论文部分内容阅读
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为当今网络上广泛传播的问题。这种攻击行为使网站服务器充斥大量要求回复的信息,消耗网络带宽和系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务,造成严重损失。在这种背景下,学术界兴起了对分布式拒绝服务攻击防御技术的研究与开发。
本文主要研究目标是系统、深入的研究现有分布式拒绝服务攻击行为,分类总结其本质规律;设计分布式拒绝服务防御体系及其中诸如预防、检测、追踪等关键机制的逻辑模型和相应算法;通过整合这些逻辑模型实现完整的分布式拒绝服务防御架构,从而更为有效的抑制攻击;最后,采用先进的协同技术实现分布式拒绝服务防御体系与其它诸如防火墙、隐患扫描系统和防病毒系统等安全产品的协同,使其合理地融入到整个信息安全保障体系中。
论文首先讨论了现有的分布式拒绝服务攻击行为分类方法,以此为基础针对改进的攻击分类方法,提出了一种基于集合论模型与框架表示法的特征表示与分析方法;在分布式拒绝服务防御体系的研究中,针对现有的防御技术分类方法,设计了一个基于分布式拒绝服务攻击生命周期的综合防御体系;在分布式拒绝服务预防技术研究中,提出了一套旨在检测渗透类型攻击行为的防御模型,该模型可以通过与隐患扫描系统有效的安全协同实现分布式拒绝服务攻击预防。该模型主要包含两个核心算法,一个是基于特征计算的模式匹配算法,另一个是基于最大熵原理的异常检测算法。这两个算法从正反两个角度出发,能够高效、准确实现渗透类型攻击行为的检测;在分布式拒绝服务攻击检测技术研究中,针对现有研究的不足,提出了一个分布式拒绝服务检测模型,给出了该检测模型的两个核心算法:基于IP流的分布式拒绝服务攻击检测算法和基于新IP和HOPCOUNT的分布式拒绝服务攻击检测算法,它们分别部署在中间传输网络和被攻击网络中,通过协同有效实现分布式拒绝服务攻击检测,与其它检测算法在检测延迟、完备性、检测率与误警率方面相比,该检测模型具有较为明显的优势;在分布式拒绝服务攻击源追踪方法研究中,通过对攻击源追踪技术大量调研和分析,提出了一种基于概率分组标记的IP源追踪算法。该算法基于线性代数理论,相比其它算法,无需ISP拓扑信息,既适用于直接攻击也适用于反射攻击,在协议兼容性、收敛性和攻击拓扑恢复准确性方面表现出了较好的优越性;在安全协同防御模型研究中,提出了基于P2P分布式拒绝服务预防、检测、追踪的集成策略和解决方案,构建出一种可部署在中间传输网络和被攻击网络中的较为完整的分布式拒绝服务综合防御架构。最后,通过采纳面向服务技术提出了分布式拒绝服务综合防御模型与其它类型安全产品安全协同策略和解决方案,构建出一种可部署在被攻击网络中的网络安全综合协同防御模型。