论文部分内容阅读
随着Internet的快速发展,许多关键服务都通过网络来提供,所以如何能够保证网络本身的安全和可用性成为网络安全研究中一个最重要的问题。拒绝服务攻击由于其容易实施、难以防范、难以追踪等特点成为最难解决的网络安全问题之一。同时,拒绝服务攻击也将是未来信息战的重要手段。因此,研究DDoS攻击及其对策具有重要的现实意义,这是目前研究网络安全迫切需要解决的问题,也成为学术界与工业界关注的焦点,所以本文将拒绝服务攻击的研究重点集中在研究IP追踪及其概率包标记算法上。
本文对分布式拒绝服务攻击的原理,过程等方面进行了详细研究并对拒绝服务攻击的对策作了分析及整理。首先,本文分析了DDoS攻击的攻击原理,攻击机制和攻击方法,并对以追踪DDoS攻击来源的数据包标记方法进行研究,随后系统地研究了目前提出的各种追踪技术,并分析了它们各自的优缺点。
本文对IP追踪技术中的包标记技术进行了深入的研究。在对各种概率包标记技术进行重点分析的基础上,提出了一种改进的包标记方案。该方案将分片包标记和动态概率包标记技术相结合,在对基本包标记算法进行深入研究的基础上,针对包标记存储空间不足和采用固定标记概率导致重构攻击路径出现高误报和需要大量数据包的问题,使用包头压缩技术压缩IP包头,使其有足够的空间存储标记信息,从而使算法大大降低了误报数。同时,该算法还采用动态概率来标记数据包,使得每个数据包在任何一个路由器上最后一次被标记的概率都相等,通过采用Hash作为误差校验,显著降低了路径重构的误差率,达到较优的收敛包数。针对在基本概率包标记算法中,攻击路径重构算法的时间复杂度很高而导致的误报率高和重构路所需的数据包增多的缺点,改进算法只需要四个分片组合就可以减少计算开销,从而缩短了收敛时间,减少了误报数。
最后,为了验证和评估改进方案的性能,本文在NS2网络仿真软件上对其进行了模拟实验,并与其他包标记方案进行了分析对比。实验结果验证了方案的可行性。