基于郵政網(wǎng)絡(luò)防火墻體系的研究與設(shè)計(jì).pdf

1、本文的研究目的是針對(duì)郵政網(wǎng)絡(luò)的現(xiàn)狀設(shè)計(jì)具有獨(dú)特功能(算法)的防火墻體系。在研究防火墻技術(shù)和調(diào)研郵政網(wǎng)絡(luò)的基礎(chǔ)上，設(shè)計(jì)出對(duì)：DDoS防御有一定優(yōu)勢(shì)的防火墻。最終將該防火墻應(yīng)用于郵政中間業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全改造方案中。所以，本研究成果在企業(yè)網(wǎng)絡(luò)中具有較高的實(shí)用價(jià)值和較廣的應(yīng)用領(lǐng)域。 本文介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全、防火墻的系統(tǒng)結(jié)構(gòu)和關(guān)鍵技術(shù)以及Linux防火墻工具。說明了基于Linux內(nèi)核的防火墻模塊設(shè)計(jì)原理，并設(shè)計(jì)了Linux防火墻的幾個(gè)

2、與本文算法有關(guān)的功能：入侵檢測(cè)、VPN和流量管理。分析了目前最為常見也最難以防御的分布式拒絕服務(wù)攻擊(DDoS)的現(xiàn)狀。介紹了現(xiàn)有的DDoS防御對(duì)策和四類技術(shù)：減小傷害、限制流量、入口過濾和DDoS攻擊源的追蹤，重點(diǎn)介紹了DDoS攻擊源追蹤的幾種技術(shù)(鏈路測(cè)試法、隨機(jī)采樣法、動(dòng)態(tài)安全關(guān)聯(lián)跟蹤、流量記錄法)，它們對(duì)網(wǎng)絡(luò)的積極防御有著重大的意義。 本文在這些DDoS防御技術(shù)的基礎(chǔ)上進(jìn)行了創(chuàng)新，結(jié)合郵政企業(yè)網(wǎng)絡(luò)情況設(shè)計(jì)一種新的檢測(cè)算法

3、。企業(yè)的網(wǎng)絡(luò)流量是隨業(yè)務(wù)發(fā)展的趨勢(shì)變化的，分析了流量歷史數(shù)據(jù)后可以按照該趨勢(shì)預(yù)測(cè)未來時(shí)間內(nèi)網(wǎng)絡(luò)的正常流量，用該流量作為閥值，隨時(shí)與當(dāng)前流量做比對(duì)，當(dāng)前流量過大說明網(wǎng)絡(luò)流量異常，可能存在DDoS攻擊。所以，計(jì)算正常流量的閥值是關(guān)鍵。 本文依據(jù)趨勢(shì)外推法的理論基礎(chǔ)提出了一個(gè)預(yù)測(cè)流量閥值的數(shù)學(xué)模型，通過對(duì)網(wǎng)絡(luò)流量的歷史數(shù)據(jù)進(jìn)行分析選定了合適的數(shù)模，并用最小二乘法進(jìn)行推算，得到預(yù)測(cè)網(wǎng)絡(luò)正常流量閥值的公式，并對(duì)該函數(shù)可否準(zhǔn)確描述網(wǎng)絡(luò)流量的

4、擬合程度進(jìn)行了驗(yàn)證。 隨后提出了新算法-基于防火墻的路由器流量反向追蹤算法：利用防火墻檢測(cè)通過自身的當(dāng)前流量，當(dāng)流量大于預(yù)測(cè)的流量閥值時(shí)，說明可能存在DDoS攻擊，此時(shí)防火墻分析流量閥值確定路由器上當(dāng)前流量是否異常，反向追蹤DDoS攻擊源。 算法提出后，分析滿二叉樹攻擊網(wǎng)絡(luò)，滿三叉樹攻擊網(wǎng)絡(luò)情況下檢測(cè)進(jìn)程數(shù)量對(duì)反向追蹤時(shí)間的影響，分析結(jié)果并建議了該防御體系進(jìn)程的最佳數(shù)量。然后將設(shè)計(jì)的新算法與現(xiàn)有的DDoS攻擊源的追蹤技術(shù)