收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

分布式拒绝服务攻击防御技术研究

郭睿  
【摘要】: 随着人们对计算机网络的依赖性不断增强,网络安全越来越受到重视。分布式拒绝服务攻击(DDoS, Distributed Denial of Service)由于其分布式的特性,具有强大的破坏力,而且防范困难。目前对DDoS攻击的防御策略有基于源端、受害端和中间网络三种防御策略。对于这三种策略,目前已有许多成熟的技术,如基于受害方网络的入侵检测系统、DDoS防火墙,基于中间网络的核心路由器包过滤技术等。 针对DDoS防御,虽然已有很多研究性的或者已经商业化的DDoS防御系统,但是针对DDoS的很多问题并没有得到很好的解决。本文从尚未解决的问题入手,首先从以下两方面进行分析研究。 (1)阐述DDoS的根源及DDoS的发展变化,对DDoS的攻击原理、攻击工具、攻击分类及防御方法做了细致的分析,为DDoS防御提供了基本的依据,并且深入分析了现存的解决方案。 (2)深入探讨了千兆级DDoS防火墙研制开发和高速网络带宽耗尽DDoS防御方法,和第三方DDoS主动防御策略模型。设计实现了DDoS防火墙和防御算法应对分布式攻击。然而DDoS防火墙和防御算法并不是阻止DDoS攻击的完整解决方案。本文主要阐述了受害端防御(以防火墙的形式实现),中间网络防御和第三方防御,以上方法均能有效地检测并防御DDoS,同时并没有以牺牲系统性能为代价,在攻击过程中能够给合法流量提供优质服务。 通过研究高速网络DDoS防御的特点,提出了基因过滤算法。主要针对高速网络环境不能采用低速过滤设备的特点,采用路由器过滤带宽耗尽DDoS攻击流量,用统计的方法为路由器路由的流量分配权重。主要利用遗传算法在路由器上过滤流量,从而得到最大的有效流量。最后,在真实的网络环境中验证了其可行性和有效性,讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。 结合全网防御特征,首次提出了DDoS的第三方防御方法。应用微分对策理论,提出防止DDoS应该采取主动策略,如果第三方占有足够的资源,能够和攻击者抗衡,则针对受害网络或服务器的DDoS防御将能够取得成功。建立了一个基于微分对策的DDoS对抗模型,此模型包含以下四个部分:Attacker, Defender, Victim, Botnet。本文认为Victim应该与Defender协同工作来抵御DDoS,采用微分对策决定Defender至少需要控制多少Bot才能有效抵御DDoS。最后,通过NS2网络环境中的仿真研究,验证了其效果,并讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。 目前的DDoS防火墙设备均采用ASIC或X86架构,而没有基于专用网络处理器的DDoS防火墙, NP (Network Processer网络处理器)同时具备了ASIC和X86架构的优点。针对DDoS防火墙现存的防御问题和IXP2400结构特点,设计了千兆DDoS防火墙,提出了高层协议统计分析算法、应用层主动防御算法、有状态Bloom Filter算法。并在真实的网络攻击环境中验证了其可行性和有效性。NP架构的DDoS防火墙的特点是单台防御能力强,受到攻击时负载轻,不占用出口带宽,对于TCP/UDP的小包和大包处理效率高,针对应用层DDoS防范效果好。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 罗新密;DDoS攻击防范策略研究[J];湖南商学院学报;2003年03期
2 曹玥,李晖,吕东亚;基于DDoS的TCP SYN攻击与防范[J];电子科技;2004年02期
3 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
4 范斌;;一种基于数据融合的DDoS入侵检测系统的设计与分析[J];科技信息(学术研究);2007年28期
5 郝志宇,云晓春,张宏莉,陈雷;基于相似度的DDoS异常检测系统[J];计算机工程与应用;2004年35期
6 范斌;胡志刚;张健;;一种基于数据融合的DDoS入侵检测系统的设计[J];科技信息(学术研究);2007年32期
7 张乾;桑军;;Linux环境下基于正则表达式的DDoS防御研究[J];软件导刊;2010年02期
8 石景山;;利用路由器防御DoS攻击[J];福建电脑;2010年10期
9 李坤;;无线局域网DDoS攻击概述[J];科技广场;2010年08期
10 贾文丽,薛强,孙济洲;分布式端口反弹攻击及检测[J];计算机工程;2004年07期
11 卢建芝,庄肖斌,尹春霖,芦康俊,李鸥;基于源端网络的防DDoS攻击的实现[J];计算机应用;2004年S1期
12 李光永,梁丰;网络蠕虫型分布式拒绝服务攻击的原理及防御[J];数据通信;2004年06期
13 邓国英;;校园网络安全分析及防范措施[J];计算机安全;2010年09期
14 李小勇,刘东喜,谷大武,白英彩;DDoS防御与反应技术研究[J];计算机工程与应用;2003年12期
15 刘宁舜,陈建二,王建新;防范DDOS的IP TraceBack技术[J];信息网络安全;2003年11期
16 黄智勇,沈芳阳,刘怀亮,林志,黄永泰,周晓冬;DDoS攻击原理及对策研究[J];计算机与现代化;2004年03期
17 简清明,王兰英;Linux下DoS和DDoS攻击的防范[J];肇庆学院学报;2004年02期
18 ;透视网络流量 拒绝DoS攻击——伟世盾安专业抗DoS/DDoS设备介绍[J];计算机安全;2005年04期
19 郎轶;;校园网安全体系的构建[J];南京广播电视大学学报;2007年02期
20 姜甜甜;;浅谈DDoS[J];中国科技信息;2009年03期
中国重要会议论文全文数据库 前10条
1 李冉;黄遵国;肖枫涛;;逐层削弱DDoS攻击防御体系中客户层设计[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
2 廖鹏;;基于异常特征的DDoS检测模型[A];经济发展方式转变与自主创新——第十二届中国科学技术协会年会(第四卷)[C];2010年
3 刘明;张少波;党力明;;基于IXP1200的DDoS攻击防御系统设计与实现[A];教育部中南地区高等学校电子电气基础课教学研究会第二十届学术年会会议论文集(下册)[C];2010年
4 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
5 金素文;唐怀瓯;;SUSE LINUX操作系统的防火墙功能设计[A];2011年中国气象学会气象通信与信息技术委员会暨国家气象信息中心科技年会论文摘要[C];2011年
6 杨科;陈信男;胡华平;;CC变种攻击的设计与实现[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
7 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年
8 廉世军;武建文;;具有防火墙功能的智能化配电测控装置的研制[A];中国智能电网学术研讨会论文集[C];2011年
9 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
10 查达仁;荆继武;林璟锵;;一种网络监控系统中的快速连接恢复方法[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
中国博士学位论文全文数据库 前10条
1 郭睿;分布式拒绝服务攻击防御技术研究[D];东北大学;2008年
2 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年
3 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
4 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年
5 程杰仁;复杂场景遥感图像目标检测方法研究[D];国防科学技术大学;2010年
6 向渝;IP网络QoS和安全技术研究[D];电子科技大学;2003年
7 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年
8 李目海;基于流量的分布式拒绝服务攻击检测[D];华东师范大学;2010年
9 余杰;P2P网络测量与安全关键技术研究[D];国防科学技术大学;2010年
10 夏正敏;基于分形的网络流量分析及异常检测技术研究[D];上海交通大学;2012年
中国硕士学位论文全文数据库 前10条
1 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年
2 黄文宇;基于行为分布的DDoS攻击检测方法[D];北京化工大学;2010年
3 田开琳;低速DDoS攻击的异常检测[D];华东师范大学;2010年
4 韩超;一种基于攻击端的DDoS攻击防御方法[D];大连理工大学;2010年
5 黄强;基于分布式的DDoS攻击及防范技术研究[D];合肥工业大学;2011年
6 李海龙;基于网络连接特征的DDoS检测系统的研究与实现[D];南京航空航天大学;2009年
7 朱宏涛;基于用户信誉值防御DDoS攻击的协同模型[D];河北大学;2009年
8 朱斌;宽带运营商(省级)DDoS攻击防御平台设计与实现[D];南昌大学;2011年
9 李银锦;DDoS流量清洗系统设计与实现[D];华中科技大学;2011年
10 赵宣;基于特征分析的DDoS攻击检测技术研究[D];苏州大学;2011年
中国重要报纸全文数据库 前10条
1 本报记者 韩勖 李智鹏;百舸争流NGFW[N];计算机世界;2011年
2 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年
3 本报记者 宋家雨;对DDoS说不[N];网络世界;2005年
4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
5 ;DDoS攻击[N];人民邮电;2010年
6 ;当DDoS遇到云计算[N];网络世界;2010年
7 清水;下一代防火墙:更高速 更智能[N];计算机世界;2011年
8 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年
9 ;防御DDoS的六大绝招[N];网络世界;2002年
10 ;DoS和DDoS的“终 结 者”[N];网络世界;2003年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978