论文部分内容阅读
由于易于实施、危害严重且难于防御,拒绝服务攻击(Denial of Service,DoS)已成为目前互联网面临的最为严重的威胁之一,作为其分布式形式的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)危害更大,因此已经成为互联网安全研究亟待解决的重点问题之一。在对国内外当前的DDoS攻击的分类和DDoS防御技术研究现状综述的基础上,本文提出了根据DDoS攻击的特定网络流量特征,进行DDoS攻击检测的系列方法。本文主要针对DDoS洪泛攻击,并将其分为连接阻塞攻击和普通洪泛攻击。针对连接阻塞攻击流量存在周期性突发的特点,本文提出了以字节速率作为采样方法,通过频域分析,以功率谱密度作为统计手段,以低频功率和作为检测指标的检测方法,对连接阻塞攻击具较低的误差和可行的效率;利用普通洪泛攻击破坏服务器出入口双向流量的相关性的特点,本文提出了使用扩展的第一次连接密度作为采样指标,采用互相关函数作为相关性表征指标,通过模糊逻辑分类器学习和检测普通洪泛攻击的方法,具较低的误报率和漏报率;由于普通洪泛攻击中多个攻击源因采用相同或相似工具和参数发起攻击,因而产生的攻击流量具有相似性,流量内部相关性也要大于合法流量,本文的方法采用统计距离来衡量流量间相似性,采用哥洛大复杂度计算流量的内部相关性,从而能更有效地区分单个攻击流和单个合法流,实现细粒度的攻击识别。在DDoS攻击响应方面,本文提出了基于流量控制的DDoS攻击响应技术。由于连接阻塞攻击流量具有周期性突发,流量均衡将能有效降低其攻击效果,因此本文提出了多入口流量均衡的响应方法,将受害主机上游链路带宽在路由器多个入口链路之间分配,以极低的代价保证合法流量的合理的吞吐量;连接阻塞攻击中的周期性突发流量可以通过增大路由器缓存大小得到平滑,因此本文提出了在受害主机上游路由器处通过漏桶和包队列结合的方式,在不明显增加传输延时的情况下平滑攻击流量,实现对连接阻塞攻击的防御;在普通洪泛攻击方面,本文提出了以自治域为单位的基于多资源最大最小公平的分布式流量均衡机制,在该机制中,自治域边界路由器负责根据流量对受害机的资源的消耗,对流向受害机的流量进行限流,且周期性接收受害机的反馈信息以调整限流阈值,从而能够有效保护受害机的带宽和处理器资源。在DDoS攻击预防方面,本文提出了基于自治域验证的动态权证机制,通过基于自治域的两级权证机制,降低了现有权证体系的开销;针对现有权证体系中大流量连接需要频繁申请资源,传输效率较低的问题,采用结合历史信息的权证资源动态分配机制,从而可以在满足安全性要求的前提下提高传输效率;针对现有权证体系无法有效预防连接阻塞攻击的问题,采用控制权证状态存活时间上限的流量验证机制,来抑制连接阻塞攻击产生的突发流量,实现对其的预防。实验表明该预防体系比原有权证体系具更低的传输开销并能有效防御更多DDoS攻击的变种。最后,基于以上技术,本文提出了以自治域为单位的防御体系。自治域内各种元素能有效交互以检测和响应攻击,且自治域间积极交互提升防御效果,体系支持递增部署,实验证明其具有比当前最新体系更好的防御效果,并能适应更加恶劣的场景。未来的研究方向包括:针对新一代DDoS攻击的检测技术,新颖的DDoS抑制手段,新的安全体系架构以及本文中的研究成果、思路和方法在其他大规模网络攻击中的应用。