论文部分内容阅读
分布式拒绝服务(DDoS)攻击是目前Internet面临的主要安全威胁之一。现有的传统防御措施如防火墙、入侵检测系统等只能被动地抵御攻击,防御效果不是很理想。DDoS攻击分布式的特点亟需一个分布式的防御体系。攻击源追踪是一种能够定位攻击来源的新防御技术。它是实现DDoS攻击分布式防御的一个重要环节,也是网络犯罪取证技术发展中的一种关键技术手段。本文围绕分布式拒绝服务攻击中的攻击源追踪问题展开了深入的研究和探讨。通过对各种攻击形式及防御措施的分类,本文剖析了DDoS攻击的原理,指出攻击源追踪技术在DDoS攻击防御中的重要作用和意义,并分析了攻击源追踪所面临的挑战。在对攻击源追踪问题明确定义并介绍追踪技术研究现状的基础上,指出追踪技术的发展目前主要面临的三大问题,包括追踪速度、追踪系统的安全与部署、追踪技术应用三个方面。围绕这三大问题,本文的主要工作和贡献如下。1.追踪速度的提高针对追踪速度问题,相继提出了三种速度更快的追踪算法,包括“自适应边标记算法”,“日志辅助的随机包标记算法”以及“无日志的快速追踪算法”。理论分析和实验结果表明这些算法在追踪速度上都比原来的算法有所提高。(1)基于反向确认的攻击源追踪模型在分析传统的随机包标记算法——高级包标记算法(AMS)的基础上,提出一种基于反向确认的攻击源追踪模型。该模型不再需要AMS过强的假设前提。为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果表明该算法不仅收敛时间更短,而且比AMS算法更稳定。(2)基于日志辅助的随机包标记算法进一步的研究表明较低的标记包利用率是制约以往随机包标记法的追踪速度进一步得到提高的主要原因。针对标记包利用率较低的问题,提出基于日志辅助的随机包标记算法——LAPPM算法。该算法不仅通过日志技术提高了标记包利用率,加快了追踪速度,而且日志量比其它日志法小得多。(3)无日志的快速追踪算法为了避免LAPPM算法中日志传输占用额外的网络通信带宽,提出一种无日志的快速追踪(LFIT)算法。该算法不仅保持了与LAPPM算法相当的追踪速度,而且利用带内通信的方式实现标记信息的收集。另外,该算法还通过引入流标签将传统的包追踪转变为对流的追踪。2.追踪系统的安全与部署追踪系统的安全保障与部署问题是阻碍当前攻击源追踪技术实用化和进一步发展的主要因素。针对传统的端追踪方案在这两方面存在的问题,提出一种层次结构的攻击源追踪(HITS)系统。在HITS系统的设计中,通过转换追踪主体,利用服务-消费的利益驱动模式,使追踪过程的各参与方都能从中获益,为追踪系统的部署构建了一个良好的激励机制,为追踪技术走上良性循环的发展道路奠定必要的基础。另外,追踪过程的安全保障一直是一个比较难解决的问题。已有的一些解决方法也只能解决局部安全问题。本文结合HITS系统的结构和运作机制对追踪过程的安全性保障给出了一个全程解决方案,包括HITS子系统域内通信的安全、追踪请求和结果的认证、以及追踪信息(标记信息)的认证等。根据分析可以看出这些安全措施能有效地保证追踪过程的安全性和追踪结论的可信度。HITS系统灵活的安全保障和部署机制为跨域协作追踪提供了基础。3.追踪技术的应用针对目前追踪技术应用研究相对较少的现状,尝试将追踪技术应用于流量限速技术中,提出一种基于IP回溯的限流算法。根据攻击源追踪结果该算法不仅可以使限流措施部署在更恰当的位置,而且可以减少对合法流的误限,从不同程度上提高合法包的存活率。本文还针对目前限流方法普遍存在的一些问题提出一种基于Overlay的分布式限流框架(O~2-DN)。通过该框架不仅能保证限流过程的安全和可信,而且也为跨域的分布式限流提供了一个协作的平台。