收藏本站
《复旦大学》 2006年
收藏 | 手机打开
二维码
手机客户端打开本文

分布式拒绝服务攻击中攻击源追踪的研究

荆一楠  
【摘要】: 分布式拒绝服务(DDoS)攻击是目前Internet面临的主要安全威胁之一。现有的传统防御措施如防火墙、入侵检测系统等只能被动地抵御攻击,防御效果不是很理想。DDoS攻击分布式的特点亟需一个分布式的防御体系。攻击源追踪是一种能够定位攻击来源的新防御技术。它是实现DDoS攻击分布式防御的一个重要环节,也是网络犯罪取证技术发展中的一种关键技术手段。 本文围绕分布式拒绝服务攻击中的攻击源追踪问题展开了深入的研究和探讨。通过对各种攻击形式及防御措施的分类,本文剖析了DDoS攻击的原理,指出攻击源追踪技术在DDoS攻击防御中的重要作用和意义,并分析了攻击源追踪所面临的挑战。在对攻击源追踪问题明确定义并介绍追踪技术研究现状的基础上,指出追踪技术的发展目前主要面临的三大问题,包括追踪速度、追踪系统的安全与部署、追踪技术应用三个方面。围绕这三大问题,本文的主要工作和贡献如下。 1.追踪速度的提高 针对追踪速度问题,相继提出了三种速度更快的追踪算法,包括“自适应边标记算法”,“日志辅助的随机包标记算法”以及“无日志的快速追踪算法”。理论分析和实验结果表明这些算法在追踪速度上都比原来的算法有所提高。 (1)基于反向确认的攻击源追踪模型 在分析传统的随机包标记算法——高级包标记算法(AMS)的基础上,提出一种基于反向确认的攻击源追踪模型。该模型不再需要AMS过强的假设前提。为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果表明该算法不仅收敛时间更短,而且比AMS算法更稳定。 (2)基于日志辅助的随机包标记算法 进一步的研究表明较低的标记包利用率是制约以往随机包标记法的追踪速度进一步得到提高的主要原因。针对标记包利用率较低的问题,提出基于日志辅助的随机包标记算法——LAPPM算法。该算法不仅通过日志技术提高了标记包利用率,加快了追踪速度,而且日志量比其它日志法小得多。 (3)无日志的快速追踪算法 为了避免LAPPM算法中日志传输占用额外的网络通信带宽,提出一种无日志的快速追踪(LFIT)算法。该算法不仅保持了与LAPPM算法相当的追踪速度,而且利用带内通信的方式实现标记信息的收集。另外,该算法还通过引入流标签将传统的包追踪转变为对流的追踪。 2.追踪系统的安全与部署 追踪系统的安全保障与部署问题是阻碍当前攻击源追踪技术实用化和进一步发展的主要因素。针对传统的端追踪方案在这两方面存在的问题,提出一种层次结构的攻击源追踪(HITS)系统。在HITS系统的设计中,通过转换追踪主体,利用服务-消费的利益驱动模式,使追踪过程的各参与方都能从中获益,为追踪系统的部署构建了一个良好的激励机制,为追踪技术走上良性循环的发展道路奠定必要的基础。 另外,追踪过程的安全保障一直是一个比较难解决的问题。已有的一些解决方法也只能解决局部安全问题。本文结合HITS系统的结构和运作机制对追踪过程的安全性保障给出了一个全程解决方案,包括HITS子系统域内通信的安全、追踪请求和结果的认证、以及追踪信息(标记信息)的认证等。根据分析可以看出这些安全措施能有效地保证追踪过程的安全性和追踪结论的可信度。HITS系统灵活的安全保障和部署机制为跨域协作追踪提供了基础。 3.追踪技术的应用 针对目前追踪技术应用研究相对较少的现状,尝试将追踪技术应用于流量限速技术中,提出一种基于IP回溯的限流算法。根据攻击源追踪结果该算法不仅可以使限流措施部署在更恰当的位置,而且可以减少对合法流的误限,从不同程度上提高合法包的存活率。 本文还针对目前限流方法普遍存在的一些问题提出一种基于Overlay的分布式限流框架(O~2-DN)。通过该框架不仅能保证限流过程的安全和可信,而且也为跨域的分布式限流提供了一个协作的平台。
【学位授予单位】:复旦大学
【学位级别】:博士
【学位授予年份】:2006
【分类号】:TP393.08

【相似文献】
中国期刊全文数据库 前10条
1 郑先伟;;在线编辑器漏洞影响高招安全[J];中国教育网络;2011年07期
2 吴蓉晖;吴岚;;IP追踪中的包标记算法[J];湖南大学学报(自然科学版);2011年06期
3 冷鹏;;变异DDOS攻击方式的攻击防范探析[J];武汉商业服务学院学报;2011年03期
4 耿永军;李栋柯;;蜜罐技术在网络安全中的应用[J];河南城建学院学报;2011年04期
5 李蓓蓓;;网络DDOS攻击技术研究[J];福建电脑;2011年05期
6 李占新;;分布式拒绝服务攻击原理和防治策略[J];电脑编程技巧与维护;2011年16期
7 闫巧;宁土文;;基于确定线性网络编码的IPv6追踪[J];计算机应用;2011年09期
8 牛少彰;;黑客崛起:网络战士如何交火[J];人民论坛;2011年S1期
9 吴清秀;欧军;;DNS服务器设计与实现[J];计算机安全;2011年07期
10 陈冬梅;;浅谈电子商务的安全问题[J];辽宁行政学院学报;2011年08期
中国重要会议论文全文数据库 前10条
1 荆一楠;肖晓春;王雪平;蔡敏;张根度;;HITS:层次结构的攻击源追踪系统[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
2 陈雷;卢任妍;姜琳;叶德建;;针对流媒体服务的DoS、DDoS攻击研究[A];第四届全国信息检索与内容安全学术会议论文集(上)[C];2008年
3 刘宝旭;安德海;许榕生;;黑客入侵分析与防范[A];第十届全国核电子学与核探测技术学术年会论文集[C];2000年
4 严小华;;构架市级气象系统内部网络与Internet安全连接的方案及方法[A];网络安全技术的开发应用学术会议论文集[C];2002年
5 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年
6 傅翀;钱伟中;秦志光;陈剑勇;;移动通信网络中基于安全等级的主动网络防御机制[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
7 荆一楠;肖晓春;王雪平;张根度;;分布式流量限速的研究与实现[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
8 李扬;王景中;杨义先;;基于统计分析的DDoS概率包标记追踪技术研究[A];2009年研究生学术交流会通信与信息技术论文集[C];2009年
9 万敏;高建华;;防火墙体系结构综述[A];第11届全国计算机在现代科学技术领域应用学术会议论文集[C];2003年
10 魏永斌;孙东川;吴应良;;因特网的系统特性及其研究方法探讨[A];Well-off Society Strategies and Systems Engineering--Proceedings of the 13th Annual Conference of System Engineering Society of China[C];2004年
中国重要报纸全文数据库 前10条
1 主持人:潘永花;10种最严重的Internet安全威胁[N];网络世界;2000年
2 陈克非、黄旸;Internet安全:利剑高悬[N];中国计算机报;2000年
3 WatchGuard LiveSecurity Dave Piscitello;更科学 更有序[N];中国计算机报;2004年
4 本期热心读者 方正科技电脑公司高级咨询顾问 许为民;鱼与熊掌也可以兼得[N];计算机世界;2002年
5 ;Symantec:以变应变[N];计算机世界;2001年
6 ;应对安全挑战,微软将推IE7及免费反谍件程序[N];计算机世界;2005年
7 中国工程院院士 何德全;信息安全要有新思维[N];华夏时报;2002年
8 ;纳斯达克走软全球“熊”声四起[N];中国计算机报;2001年
9 ;防火墙及其他[N];中国高新技术产业导报;2000年
10 ;华基的无线“版图”[N];计算机世界;2003年
中国博士学位论文全文数据库 前10条
1 荆一楠;分布式拒绝服务攻击中攻击源追踪的研究[D];复旦大学;2006年
2 张亚平;基于分布智能代理的自保护系统研究[D];天津大学;2005年
3 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年
4 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年
5 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年
6 肖晓春;基于模型的网络安全风险评估的研究[D];复旦大学;2008年
7 王常杰;Internet安全及相关技术的研究[D];西安电子科技大学;2002年
8 韦卫;Internet网络安全的若干理论研究与安全Web系统的设计实现[D];中国科学院研究生院(计算技术研究所);1999年
9 陈伟;针对TCP协议的分布式拒绝服务攻击的防范方法研究[D];武汉大学;2005年
10 蒋卫华;智能网络入侵检测与安全防护技术研究[D];西北工业大学;2003年
中国硕士学位论文全文数据库 前10条
1 曲广平;分布式拒绝服务攻击防御系统研究[D];沈阳工业大学;2008年
2 吴哲;基于随机包标记的不重复标记追踪模型[D];湖南大学;2009年
3 陈刚;DDoS攻击的对策研究[D];西安电子科技大学;2005年
4 郑显举;DDoS攻击分析和防御方法[D];电子科技大学;2005年
5 贾凯恺;基于网络处理器的DDoS防御技术研究与实现[D];电子科技大学;2008年
6 杨振;基于Linux的抗DDoS防火墙的设计与实现[D];天津大学;2007年
7 宋志军;基于多核(多处理单元)的防火墙架构研究与关键技术实现[D];电子科技大学;2009年
8 赵继俊;分布式拒绝服务攻击检测与响应研究[D];中南大学;2007年
9 蒋堃;基于邮政网络防火墙体系的研究与设计[D];山东大学;2008年
10 孙亮;分布式拒绝服务攻击检测及追踪技术的研究[D];大连理工大学;2009年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026