DDoS防護(hù)技術(shù)研究.pdf

1、拒絕服務(wù)（DoS）和分布式拒絕服務(wù)（DDoS）攻擊是目前破壞互聯(lián)網(wǎng)安全的最常見手段。攻擊發(fā)生時(shí)，分散在各處的傀儡機(jī)發(fā)出大量數(shù)據(jù)包涌向受害主機(jī)或服務(wù)器，引發(fā)網(wǎng)絡(luò)鏈路堵塞，使網(wǎng)絡(luò)和服務(wù)器陷入癱瘓，帶來嚴(yán)重后果和損失。如何有效的防御對(duì)抗DDoS攻擊，一直是近年來網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。特別在骨干網(wǎng)環(huán)境下，如何高效、準(zhǔn)確而快速地檢測到攻擊，并對(duì)攻擊流量加以清洗過濾，是DDoS攻擊防御面臨的重要挑戰(zhàn)。
　　本文首先對(duì)DDoS攻擊的概念、原理

2、、分類及常用的攻擊工具做了概括和描述，從攻擊的檢測、預(yù)防和響應(yīng)三個(gè)方面對(duì)DDoS攻擊防御當(dāng)前已有的一些方法進(jìn)行了研究和探討。第一，提出了分層鑒別復(fù)合檢測DDoS攻擊的算法，將粗粒度與細(xì)粒度的檢測方式聯(lián)合起來對(duì)攻擊進(jìn)行協(xié)同檢測與鑒別。設(shè)計(jì)了基于CUSUM算法的地址熵檢測算法，通過異常流量檢測在宏觀層面上感知攻擊發(fā)生。使用了應(yīng)用層擁塞近似感知檢測算法，通過TCP載荷報(bào)文的RTT測量對(duì)應(yīng)用層擁塞狀態(tài)進(jìn)行評(píng)估，以協(xié)同輔助進(jìn)行攻擊的檢測。第二，提

3、出了分層處理清洗攻擊流量的算法，對(duì)DDoS攻擊依照可檢測程度進(jìn)行不同的清洗處理。使用了基于流自相似度的攻擊流量識(shí)別算法，觀察通往嫌疑受害者處的流量，從攻擊的行為方式入手，通過判別流自身相似度來辨別流量是否為攻擊流量。對(duì)識(shí)別不出來的攻擊流量根據(jù)檢測出的應(yīng)用層擁塞程度進(jìn)行限速處理。多層次結(jié)合保證攻擊流量得到有效全面的清洗。第三，基于提出的攻擊檢測和流量清洗算法，構(gòu)建了DDoS實(shí)時(shí)防御原型系統(tǒng)。實(shí)驗(yàn)表明，本文所提方法是對(duì)傳統(tǒng)防御方法的有益補(bǔ)充