论文部分内容阅读
分布式拒绝服务(DDoS)攻击是近年来常见的一种规模大,破坏性强,防御困难的攻击手段。传统的DDoS主要利用了TCP/IP协议自身的漏洞进行攻击。现今,IPv6代替IPv4成为新一代的网络层协议是必然的趋势。IPv6在地址空间、寻址方式、QoS以及可扩展性等方面较IPv4都有明显的优势,特别是将IPSec作为必备协议从而大大提高了IPv6自身的安全性。IPv6的这些改进使得许多利用IP协议漏洞进行攻击的DDoS失去作用。
但是,攻击者的攻击手段层出不穷,脉冲调制拒绝服务攻击(也称ShrewDDoS攻击)就是一种在IPv6下传统防御策略无法防范的低频DDoS攻击。本文在研究了传统DDoS防御方法和ShrewDDoS攻击特征的基础上,利用协同异常检测方法来检测合法流中是否包含Shrew攻击流,并提出了Shrew过滤算法对检测到的Shrew攻击流进行过滤以达到防御ShrewDDoS的目的,最后在NS-2仿真器中对检测及过滤方法进行了仿真实验,实验结果表明本文提出的基于自相关序列频域特性的ShrewDDoS检测及过滤方法是可行并且有效的。
本文首先介绍了IPv4协议的局限性和IPv6协议的优势;然后阐述了传统DDoS攻击的类型、攻击原理及其防御方法;之后对ShrewDDoS攻击进行了深入研究,介绍了ShrewDDoS攻击的原理和特征,在此基础上提出了协同异常检测方法和shrew过滤算法并进行仿真验证。