基于行為圖的洪泛攻擊溯源方法研究.pdf

1、當(dāng)前網(wǎng)絡(luò)中存在著諸多以SYN(SYNchronize)洪泛攻擊為代表的分布式拒絕服務(wù)攻擊行為,嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)作。盡管在現(xiàn)有SYN洪泛攻擊早期檢測的基礎(chǔ)上,研究人員在SYN洪泛攻擊的溯源方面開展了一些有意義的研究工作,也提出了一些有價(jià)值的方法,但究其原理和思想來看仍然沒有擺脫SYN洪泛攻擊傳統(tǒng)溯源技術(shù)的痕跡。因此,探索出行之有效的適用于SYN洪泛攻擊早期檢測與阻斷所需的SYN洪泛攻擊溯源方法,對(duì)提升網(wǎng)絡(luò)的安全性和預(yù)防網(wǎng)絡(luò)犯罪具有重

2、要的理論意義和現(xiàn)實(shí)意義。
　　根據(jù)TCP(Transmission Control Protocol)協(xié)議連接建立過程所需的三次握手工作機(jī)制和SYN洪泛攻擊的原理,引入了洪泛攻擊行為圖的概念,闡述了如何利用洪泛攻擊行為圖對(duì)存在SYN洪泛攻擊行為的TCP數(shù)據(jù)流進(jìn)行恰當(dāng)?shù)拿枋?。建立了?duì)洪泛攻擊行為圖中的目標(biāo)主機(jī)受攻擊狀況和源主機(jī)的攻擊行為進(jìn)行評(píng)價(jià)的評(píng)價(jià)方法,在此基礎(chǔ)上提出了一種基于洪泛攻擊行為圖的SYN洪泛攻擊溯源方法,解決了SYN洪

3、泛攻擊的溯源問題。
　　為提高攻擊阻斷的效率,降低阻斷操作對(duì)路由器轉(zhuǎn)發(fā)工作的性能影響,圍繞攻擊阻斷規(guī)則的制定,擬定了三條攻擊溯源結(jié)果的聚合規(guī)則,給出了相應(yīng)的聚合方法,為攻擊的早期阻斷提供了參考依據(jù)。
　　借助DARPA99數(shù)據(jù)集對(duì)基于洪泛攻擊行為圖的SYN洪泛攻擊溯源方法的有效性進(jìn)行了驗(yàn)證。實(shí)驗(yàn)結(jié)果表明,該方法能夠在洪泛攻擊早期進(jìn)行有效的溯源,為后續(xù)的攻擊早期阻斷提供了有效的依據(jù),且具體實(shí)施時(shí)易于部署,占用的時(shí)間和空間開銷都