防御拒絕服務(wù)攻擊的網(wǎng)絡(luò)安全機(jī)制研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要。拒絕服務(wù)攻擊由于容易實(shí)施、難以防范、難以追蹤等原因而成為最難解決的網(wǎng)絡(luò)問(wèn)題之一，給網(wǎng)絡(luò)安全帶來(lái)極大的危害。因此，研究拒絕服務(wù)攻擊及其對(duì)策就顯得極為重要。 本文對(duì)拒絕服務(wù)攻擊及其對(duì)策作了較深入的研究。首先研究了拒絕服務(wù)攻擊的攻擊原理、攻擊方法及其常用攻擊工具；然后對(duì)防御拒絕服務(wù)攻擊的策略進(jìn)行了比較分析，總結(jié)了各自的優(yōu)缺點(diǎn)；最后，針對(duì)拒絕服務(wù)攻擊對(duì)策中過(guò)濾、IP回溯、回推協(xié)議

2、三種不同機(jī)制，分別給出了基于攻擊流量特征聚類(lèi)的特征提取算法AFCAA、自適應(yīng)包標(biāo)記、基于匯聚流回推的DDoS防御系統(tǒng)，從而實(shí)現(xiàn)了從拒絕服務(wù)攻擊檢測(cè)、攻擊防御到攻擊追蹤的綜合防御體系。 由于一般拒絕服務(wù)攻擊數(shù)據(jù)流包頭中具有某些相似的特征，AFCAA通過(guò)運(yùn)用重心原理進(jìn)行統(tǒng)計(jì)聚類(lèi)，在一定的歐氏距離范圍內(nèi)對(duì)基于目的IP的攻擊流樣本相應(yīng)字段進(jìn)行聚類(lèi)劃分，動(dòng)態(tài)地提取出攻擊流的重心作為攻擊特征，然后及時(shí)地把其特征傳輸給Net Filter，從

3、而進(jìn)行高效的過(guò)濾。 針對(duì)現(xiàn)有包標(biāo)記方法采用固定標(biāo)記概率，導(dǎo)致受害者需要較多的數(shù)據(jù)包重構(gòu)攻擊路徑的缺點(diǎn)，文中提出了一個(gè)自適應(yīng)的標(biāo)記策略，使受害者用較少的數(shù)據(jù)包即可重構(gòu)攻擊路徑，為受害者及早地響應(yīng)攻擊爭(zhēng)取更多的時(shí)間。 基于匯聚流回推的DDoS防御系統(tǒng)是對(duì)本地路由器上的匯聚流及其上游匯聚流回推樹(shù)上第n層路由器上的匯聚流進(jìn)行分布限速，以達(dá)到抵御DDoS攻擊的目的。本文給出了匯聚流限流算法和回推匯聚流所需的反向匯聚流往返樹(shù)的構(gòu)建算