论文摘要
最初以科研用途的计算机网络广泛应用于现在的商业活动中,使这种开放互联的计算机网络面临着巨大安全问题。拒绝服务攻击是目前网络攻击中最难以防御的攻击,由于网络中存在很多容易被控制的主机,使得分布式拒绝服务(DDoS)攻击危害的越来越大。在几年前就开始了DDoS攻击的防御研究,但目前仍无有效的DDoS防御措施,而此类攻击又朝着多样化发展,如隐蔽DDoS攻击、反射DDoS攻击与大规模DDoS攻击。由于大规模DDoS攻击的出现频繁,而且危害极严重,因此大规模DDoS攻击与防御是本课题主要研究对象。对不同传输协议的DDoS行为特征进行试验研究,得出了在DDoS攻击与防御两方面UDP流量都强于TCP流量,增加途径缓冲深度对减弱攻击影响情况。实验还得到可以量化对DDoS攻击效果的攻击时间,并将最短攻击时间作为评估防御系统的有效性的量化参数,将此作为防御系统的一个评估参数。对网络安全的工程设计有重要的参考价值。现存DDoS攻击防御措施多数只部署在受害者端,当流量过大,防御系统设置增加终端负担,从而使目标终端的网络拥塞。本文从整个Internet网络结构入手,找出对付大规模DDoS攻击的最佳防御点,在攻击源端的区域ISPs网络与受害者的区域ISPs网络进行联合防御结构,而在这些ISPs网络内进行分布分级的防御思路,从而形成了基于区域ISPs网络的分布防御系统,即RIDD系统。该系统综合了异常检测与数据包分类方法优点,避免他们部署上的不足。根据防御系统的及时性参数对这个防御系统进行了可行性论证,并提出部署该系统的惩罚机制。提出在我国的CERNET网中应用RIDD防御大规模DDoS攻击的方案。本文主要贡献:1)通过实验得出DDoS行为定量特征,弄清楚了DDoS带宽攻击的特性。2)得出评估DDoS防御系统有效性的量化方法。3)提出防御大规模DDoS攻击的分布防御系统,该防御快速、准确、有效。4)对RIDD防御系统做了可行性分析与RIDD系统的部署建议。
论文目录
摘要ABSTRACT第一章 绪论1.1 课题研究背景1.2 课题的内容及目标1.3 课题研究的意义1.4 本课题贡献1.5 本文的组织结构第二章 DDoS攻击及防御的分析2.1 DDoS攻击原理及概述2.1.1 DoS攻击原理及概述2.1.2 DDoS攻击原理2.1.3 DDoS攻击实施过程2.2 DDoS攻击的研究2.2.1 DDoS攻击种类2.2.2 DDoS攻击的常用工具介绍2.2.3 DDoS攻击的特点及趋势2.2.4 DDoS攻击的研究现状2.3 DDoS防御的研究2.3.1 防御DDoS攻击的常规方法2.3.2 DDoS防御研究现状2.3.3 常见DDoS攻击防御的分类2.4 本章小结第三章 DDoS攻击行为的实验分析3.1 引言3.2 DDoS攻击网络仿真3.2.1 NS-2仿真工具介绍3.2.2 长相关流量模型3.3 DDoS攻击仿真实验分析3.3.1 DDoS攻击网络仿真实验模型3.3.2 不同传输协议的DDoS行为特征3.3.3 不同攻击强度的DDoS行为特征3.3.4 不同网络带宽对攻击时间影响3.3.5 增加中间设备资源对攻击影响3.3.6 Ta的模型3.4 DDoS攻击特性分析的结论第四章 大规模DDoS攻击的分布防御系统4.1 大规模DDoS攻击的防御位置4.2 大规模DDoS的防御结构4.2.1 RIDD的防御思想4.2.2 RIDD系统的应用结构4.3 DDoS攻击的检测4.3.1 异常流量检测4.3.2 异常流量检测实现4.4 攻击数据包的响应4.4.1 数据包分类器4.4.2 数据包分类实现算法4.5 RIDD系统的可行性分析4.6 RIDD系统的部署4.6.1 在一个区域ISP内的整体应用结构4.6.2 RIDD与NGN的完美结合4.6.3 针对我国大规模DDoS攻击防御部署建议4.7 本章小结第五章 总结及展望5.1 本课题的工作5.2 展望附录附录1 一个完整NS脚本程序附件2 awk的数据处理程序参考文献作者在攻读硕士学位期间公开发表的论文作者在攻读硕士期间参加的科研项目致谢
相关论文文献
标签:网络安全论文; 攻击论文; 攻击时间论文; 防御时间论文; 分布防御论文; 异常检测论文;
