论文摘要
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击由于其容易实施、难以防范、难以追踪等特点成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。当前的DDoS防御系统误警率相对比较高,对合法用户造成了很大的影响。为了降低防御系统的误警率,降低对合法用户的影响,本文设计了基于路由协作的分布式拒绝服务攻击的防御系统。本文完成了以下工作。本文首先详细的介绍了DDoS攻击的原理。在DDoS攻击原理基础上,对DDoS攻击进行了分类。基于对DDoS攻击的分类,本文详细的介绍了DDoS攻击的防御方法,具体包括基于终端的防御,基于源端的防御,基于中端的防御三种防御策略。通过比较三种防御策略的优劣,引入了本文的防御方法——基于路由协作的分布式拒绝服务攻击的检测和防御。在基于中端防御的策略下,利用路由协作的思路,本文将路由器结点作为P2P防御网络的单个防御结点,每个防御结点首先根据攻击流的特征度量值计算出结点被攻击的可信度,若可信度超过一定的阈值,则判断相关的结点被攻击,并且该结点会对确定属性的流量进行限流,之后利用定向gossip通信机制将包含可信度的三元组扩散到邻结点。这种gossip通信机制可以在路由器结点之间快速的传播消息,在很短的时间内,每个结点都将获得关于攻击行为的一个全局信息,并通过此全局信息进行更加准确的限流。基于以上的理论和设计,本文实现了一个具体的防御系统。基于以上防御系统,本文进行了三组实验对系统的性能进行评估。第一组实验分别是在正常用户,没有采取相应防御措施的受攻击的用户和采取了路由协作防御措施的受攻击的用户之间进行数据包速率的比较。第二组实验是考察部署结点的增加对系统性能的影响。最后一组实验是考察由于路由协作机制而引入的额外的开销。通过实验模拟,验证了本文设计的防御系统具有低的误警率和漏警率,达到了要求。
论文目录
摘要Abstract第1章 绪论1.1 研究背景1.2 研究工作现状1.3 本文的主要工作1.4 论文的结构第2章 分布式拒绝服务攻击及其防御概述2.1 DDoS攻击原理2.2 DDoS攻击分类2.2.1 直接攻击2.2.2 反射攻击2.2.3 剧毒包攻击2.3 DDoS攻击防御2.3.1 终端防御2.3.2 源端防御2.3.3 中端防御2.4 基于路由协作的防御2.5 本章小结第3章 基于路由协作防御DDoS的关键技术3.1 基于路由协作的DDoS防御体系结构3.1.1 防御系统体系结构3.1.2 防御结点体系结构3.2 路由器的安全3.2.1 信任3.2.2 对基础设施的攻击3.3 路由协作的关键问题3.3.1 P2P网络模型3.3.2 基于gossip的数据通信3.3.3 基于P2P的分布式PKI技术3.4 本章小结第4章 基于路由协作防御DDoS的系统设计4.1 数据包的格式4.1.1 IP数据包4.1.2 TCP数据包4.1.3 UDP数据包4.2 本地防御4.2.1 攻击流的特征4.2.2 攻击流的检测4.2.3 攻击流的限流4.3 全局防御4.4 本章小结第5章 系统实现与测试实验5.1 软件工具5.1.1 NS25.1.2 Snort5.1.3 GT-ITM5.1.4 TFN5.1.5 Sysstat5.1.6 Wireshark5.2 系统实现5.2.1 防御系统拓扑图5.2.2 防御系统软硬件配置5.2.3 防御系统参数设置5.2.4 攻击客户端设置5.3 性能指标5.4 实验结果及分析5.4.1 协作机制下防御系统的防御效果5.4.2 结点部署对防御系统的影响5.4.3 Gossip概率对防御系统性能的影响5.5 小章小结第6章 结论6.1 总结6.2 展望参考文献致谢
相关论文文献
标签:路由协作论文; 定向通信论文; 防御论文; 误警率论文; 漏警率论文;
