论文部分内容阅读
Internet在人们日常生活中扮演着越来越重要的角色.一份来源于国际电信联盟和经济合作与发展组织的报告表明,目前全球互联网用户总数已超过10亿,其中8.45亿用户经常上网,同时,企业、学校、社会各个机构都离不开Interact。Internet已深入到社会生活的方方面面,成为社会影响力大、发展前景广阔的新型产业和新型媒体。而由此产生的网络安全问题也日益突出。病毒、蠕虫、木马程序在网络上泛滥横行,给个人用户和企业造成了巨大的损失。
拒绝服务攻击是目前网络攻击中最难以防御的攻击,由于网络中存在很多容易被控制的主机,使得分布式拒绝服务(DDoS)攻击的危害越来越大。目前全球对DDoS攻击进行防范、检测和反击的研究工作没有实质性的重大突破,没有能准确及时预测DDoS攻击发生的有效方法,DDoS攻击的分析和防御是当前网络安全领域的重要前沿。
本文阐述了DDoS攻击的基本原理,常见的攻击工具和攻击方式,重点对典型的TCPSYN Flood、TCP Flood、UDP Flood、ICMP Flood和Smurf攻击进行了分析。对不同传输协议的DDoS行为特征进行试验研究,针对不同类型的DDoS攻击提出了相应的防御方案。
全文分六个部分。第一部分主要介绍分布式拒绝服务攻击的当前概况、课题的意义和存在的问题。第二部分介绍相关技术研究,主要讨论了DDoS原理,DDoS防御的相关技术。第三部分是有关实验的平台。第四部分是DDoS防御系统的设计。第五部分进行了方案的功能和性能测试的结果。第六部分是总结和对未来工作的展望。
本文主要贡献:
1)通过实验得出DDoS行为的特征,弄清楚了DDoS带宽攻击的特性。
2)将累积增量和作为评估带宽消耗性防御系统的有效性的量化参数,将此作为防御系统的一个评估参数。对网络安全的工程设计有重要的参考价值。
3)提出基于信息熵值的实时攻击检测方案。基于信息熵值的实时攻击检测不仅能非常迅速的报告攻击的到来,而且能将误报率控制在非常低的水平,这样就提高了防御系统的效率。
4)采用了基于SYN Proxy技术的SYN Flood攻击防御策略,该策略在防御SYN Flood攻击防御的实验中表现出优异的功能。