论文部分内容阅读
分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击如今是Internet上的头号威胁,已经给Internet造成了极大的经济损失,严重影响了网络应用向更深、更广的方向发展。由于Internet具有开放性,网络上存在大量的自我防御较差、安全性较低的主机,这使得攻击者可以利用大量傀儡机对攻击目标实施猛烈攻击。DDoS攻击与传统的DoS攻击相比,具有更强的破坏力、更好的隐蔽性、更难防御和追踪。 目前,针对DDoS攻击的防御策略有很多,主要分为四类:基于源端网络的防御策略、基于中间网络的防御策略、基于受害端网络的防御策略及分布式防御策略。前三类研究的较多、较为成熟,已有很多成熟的技术和产品,在一定程度上可以抑制DDoS攻击,降低DDoS攻击造成的损失,但是单点部署时,防御效果并不理想,具有较高的误报率和漏报率。分布式防御策略运用分布式技术,部署覆盖源端网络、中间网络及受害端网络的全局防御方法,能够达到较好的防御效果。然而,该御策略研究较少,目前还不成熟。 针对上述情况,基于前人研究的基础上,本文做了四个方面的工作:一是,对DCD方案中构造CAT树算法进行了改进,通过修改数据结构,添加状态信息字段,能够防止“无效”节点加入,降低了CAT树的复杂度,提高了有效性;二是,提出了基于动态门限的带权CAT分布式检测方案(简称WCAT方案)。该方案基于DDoS定义、引入权重概念、采用动态门限设定机制,克服了DCD方案存在的系统开销大、漏报率高、门限设置不灵活等缺陷,提高了检测效率和检测的精度;三是,基于以上两点,设计了覆盖源端、中间网络及受害端网络的分布式检测与防御模型,阐述了该模型的防御思想及防御过程,并详细讲述了各个模块的功能及理论实现;四是,仿真实验验证。本文运用OPNET网络仿真工具模拟了包交换过程,验证了基于源端主机的检测方法的可行性和正确性。 为了验证方案的性能,做了大量的相关实验,并进行了理论分析。分析结果表明该方案是可行的、正确的,能够有效防御DDoS攻击。