基于IP地址檢測的DDoS攻擊防御方法研究.pdf

1、DDoS攻擊是當今互聯(lián)網(wǎng)安全的主要威脅之一，由DDoS攻擊引起的網(wǎng)絡安全事件層出不窮。隨著當今互聯(lián)網(wǎng)鏈路速率和帶寬的不斷增加，在現(xiàn)有硬件條件下維持通過鏈路的所有連接狀態(tài)變得越來越困難。如何找到一種輕量級的實時在線DDoS防御方法成為研究者越來越關注的問題。 本文研究在深入測量分析當前網(wǎng)絡業(yè)務特點和流量特征的基礎之上，根據(jù)實際鏈路的測量結果中得出的網(wǎng)絡中數(shù)據(jù)包源IP地址和最終TTL值之間的映射關系保持穩(wěn)定的特性，提出了一種基于IP

2、地址檢測和主機安全指數(shù)的輕量級實時在線DDoS防御方法。該方法利用數(shù)據(jù)包IP頭部中包含的源IP地址和最終TTL值之間的映射關系描述數(shù)據(jù)包發(fā)送主機在鏈路中的邏輯位置，通過訓練階段與檢測階段中數(shù)據(jù)包源IP地址和最終TTL值之間映射的對比結果判定數(shù)據(jù)包源IP地址是否被偽造。同時，本文分析當前網(wǎng)絡環(huán)境下流量特征的變化及其對基于IP地址檢測的影響。由于當前網(wǎng)絡流量的動態(tài)性不斷增強，基于IP地址檢測的DDoS防御系統(tǒng)的訓練效果受到嚴重影響。因此在本

3、文的研究中引入了主機安全指數(shù)作為量化當前鏈路遭受攻擊概率的重要參數(shù)，通過計算鏈路當前的主機安全指數(shù)并將其與事先確定的閾值比較確定當前系統(tǒng)是否遭受攻擊。 本文同時給出了該防御方法在Linux上的原型系統(tǒng)設計，詳細介紹了系統(tǒng)各模塊的功能劃分和設計實現(xiàn)方法。在基于TTL值的偽造IP地址檢測中，使用Bloom Filter作為系統(tǒng)訓練數(shù)據(jù)集合的存儲結構，降低了檢測階段系統(tǒng)的存儲和查找的時間和空間開銷，同時使得系統(tǒng)更加易于硬件實現(xiàn)。同時給

4、出了一種簡單可靠的哈希函數(shù)設計，該哈希函數(shù)僅僅包含18次與操作和10次移位操作。這使得系統(tǒng)檢測性能大幅提升。基于內核鏈表實現(xiàn)的懷疑主機列表在提高系統(tǒng)可靠性的同時將系統(tǒng)開銷降至最低。 實驗結果表明，使用該方法可以顯著提升系統(tǒng)檢測的準確性。在當前網(wǎng)絡環(huán)境下HCF的誤判率超過40％，而同樣環(huán)境下應用本文中方法的誤判率僅為2％，且系統(tǒng)誤判率不隨攻擊強度變化而變化，隨訓練時長變化較小(少于超過l％)。性能方面，系統(tǒng)平均處理一個數(shù)據(jù)包平均需