防御拒絕服務(wù)攻擊的網(wǎng)絡(luò)安全機(jī)制研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)安全問題顯得越來越重要。拒絕服務(wù)攻擊由于容易實施、難以防范、難以追蹤等原因而成為最難解決的網(wǎng)絡(luò)問題之一，給網(wǎng)絡(luò)安全帶來極大的危害。因此，研究拒絕服務(wù)攻擊及其對策就顯得極為重要。 本文對拒絕服務(wù)攻擊及其對策作了較深入的研究。首先研究了拒絕服務(wù)攻擊的攻擊原理、攻擊方法及其常用攻擊工具；然后對防御拒絕服務(wù)攻擊的策略進(jìn)行了比較分析，總結(jié)了各自的優(yōu)缺點(diǎn)；最后，針對拒絕服務(wù)攻擊對策中過濾、IP回溯、回推協(xié)議

2、三種不同機(jī)制，分別給出了基于攻擊流量特征聚類的特征提取算法AFCAA、自適應(yīng)包標(biāo)記、基于匯聚流回推的DDoS防御系統(tǒng)，從而實現(xiàn)了從拒絕服務(wù)攻擊檢測、攻擊防御到攻擊追蹤的綜合防御體系。 由于一般拒絕服務(wù)攻擊數(shù)據(jù)流包頭中具有某些相似的特征，AFCAA通過運(yùn)用重心原理進(jìn)行統(tǒng)計聚類，在一定的歐氏距離范圍內(nèi)對基于目的IP的攻擊流樣本相應(yīng)字段進(jìn)行聚類劃分，動態(tài)地提取出攻擊流的重心作為攻擊特征，然后及時地把其特征傳輸給Net Filter，從

3、而進(jìn)行高效的過濾。 針對現(xiàn)有包標(biāo)記方法采用固定標(biāo)記概率，導(dǎo)致受害者需要較多的數(shù)據(jù)包重構(gòu)攻擊路徑的缺點(diǎn)，文中提出了一個自適應(yīng)的標(biāo)記策略，使受害者用較少的數(shù)據(jù)包即可重構(gòu)攻擊路徑，為受害者及早地響應(yīng)攻擊爭取更多的時間。 基于匯聚流回推的DDoS防御系統(tǒng)是對本地路由器上的匯聚流及其上游匯聚流回推樹上第n層路由器上的匯聚流進(jìn)行分布限速，以達(dá)到抵御DDoS攻擊的目的。本文給出了匯聚流限流算法和回推匯聚流所需的反向匯聚流往返樹的構(gòu)建算