论文部分内容阅读
随着人们对计算机网络的依赖性不断增强,网络安全越来越受到重视。分布式拒绝服务攻击(DDoS, Distributed Denial of Service)由于其分布式的特性,具有强大的破坏力,而且防范困难。目前对DDoS攻击的防御策略有基于源端、受害端和中间网络三种防御策略。对于这三种策略,目前已有许多成熟的技术,如基于受害方网络的入侵检测系统、DDoS防火墙,基于中间网络的核心路由器包过滤技术等。针对DDoS防御,虽然已有很多研究性的或者已经商业化的DDoS防御系统,但是针对DDoS的很多问题并没有得到很好的解决。本文从尚未解决的问题入手,首先从以下两方面进行分析研究。(1)阐述DDoS的根源及DDoS的发展变化,对DDoS的攻击原理、攻击工具、攻击分类及防御方法做了细致的分析,为DDoS防御提供了基本的依据,并且深入分析了现存的解决方案。(2)深入探讨了千兆级DDoS防火墙研制开发和高速网络带宽耗尽DDoS防御方法,和第三方DDoS主动防御策略模型。设计实现了DDoS防火墙和防御算法应对分布式攻击。然而DDoS防火墙和防御算法并不是阻止DDoS攻击的完整解决方案。本文主要阐述了受害端防御(以防火墙的形式实现),中间网络防御和第三方防御,以上方法均能有效地检测并防御DDoS,同时并没有以牺牲系统性能为代价,在攻击过程中能够给合法流量提供优质服务。通过研究高速网络DDoS防御的特点,提出了基因过滤算法。主要针对高速网络环境不能采用低速过滤设备的特点,采用路由器过滤带宽耗尽DDoS攻击流量,用统计的方法为路由器路由的流量分配权重。主要利用遗传算法在路由器上过滤流量,从而得到最大的有效流量。最后,在真实的网络环境中验证了其可行性和有效性,讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。结合全网防御特征,首次提出了DDoS的第三方防御方法。应用微分对策理论,提出防止DDoS应该采取主动策略,如果第三方占有足够的资源,能够和攻击者抗衡,则针对受害网络或服务器的DDoS防御将能够取得成功。建立了一个基于微分对策的DDoS对抗模型,此模型包含以下四个部分:Attacker, Defender, Victim, Botnet。本文认为Victim应该与Defender协同工作来抵御DDoS,采用微分对策决定Defender至少需要控制多少Bot才能有效抵御DDoS。最后,通过NS2网络环境中的仿真研究,验证了其效果,并讨论分析了算法模型的特点和适用范围,以及进一步的研究内容。目前的DDoS防火墙设备均采用ASIC或X86架构,而没有基于专用网络处理器的DDoS防火墙, NP (Network Processer网络处理器)同时具备了ASIC和X86架构的优点。针对DDoS防火墙现存的防御问题和IXP2400结构特点,设计了千兆DDoS防火墙,提出了高层协议统计分析算法、应用层主动防御算法、有状态Bloom Filter算法。并在真实的网络攻击环境中验证了其可行性和有效性。NP架构的DDoS防火墙的特点是单台防御能力强,受到攻击时负载轻,不占用出口带宽,对于TCP/UDP的小包和大包处理效率高,针对应用层DDoS防范效果好。