论文题目: 针对TCP协议的分布式拒绝服务攻击的防范方法研究
论文类型: 博士论文
论文专业: 计算机软件与理论
作者: 陈伟
导师: 何炎祥
关键词: 网络安全,分布式拒绝服务攻击,变化点检测,主动探测,反向散射检测
文献来源: 武汉大学
发表年度: 2005
论文摘要: 分布式拒绝服务(DDoS: Distributed Denial of Service)攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,针对一个或多个目标发动攻击。因为DDoS使用分布协作的大规模攻击方式,从而成倍地提高了拒绝服务攻击的威力。它主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。据调查,DDoS攻击中90%以上的攻击是针对TCP协议的,因此研究防范此类DDoS攻击对保护Internet的安全性和稳定性具有重要意义。DDoS攻击的防范方法研究吸引了广大学者的注意力,但目前依然缺乏有效的防范机制。DDoS攻击采用分布协作的方式,最佳的防范方法应是分布式检测与响应机制,然而当前的Internet采用一种松散的管理方式,不同的网络使用不同的网络拓朴结构和网络安全策略,异构的体系结构给设计分布式防范方法带来技术性困难。而部署问题是分布式防范方法另一个不可回避的现实困难。当前的Internet服务由不同的网络服务商提供,而大规模的分布式部署涉及到众多网络服务商的利益,因此分布式的防范方法还面对更多的非技术性困难。本文提出的防范方法的基本思想是在网络的不同位置使用独立的检测和响应机制,不依赖于其它子网的合作和网络基础设备的支持,这种独立的防范方法有着重要的现实意义。独立的检测方式给不同位置的防范方法带来不同挑战,本文分别针对各自的困难给出了解决办案,提出了适合不同位置的防范方法:在攻击源端的防范方法,在受害者端的防范方法和在无辜子网端的防范方法。1.提出攻击源端的轻量级检测方法。因为DDoS是从多个攻击源发起的分布式攻击,虽然当攻击数据在受害服务器端聚集后数据量很大,但在每一个攻击源端的数据相对较少,因此在这端进行防范的最大困难是不易区分攻击数据和正常数据。一方面为了达到准确的检测效果,需要记录更多的网络数据信息,意味着消耗更多的存储资源和计算资源,另一方面为了能吸引更多的网络服务商参与防范,要求尽量少的消耗网络服务商的资源。因此在保证准确检测的前提下,我们提出一种使用少量的存储空间和计算资源的轻量级方法。该方法使用基于Bloom filter的数据结构来提取网络信息,只需要固定长度的存储单元,避免DDoS攻击对动态存储结构的潜在威胁。同时检测方法中主要使用加减运算,只要求少量的计算开销,这样不会给处于攻击源端的网络服务商带来明显的性能下降。在提取的网络信息基础上使用变化点检测的方法(change-point detection)来发现网络信息序列中的分布规律的变化,由此来准确的发现攻击源端的DDoS攻击。在发现DDoS攻击后,还可以进一步分析攻击数据流中使用IP伪装技术的情况,将其分为随机伪造,子网伪造,固定伪造,
论文目录:
摘要
Abstract
第一章 引言
1.1 分布式拒绝服务(DDoS)的概念
1.1.1 DDoS 攻击的基本过程
1.1.2 常见的DDoS 攻击工具
1.2 国内外研究现状
1.3 现有方法中存在的问题
1.4 本文的贡献
1.5 本文的组织结构
第二章 DDoS 攻击与防范方法的分类
2.1 DDoS 攻击的概述
2.2 DDoS 攻击的分类
2.2.1 按自动化程度分类
2.2.2 按利用的弱点分类
2.2.3 按攻击频率分类
2.2.4 按伪造IP 方式分类
2.2.5 按受害者类型分类
2.3 DDoS 防范研究的概述
2.4 DDoS 防范方法的分类
2.4.1 按防范行为分类
2.4.2 按检测方法分类
2.4.3 按部署位置分类
2.4.4 按协作程度分类
2.5 本章小结
第三章 攻击源端的轻量级防范方法
3.1 DDoS 攻击的特征分析
3.1.1 TCP 协议分析
3.1.2 DDoS 攻击期间出现的不对称关系
3.2 基于Bloom filter 的信息提取方法
3.2.1 Bloom filter 的基本思想
3.2.2 函数设计
3.2.3 检测中使用的数据表
3.3 基于变化点检测的DDoS 检测方法
3.3.1 变化点检测的思想
3.3.2 序列模型及检测方法
3.4 响应方法
3.4.1 对IP 伪造技术分类
3.4.2 采用不同的响应方法
3.5 本章小结
第四章 受害者端的主动防御方法
4.1 主动防御方法
4.1.1 半开连接分析
4.1.2 DARB 延时测试方法
4.1.3 评估半开连接
4.1.4 在攻击早期使用主动方法检测
4.2 基于TTL 的带宽限制策略
4.2.1 TTL 字段
4.2.2 减少副作用的带宽限制方法
4.2.3 DDoS 响应系统的体系结构与策略
4.3 本章小结
第五章 无辜子网端的反向散射检测方法
5.1 基于Bloom filter 的检测方法
5.2 误警率和漏警率分析
5.2.1 漏警率
5.2.2 误警率
5.3 扩展的反向散射检测
5.3.1 反弹式DDoS 攻击
5.3.2 反弹式DDoS 攻击的防范方法
5.4 其它相关问题
5.4.1 反向散射检测和受保护服务器的关系
5.4.2 反向散射检测与攻击源端检测的关系
5.4.3 不对称路由问题
5.5 本章小结
第六章 实验评测
6.1 攻击源端防范方法的实验评测
6.1.1 Hash 函数的性能评测
6.1.2 淹没攻击检测实验
6.1.3 对伪造技术的分类
6.1.4 和同类工作的比较
6.2 受害者端防范方法的实验评测
6.2.1 主动检测方法的性能评测
6.2.2 响应方法的性能评价
6.2.3 和同类工作的比较
6.3 无辜子网端检测方法的实验评测
6.3.1 反向散射检测方法的性能评估
6.3.2 SA 评估函数对误警的容忍评测
6.3.3 扩展方法对反弹式DDoS 攻击检测的性能评估
6.4 本章小结
总结与展望
参考文献
图表索引
已发表或录用的论文
参与项目
致谢
发布时间: 2006-12-28
参考文献
- [1].大规模网络资源消耗型攻击的检测和防范方法研究[D]. 陈博.哈尔滨工业大学2007
相关论文
- [1].大规模网络蠕虫检测与传播抑制[D]. 王平.哈尔滨工业大学2006
- [2].入侵检测系统性能提高新技术研究[D]. 金舒.南京理工大学2006
- [3].在线公钥系统及相关安全技术研究[D]. 虞淑瑶.中国科学院研究生院(计算技术研究所)2005
- [4].网格计算中信任模型及其应用研究[D]. 王东安.中国科学院研究生院(计算技术研究所)2006
- [5].基于免疫遗传算法的入侵检测系统研究[D]. 刘刚.铁道部科学研究院2006
- [6].入侵检测与安全防御协同控制研究[D]. 王文奇.西北工业大学2006
标签:网络安全论文; 分布式拒绝服务攻击论文; 变化点检测论文; 主动探测论文; 反向散射检测论文;