DDoS防御将能够取得成功。建立了一个基于微分对策的DDoS对抗模型,此模型包含以下四个部分:Attacker, Defender, Victim, Botnet。本文认为Victim应该与Defender协同工作来抵御DDoS,采用微分对策决定Defender至少需要控制多少Bot才能有效抵御DDoS。最后,通过NS2网络环境中的仿真研究,验证了其效果,并讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。 目前的DDoS防火墙设备均采用ASIC或X86架构,而没有基于专用网络处理器的DDoS防火墙, NP (Network Processer网络处理器)同时具备了ASIC和X86架构的优点。针对DDoS防火墙现存的防御问题和IXP2400结构特点,设计了千兆DDoS防火墙,提出了高层协议统计分析算法、应用层主动防御算法、有状态Bloom Filter算法。并在真实的网络攻击环境中验证了其可行性和有效性。NP架构的DDoS防火墙的特点是单台防御能力强,受到攻击时负载轻,不占用出口带宽,对于TCP/UDP的小包和大包处理效率高,针对应用层DDoS防范效果好。
【学位授予单位】:东北大学
【学位级别】:博士
【学位授予年份】:2008
【分类号】:TP393.08

手机知网App
【引证文献】
中国硕士学位论文全文数据库 前3条
1 赵利明;基于路由协作的DdoS检测与防御研究[D];东北大学;2011年
2 张祎玮;一种防止恶意数据包的轻型许可认证协议[D];解放军信息工程大学;2012年
3 张帅;P2P僵尸网络检测技术研究[D];哈尔滨工业大学;2012年
【参考文献】
中国期刊全文数据库 前10条
1 李登峰,陈守煜;微分对策数值解的梯度法[J];大连理工大学学报;1994年04期
2 邹波;;cookie思想在TCP与SCTP中的应用[J];电脑知识与技术;2006年11期
3 刘勃兰;宋玲;;基于NS2的移动自组网路由协议的仿真与实现[J];计算机工程与应用;2007年06期
4 罗光春;卢显良;薛丽军;;一种运用限幅自相似性的新型DDoS入侵检测机制[J];计算机科学;2004年03期
5 杨玉华,刘培宁,刘际炜,陈涵生;NS-2的仿真模拟技术分析[J];计算机工程;2005年15期
6 蔡玮珺;仲海骏;;高速网络下的DDoS检测[J];计算机工程;2006年10期
7 孙钦东,张德运,高鹏;基于时间序列分析的分布式拒绝服务攻击检测[J];计算机学报;2005年05期
8 谭章熹,林闯,任丰源,周文江;网络处理器的分析与研究[J];软件学报;2003年02期
9 孙知信;唐益慰;程媛;;基于改进CUSUM算法的路由器异常流量检测[J];软件学报;2005年12期
10 孙知信;唐益慰;张伟;宫婧;王汝传;;基于特征聚类的路由器异常流量过滤算法[J];软件学报;2006年02期
中国重要会议论文全文数据库 前1条
1 李登峰;陈守煜;;多人多目标微分对策及其P—N均衡策略[A];1994中国控制与决策学术年会论文集[C];1994年
中国博士学位论文全文数据库 前1条
1 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
【共引文献】
中国期刊全文数据库 前10条
1 张静;胡华平;刘波;肖枫涛;陈新;;剖析DDoS攻击对抗技术[J];信息安全与技术;2010年07期
2 莫家庆;胡忠望;;DDoS攻击防御模型的仿真研究[J];北方工业大学学报;2011年03期
3 郑康锋;王秀娟;;利用边际谱Hurst参数检测DDoS攻击[J];北京邮电大学学报;2011年05期
4 易桂生,黄程波;基于网络处理器的QoS策略应用网关[J];江西师范大学学报(自然科学版);2004年06期
5 肖敏;柴蓉;杨富平;范士喜;;基于可拓集的入侵检测模型[J];重庆邮电大学学报(自然科学版);2010年03期
6 刘勇;香丽芸;;基于网络异常流量判断DoS/DDoS攻击的检测算法[J];吉林大学学报(信息科学版);2008年03期
7 谢莉钧;刘乃琦;郝玉洁;;Intel IXP2400网络处理器体系结构研究[J];成都信息工程学院学报;2006年06期
8 严有日;;基于DDOS攻击机理的分析与防范[J];赤峰学院学报(自然科学版);2009年12期
9 冯欣;尹方超;贺丽柏;韩永林;;Ad hoc网中经典路由协议QoS性能研究[J];长春理工大学学报(自然科学版);2010年04期
10 徐智勇;袁凌云;夏幼明;谭志刚;;基于TinyOS 2.1无线传感网的能量监测模型设计与实现[J];传感器与微系统;2011年04期
中国重要会议论文全文数据库 前7条
1 李丹丹;龚雪春;;网络处理器负载均衡设计及性能分析[A];2006年全国理论计算机科学学术年会论文集[C];2006年
2 李韬;张晓明;孙志刚;;基于数据流的新型网络处理器体系结构设计[A];计算机技术与应用进展——全国第17届计算机科学与技术应用(CACIS)学术会议论文集(下册)[C];2006年
3 王风宇;云晓春;曹震中;;多时间尺度同步的高速网络流量异常检测[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
4 叶润国;胡建平;;基于主机活跃性和通信模式分析的实时异常流量检测[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
5 李韬;孙志刚;;基于SoPC的粗粒度数据流网络处理器原型设计[A];第五届中国通信集成电路技术与应用研讨会会议文集[C];2007年
6 郝鹏;金士尧;;安全增强型主动自调度集群(ASAS-ES)实现[A];中国通信学会第五届学术年会论文集[C];2008年
7 韩旭东;;互联网分布式拒绝服务攻击的安全防护方案设计和应用[A];科技创新与经济结构调整——第七届内蒙古自治区自然科学学术年会优秀论文集[C];2012年
中国博士学位论文全文数据库 前10条
1 许宪成;基于网络处理器的入侵检测系统设计与性能优化研究[D];华南理工大学;2010年
2 向军;网络处理器并行线速处理关键技术研究[D];华南理工大学;2010年
3 单征;基于分层架构的网络处理器系统性能分析方法研究[D];解放军信息工程大学;2007年
4 王珺;开环非合作微分对策及其在经济中的应用[D];吉林大学;2011年
5 瞿泽辉;复杂网络及其在信息领域中的应用[D];电子科技大学;2011年
6 杨越;基于超统计理论的网络流量异常检测方法研究[D];华中科技大学;2010年
7 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
8 熊伟;基于突变理论及协同学的网络流量异常检测方法研究[D];华中科技大学;2011年
9 刘辉宇;洪泛攻击早期检测及其溯源方法研究[D];华中科技大学;2011年
10 薄涛;格斗空战行为建模技术研究[D];国防科学技术大学;2002年
中国硕士学位论文全文数据库 前10条
1 张燕丽;基于Winnow算法和CAPTCHA的垃圾短信过滤研究[D];郑州大学;2010年
2 解保忠;计算机在矽肺病早期诊断及预测中的应用研究[D];哈尔滨工程大学;2010年
3 周长林;防火墙规则集优化设计研究[D];哈尔滨工程大学;2010年
4 秦昌友;自治区域系统下的分布式拒绝服务攻击预防体系研究[D];苏州大学;2010年
5 钟锐;基于隐马尔科夫模型的入侵检测系统研究[D];江西理工大学;2010年
6 范艳华;基于IP地址相关性的DDoS攻击检测研究与实现[D];江苏大学;2010年
7 张晓辉;拒绝服务攻击检测与响应的研究[D];长春工业大学;2010年
8 金凤;基于双协议栈模式的服务器流量监测技术研究与实现[D];华东理工大学;2011年
9 章晟;拒绝服务攻击和自相似网络流量研究[D];浙江大学;2010年
10 笱程成;基于多核架构的高速IP包捕获技术研究[D];解放军信息工程大学;2010年
【同被引文献】
中国期刊全文数据库 前10条
1 王伟;;基于端口检测的DDoS攻击防御策略研究[J];安徽水利水电职业技术学院学报;2010年02期
2 陈伟;罗绪成;秦志光;;用活动IP表和ICMP报文防御IP欺骗DDoS攻击[J];电子科技大学学报;2007年06期
3 严志敏;;网络攻击技术——拒绝服务[J];电脑知识与技术;2010年05期
4 张冰;杜国琦;李静;;僵尸网络技术发展新趋势分析[J];电信科学;2011年02期
5 李强;;分布式拒绝服务(DDoS)攻击及防范解析[J];计算机安全;2009年09期
6 应凌云;冯登国;苏璞睿;;基于P2P的僵尸网络及其防御[J];电子学报;2009年01期
7 苏宪利;方辉;;基于LINUX的DDOS攻击的探索[J];福建电脑;2006年01期
8 何小波;;DDoS攻击防御新思考[J];中国公共安全(学术版);2009年03期
9 曲劲光;;DDoS攻击原理及抗DDoS设备的应用[J];电信工程技术与标准化;2011年10期
10 张书钦;梁芳;;主机标识协议命名服务方案的研究与设计[J];河南工程学院学报(自然科学版);2009年02期
中国博士学位论文全文数据库 前2条
1 李润恒;大规模网络中僵尸网络分析技术研究[D];国防科学技术大学;2010年
2 金光;基于数据包标记的拒绝服务攻击防御技术研究[D];浙江大学;2008年
中国硕士学位论文全文数据库 前5条
1 陈福生;基于P2P的分布式PKI技术研究[D];华中科技大学;2006年
2 王国梁;基于Linux网关的DDoS防护系统的设计与实现[D];南京理工大学;2008年
3 姜华林;防御DDoS攻击的新型密钥交换协议研究[D];西南大学;2009年
4 丁健;基于Netfilter框架的Linux防火墙技术研究及应用[D];武汉理工大学;2009年
5 刘金璧;IPv6网络中IPSec架构的安全增强设计研究[D];西安电子科技大学;2010年
【二级参考文献】
中国期刊全文数据库 前10条
1 李剑,刘美华,曹元大;分布式防火墙系统[J];安全与环境学报;2002年01期
2 第文军,薛丽军,蒋士奇;运用网络流量自相似分析的网络流量异常检测[J];兵工自动化;2003年06期
3 陈守煜;求解系统无结构决策问题的新途径[J];大连理工大学学报;1993年06期
4 王伟,曹元大;分布式防火墙关键技术研究[J];大连理工大学学报;2003年S1期
5 艾军;防火墙体系结构及功能分析[J];电脑知识与技术;2004年08期
6 何军;防火墙各功能模块的应用[J];计算机安全;2004年04期
7 孟涛,杨磊;防火墙和安全审计[J];计算机安全;2004年04期
8 李守鹏,孙红波;信息系统安全策略研究[J];电子学报;2003年07期
9 李永利,刘贵忠,王海军,尚赵伟;自相似数据流的Hurst指数小波求解法分析[J];电子与信息学报;2003年01期
10 刘更楼,丁常福,姜建国;基于状态检测的防火墙系统研究[J];航空计算技术;2004年01期
【相似文献】
中国期刊全文数据库 前10条
1 苏更殊,李之棠;DDOS攻击的分析、检测与防范技术[J];计算机工程与设计;2002年11期
2 梁智强;范颖;;电力二次系统安全防护的DDoS攻击原理及防御技术[J];计算机安全;2010年09期
3 罗新密;DDoS攻击防范策略研究[J];湖南商学院学报;2003年03期
4 曹玥,李晖,吕东亚;基于DDoS的TCP SYN攻击与防范[J];电子科技;2004年02期
5 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
6 范斌;;一种基于数据融合的DDoS入侵检测系统的设计与分析[J];科技信息(学术研究);2007年28期
7 郝志宇,云晓春,张宏莉,陈雷;基于相似度的DDoS异常检测系统[J];计算机工程与应用;2004年35期
8 范斌;胡志刚;张健;;一种基于数据融合的DDoS入侵检测系统的设计[J];科技信息(学术研究);2007年32期
9 张洪梅;曲俊杰;;基于主动防御的HoneyPot和HoneyNet技术在研究和拒绝服务攻击中的应用[J];网络安全技术与应用;2009年08期
10 张乾;桑军;;Linux环境下基于正则表达式的DDoS防御研究[J];软件导刊;2010年02期
中国重要会议论文全文数据库 前10条
1 李冉;黄遵国;肖枫涛;;逐层削弱DDoS攻击防御体系中客户层设计[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
2 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
3 廖鹏;;基于异常特征的DDoS检测模型[A];经济发展方式转变与自主创新——第十二届中国科学技术协会年会(第四卷)[C];2010年
4 刘明;张少波;党力明;;基于IXP1200的DDoS攻击防御系统设计与实现[A];教育部中南地区高等学校电子电气基础课教学研究会第二十届学术年会会议论文集(下册)[C];2010年
5 杨科;陈信男;胡华平;;CC变种攻击的设计与实现[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
6 钟金;窦万峰;朱恩霞;;基于源的DDoS攻击的检测与防御技术[A];2005年全国开放式分布与并行计算学术会议论文集[C];2005年
7 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年
8 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
9 查达仁;荆继武;林璟锵;;一种网络监控系统中的快速连接恢复方法[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
10 胡小勇;胡美珍;;数据挖掘式的入侵检测在数据库中的应用设计[A];江西省煤炭工业协会、江西省煤炭学会2007年工作暨学术年会学术论文集[C];2007年
中国重要报纸全文数据库 前10条
1 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年
2 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年
3 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年
4 ;DoS和DDoS的“终 结 者”[N];网络世界;2003年
5 本报记者 宋家雨;对DDoS说不[N];网络世界;2005年
6 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
7 ;DDoS攻击[N];人民邮电;2010年
8 ;当DDoS遇到云计算[N];网络世界;2010年
9 记者 靳辉;DDOS有待手术式清洗[N];通信产业报;2008年
10 ;防御DDoS的六大绝招[N];网络世界;2002年
中国博士学位论文全文数据库 前10条
1 郭睿;分布式拒绝服务攻击防御技术研究[D];东北大学;2008年
2 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年
3 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
4 陈世文;基于谱分析与统计机器学习的DDoS攻击检测技术研究[D];解放军信息工程大学;2013年
5 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年
6 程杰仁;复杂场景遥感图像目标检测方法研究[D];国防科学技术大学;2010年
7 向渝;IP网络QoS和安全技术研究[D];电子科技大学;2003年
8 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年
9 李目海;基于流量的分布式拒绝服务攻击检测[D];华东师范大学;2010年
10 余杰;P2P网络测量与安全关键技术研究[D];国防科学技术大学;2010年
中国硕士学位论文全文数据库 前10条
1 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年
2 鄢海涛;基于报文节奏的Web DDoS防御技术[D];山东大学;2013年
3 朱洪潮;真实源地址DDoS攻击防御研究[D];中南大学;2012年
4 杨小红;基于确定性包标记算法的DDoS追踪方案研究[D];湖南大学;2010年
5 李冉;逐层削弱DDoS攻击防御体系中客户层的关键技术研究与实现[D];国防科学技术大学;2010年
6 张德杨;TCP/IP下DDOS检测与防御技术的研究[D];河北工程大学;2011年
7 张彦芳;IP追踪技术及其在DDoS防御中的应用[D];河北工业大学;2011年
8 田正先;基于网络效用最大化的DDoS攻击主动防御机制研究[D];华中科技大学;2011年
9 朱晖;基于IP回溯的DDoS防御策略研究[D];扬州大学;2012年
10 黄文宇;基于行为分布的DDoS攻击检测方法[D];北京化工大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026