基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究.pdf_第1頁(yè)
已閱讀1頁(yè),還剩150頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、由于易于實(shí)施、危害嚴(yán)重且難于防御,拒絕服務(wù)攻擊(Denial of Service,DoS)已成為目前互聯(lián)網(wǎng)面臨的最為嚴(yán)重的威脅之一,作為其分布式形式的分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)危害更大,因此已經(jīng)成為互聯(lián)網(wǎng)安全研究亟待解決的重點(diǎn)問題之一。
   在對(duì)國(guó)內(nèi)外當(dāng)前的DDoS攻擊的分類和DDoS防御技術(shù)研究現(xiàn)狀綜述的基礎(chǔ)上,本文提出了根據(jù)DDoS攻擊的特定網(wǎng)絡(luò)流量特征,進(jìn)

2、行DDoS攻擊檢測(cè)的系列方法。本文主要針對(duì)DDoS洪泛攻擊,并將其分為連接阻塞攻擊和普通洪泛攻擊。針對(duì)連接阻塞攻擊流量存在周期性突發(fā)的特點(diǎn),本文提出了以字節(jié)速率作為采樣方法,通過頻域分析,以功率譜密度作為統(tǒng)計(jì)手段,以低頻功率和作為檢測(cè)指標(biāo)的檢測(cè)方法,對(duì)連接阻塞攻擊具較低的誤差和可行的效率;利用普通洪泛攻擊破壞服務(wù)器出入口雙向流量的相關(guān)性的特點(diǎn),本文提出了使用擴(kuò)展的第一次連接密度作為采樣指標(biāo),采用互相關(guān)函數(shù)作為相關(guān)性表征指標(biāo),通過模糊邏輯

3、分類器學(xué)習(xí)和檢測(cè)普通洪泛攻擊的方法,具較低的誤報(bào)率和漏報(bào)率;由于普通洪泛攻擊中多個(gè)攻擊源因采用相同或相似工具和參數(shù)發(fā)起攻擊,因而產(chǎn)生的攻擊流量具有相似性,流量?jī)?nèi)部相關(guān)性也要大于合法流量,本文的方法采用統(tǒng)計(jì)距離來衡量流量問相似性,采用哥洛夫復(fù)雜度計(jì)算流量的內(nèi)部相關(guān)性,從而能更有效地區(qū)分單個(gè)攻擊流和單個(gè)合法流,實(shí)現(xiàn)細(xì)粒度的攻擊識(shí)別。
   在DDoS攻擊響應(yīng)方面,本文提出了基于流量控制的DDoS攻擊響應(yīng)技術(shù)。由于連接阻塞攻擊流量具有

4、周期性突發(fā),流量均衡將能有效降低其攻擊效果,因此本文提出了多入口流量均衡的響應(yīng)方法,將受害主機(jī)上游鏈路帶寬在路由器多個(gè)入口鏈路之間分配,以極低的代價(jià)保證合法流量的合理的吞吐量;連接阻塞攻擊中的周期性突發(fā)流量可以通過增大路由器緩存大小得到平滑,因此本文提出了在受害主機(jī)上游路由器處通過漏桶和包隊(duì)列結(jié)合的方式,在不明顯增加傳輸延時(shí)的情況下平滑攻擊流量,實(shí)現(xiàn)對(duì)連接阻塞攻擊的防御;在普通洪泛攻擊方面,本文提出了以自治域?yàn)閱挝坏幕诙噘Y源最大最小公

5、平的分布式流量均衡機(jī)制,在該機(jī)制中,自治域邊界路由器負(fù)責(zé)根據(jù)流量對(duì)受害機(jī)的資源的消耗,對(duì)流向受害機(jī)的流量進(jìn)行限流,且周期性接收受害機(jī)的反饋信息以調(diào)整限流閾值,從而能夠有效保護(hù)受害機(jī)的帶寬和處理器資源。
   在DDoS攻擊預(yù)防方面,本文提出了基于自治域驗(yàn)證的動(dòng)態(tài)權(quán)證機(jī)制,通過基于自治域的兩級(jí)權(quán)證機(jī)制,降低了現(xiàn)有權(quán)證體系的開銷;針對(duì)現(xiàn)有權(quán)證體系中大流量連接需要頻繁申請(qǐng)資源,傳輸效率較低的問題,采用結(jié)合歷史信息的權(quán)證資源動(dòng)態(tài)分配機(jī)制

6、,從而可以在滿足安全性要求的前提下提高傳輸效率;針對(duì)現(xiàn)有權(quán)證體系無法有效預(yù)防連接阻塞攻擊的問題,采用控制權(quán)證狀態(tài)存活時(shí)間上限的流量驗(yàn)證機(jī)制,來抑制連接阻塞攻擊產(chǎn)生的突發(fā)流量,實(shí)現(xiàn)對(duì)其的預(yù)防。實(shí)驗(yàn)表明該預(yù)防體系比原有權(quán)證體系具更低的傳輸開銷并能有效防御更多DDoS攻擊的變種。
   最后,基于以上技術(shù),本文提出了以自治域?yàn)閱挝坏姆烙w系。自治域內(nèi)各種元素能有效交互以檢測(cè)和響應(yīng)攻擊,且自治域間積極交互提升防御效果,體系支持遞增部署,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論