论文部分内容阅读
分布式拒绝服务入侵(Distributed Denial of Service,DDoS)对当今的网络造成了严重的威胁。通过IP溯源方法追踪到入侵的源头是防御入侵有效和不可缺少的一部分。就目前研究来说,针对IPv6网络下的溯源方法主要有两类:包标记法和日志记录法。基于包标记法的IPv6溯源方法需要路由器将自己可识别的信息(比如路由器的IP地址)写入到待转发的数据包中,它给路由器造成较少的负担,但是它需要收集大量的数据包最后重构出完整的入侵路径。基于日志记录法的IPv6溯源方法需要路由器将转发过的数据包的摘要信息存储到路由器中,它需要较少的数据包重构完整的入侵路径但是会导致路由器的高存储负担。基于以上叙述,本文提出了一种在IPv6网络中的混合溯源方法PHIT-IPv6,它综合了包标记方法和日志记录方法各自的优点。它的主要思想是转发的数据包和数据包经过的路由器都存储路径信息,并且本方法将具有同样目的地址、经过的路由器入口标号、业务流类别的数据包划分为同一数据流,存储的路径信息也是针对数据流的,同时我们为路由器设计了包标记表和日志记录表来有效存储路径信息。因此,本方法有效地防御了DDoS入侵,需要较少的数据包来重构入侵路径并且减少了路由器进行日志记录的高存储负担。另外本方法通过数学理论分析和仿真实验评估了该方法,与日志记录法相比路由器的存储负担减少了一半,与包标记法相比明显减少了重构入侵路径所需的数据包的数量。
当通过上述IP溯源方法找到了复杂网络中的处在入侵路径上的所有节点时,由于庞大的入侵路径和有限的网络保护资源,本文需要关注哪些节点是属于关键节点,然后选择这些关键节点进行IP阻断来减缓DDoS入侵。近年来,复杂网络分析作为一种应用性很强的社会学研究方法,越来越受人瞩目,而如何计算图中点的重要性,选取其中的关键节点又是复杂网络分析中一个重要的问题。本文提出了一种基于复杂网络中节点介数的IP阻断算法,主要包含两部分,首先入侵未发生之前,本方法基于节点的度数和介数确定一些关键节点,然后本方法添加通过IP溯源方法求出的入侵路径上的节点,分别计算出它们的影响因子,最后综合两部分的结果优化出一组可行的关键节点集合,从而有效地防止了进一步的网络入侵。