基于校園網(wǎng)的SYN Flood攻擊檢測和防御方法的研究.pdf

1、在人們不斷加深對網(wǎng)絡(luò)應(yīng)用的依賴性的同時(shí),網(wǎng)絡(luò)的可用性逐步成為人們關(guān)注的重點(diǎn)。其中讓網(wǎng)絡(luò)管理人員廣為熟知卻難以應(yīng)對的網(wǎng)絡(luò)可用性攻擊之一便是DDOS攻擊。在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下,需要結(jié)合多方面的技術(shù)防范DDOS攻擊保障網(wǎng)絡(luò)服務(wù)的安全性。因此本文將攻擊檢測與擁塞控制相結(jié)合,主要解決DDOS造成的目標(biāo)主機(jī)資源被耗盡以及網(wǎng)絡(luò)擁塞。通過這種方式針對DDOS攻擊一種常見形式——SYNFlood攻擊,提出一種基于校園網(wǎng)的SYNFlood攻擊檢測防御方法

2、。
　　 本文使用Hash函數(shù)和改進(jìn)的基于BloomFilter的信息提取算法來生成初始的統(tǒng)計(jì)序列,然后進(jìn)行早期攻擊檢測。在早期檢測中首先對統(tǒng)計(jì)序列進(jìn)行平滑處理后結(jié)合自適應(yīng)偏移常量,使之符合非參數(shù)CUSUM算法遞歸版本要求,最后需要根據(jù)正常網(wǎng)絡(luò)流量的均值情況,來實(shí)時(shí)的制定檢測閾值;確定發(fā)生攻擊時(shí),使用MULTOPS機(jī)制并結(jié)合一個(gè)記錄網(wǎng)絡(luò)端口SYN數(shù)量的BloomFilter數(shù)據(jù)結(jié)構(gòu),在檢測到攻擊存在的同時(shí),快速確定攻擊目標(biāo)以及此

3、次的攻擊強(qiáng)度,以便采用相應(yīng)的處理方法。對于重度攻擊,直接丟掉惡意數(shù)據(jù)報(bào);對于輕度攻擊,把輕度攻擊看成是即將發(fā)生網(wǎng)絡(luò)擁塞,通知路由器立即啟動(dòng)擁塞控制機(jī)制。
　　 本文進(jìn)行了大量的攻擊模擬實(shí)驗(yàn),結(jié)果表明使用BloomFilter在源端對數(shù)據(jù)包進(jìn)行旁聽檢測,可以檢測出異常流量并很好的區(qū)分網(wǎng)絡(luò)擁塞和攻擊的存在,同時(shí)統(tǒng)計(jì)到的結(jié)果中漏報(bào)與誤報(bào)情況也相對較少。通過結(jié)合擁塞控制的使用,可以在保證網(wǎng)絡(luò)能夠?qū)戏ㄓ脩籼峁┱７?wù)的基礎(chǔ)上對不同性質(zhì)的