论文部分内容阅读
分布式拒绝服务攻击(DDoS)是影响Internet安全的主要威胁之一,DDoS的检测和防御一直是网络安全研究的热点问题。DDoS检测和防御系统多存在误报率高、执行效率低、检测与防御缺乏联动性等缺点,因此,消除误报、提高执行效率、增强检测和防御过程的联动性等,一直是研究的重点和难点。此外,以往对DDoS的研究,大多是为了防止单台服务器或与服务器相关的网络设备遭到攻击,而如今越来越多的网络站点基于内容分发网络(CDN),这对DDoS防御提出了新的要求。本文对DDoS的检测和防御问题进行了深入的分析和探讨,结合DDoS攻击的原理和特点,对DDoS的检测和防御问题进行了系统的分析和归类,分别指出了各个环节、方法的重点、优缺点,总结了DDoS检测和防御面临的挑战。本文的创新点如下:1)提出一种基于IP流特性的DDoS检测方法。此方法把IP流统计属性应用于DDoS检测,将IP流分为宏观流和微观流两种,有助于解决如何选择可用于检测DDoS的统计属性的问题;总结出可用于判定是否存在DDoS攻击的以下5种特性:数据包异常性(PAP)、相异包产生速率(ANPPF)、伪造包存在的可能性(PCF)、攻击流量激增速率(ODGS)、端口产生速率(PGS);最后,依据这5种特性,使用神经网络分类器实现DDoS的自动检测。本方法对如何判定DDoS的存在提供了理论分析依据,是一种有效的DDoS检测手段。2)在严格过滤DDoS攻击流量的基础上,提出了一种基于离群数据挖掘的误过滤消减方法。该方法首先对疑似攻击流量进行严格过滤,然后利用离群数据挖掘算法处理被过滤掉的数据集以获得离群的准合法数据,这些离线生成的准合法数据被用以更新优先服务列表,从而恢复对被误过滤用户的服务。实验表明,本方法在保证服务器上绝大多数应用正常运行的同时,可使得受攻击应用逐步恢复对外服务。本方法从新的角度出发降低了误过滤的影响,是一种新的攻击防御策略。3)在研究了DDoS检测和防御的一般过程的基础上,针对DDoS检测和防御程序与其他应用共享硬件资源的情况,提出了一个通用的基于多核的DDoS检测和防御架构(M3D)。在DDoS攻击发生时,M3D会给DDoS检测和防御程序分配独立的计算资源,这减轻了执行DDoS防御对其他安全应用的影响,从而解决了如何在UTM等在线防御设备上实现DDoS防御的难题;通过分析DDoS检测和防御方法的数据处理方式,M3D给出了二者的并行化实现模式,这一实现模式可供大部分DDoS检测和防御方法参考;将M3D架构应用于基于离群分析的误过滤消减方法的实验表明,M3D有效的提升了现有DDoS检测防御系统的执行效率,增强了防御系统实时响应DDoS攻击的能力,DDoS检测和防御工作独立运行给DDoS防御之外的应用提供了更多的运行空间。4)对CDN环境下的DDoS攻击进行了研究,设计并实现了一个典型的CDN实验网络,并以其为核心构建了用以研究CDN环境下DDoS攻击的模拟环境。针对同一个CDN服务提供商,在同一ISP网络的多个缓存服务器上部署不同网站镜像的问题,提出了兼顾安全性和负载均衡性的站点部署算法,并通过实验证明了算法的有效性。此外,针对CDN的智能DNS和默认服务器进行了单独的实验研究,分析了二者遭到攻击对CDN的影响,为CDN自身抗DDoS攻击提供了新的研究思路。以上研究工作,对DDoS攻击检测和防御研究中的若干技术问题进行了有益的探索,就如何提高现有DDoS检测和防御方法的能力以及内容分发网络抗DDoS等问题进行了深入的研究。设计了一个基于多核的通用DDoS检测和防御架构,并将此架构应用于提出的基于IP流特性的DDoS检测方法和基于离群数据挖掘的误过滤消减方法,实现了并行化的检测和防御联动的抗DDoS策略。通过模拟内容分发网络环境下的DDoS攻击,研究了内容分发网络环境下DDoS防御需要注意的问题,提出了增强CDN自身防御DDoS能力的站点部署算法。DDoS的防御是一个复杂的、系统性的工作,除了本论文所介绍的工作以外,还有更多的问题值得深入研究。