一種層次化多閾值DDoS防御模型研究.pdf

1、傳統(tǒng)網(wǎng)絡(luò)的DDoS檢測(cè)防御模型設(shè)計(jì)一般將模型部署在網(wǎng)絡(luò)鏈路和受保護(hù)目標(biāo)之間，并把檢測(cè)防御模型中的統(tǒng)計(jì)、計(jì)算、過濾功能都集中在安全設(shè)備端。整個(gè)檢測(cè)防御模型沒有利用網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算能力。
　　本文通過研究各類常見的DDoS攻擊防御技術(shù)，通過分析選擇了適用性較為寬廣、可以抵御未知種類DDoS攻擊以及混雜型DDoS攻擊的基于異常流量統(tǒng)計(jì)的包過濾DDoS檢測(cè)防御方法。在充分考慮現(xiàn)有的各類DDoS攻擊防御技術(shù)的基礎(chǔ)上，本文推出了基于NetFlo

2、w技術(shù)的DDoS攻擊防御方案。闡述了利用NetFlow檢測(cè)網(wǎng)絡(luò)DDoS異常流量以及在將DDoS防御機(jī)制部署在骨干網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)防御的技術(shù)特點(diǎn)。傳統(tǒng)防御模型由于骨干網(wǎng)絡(luò)的節(jié)點(diǎn)設(shè)備的本身的計(jì)算能力不足，不能有效形成分布式的連接組合防御大規(guī)模的DDoS攻擊。而在骨干網(wǎng)絡(luò)部署監(jiān)測(cè)防御機(jī)制也會(huì)影響骨干網(wǎng)絡(luò)本身的網(wǎng)絡(luò)包的轉(zhuǎn)發(fā)和控制功能而影響過濾的效率。為解決這一核心問題本文提出利用網(wǎng)絡(luò)節(jié)點(diǎn)的NetFlow統(tǒng)計(jì)能力，將其部署在檢測(cè)位置最合適的骨干網(wǎng)絡(luò)中

3、，其解析計(jì)算部署在附加計(jì)算模塊中，最后由計(jì)算模塊給予的閾值在防火墻端直接實(shí)現(xiàn)過濾功能的層次化多閾值包過濾的DDoS防御模型。從而實(shí)現(xiàn)了統(tǒng)計(jì)、計(jì)算、過濾的功能由集中到分離層次化的DDoS檢測(cè)防御模型。
　　在閾值生成部分，本文選取了基于流量分析和閾值策略的防范機(jī)制使用單閾值或雙閾值來判斷攻擊行為。在通過NetFlow網(wǎng)絡(luò)流量統(tǒng)計(jì)生成閾值后，本文提出基于驗(yàn)證過濾結(jié)果、通過設(shè)計(jì)回收圈機(jī)制對(duì)過濾閾值進(jìn)行反饋性計(jì)算算法，由此實(shí)現(xiàn)了防御模型過