分布式拒絕服務攻擊防御若干關鍵技術研究.pdf

1、近年來，分布式拒絕服務攻擊已經成為最為嚴重的網(wǎng)絡威脅之一。它攻擊力度大、易實施、難防范、難追蹤，對網(wǎng)絡社會具有極大的危害性?，F(xiàn)有的傳統(tǒng)防御措施如防火墻、入侵檢測系統(tǒng)等只能被動地抵御攻擊，防御效果不是很理想。因此，如何有效追蹤、防御分布式拒絕服務攻擊(DDoS)是目前網(wǎng)絡安全領域所面臨的挑戰(zhàn)之一。
　　 在本文中，首先介紹了分布式拒絕服務攻擊的特點、現(xiàn)狀以及發(fā)展趨勢；分析并探討了分布式拒絕服務攻擊的各種防御措施；同時圍繞分布式拒絕

2、服務攻擊的檢測方法展開了深入的研究和探討。通過對各種攻擊形式及防御措施分類的討論，指出了檢測技術在DDoS攻擊防御中的重要作用和意義，并在此基礎上給出了一種基于IP流特性的分布式拒絕服務攻擊檢測方法。接下來，本文把IP流分成宏觀和微觀兩種，對如何選擇適當?shù)慕y(tǒng)計屬性用于DDoS檢測進行了研究。對幾種屬性識別DDoS的能力進行了具體分析，在此基礎上應用神經網(wǎng)絡分類器進行了DDoS檢測實驗。證明將基于流概念的幾種統(tǒng)計屬性綜合起來應用于DDoS

3、檢測可收到良好的效果。主要優(yōu)點在于：用于檢測的屬性容易生成、物理意義明顯、分類準確，能同時獲得某次攻擊所使用的協(xié)議類型和異常包的平均大小等信息，進而用于過濾。
　　 在大流量DDoS攻擊發(fā)生(Large Scale DDoS)時，要維持被攻擊系統(tǒng)的正常運轉，防御者可實行嚴格的限流和過濾。然而限流和過濾中存在以下問題：過濾攻擊的準確度因為偽造IP技術的使用被大大降低；容易產生間接傷害，即處理掉攻擊的同時，也會過濾掉合法流量。本文進

4、而提出基于一種Nested Loop離群數(shù)據(jù)挖掘算法(Nested Loop Outlier Detection Algorithm)的DDoS防御方法。該方法在DDoS發(fā)生時嚴格過濾可疑流量，同時建立優(yōu)先服務列表(白名單)，從而既保持受攻擊系統(tǒng)正常運轉又增加合法用戶獲得服務的機會。建立在大量真實數(shù)據(jù)和模擬數(shù)據(jù)上的實驗表明，本方法可以保障遭受大流量DDoS攻擊的系統(tǒng)除受攻擊服務外正常運行；可逐漸恢復受攻擊服務的運行；運用離群數(shù)據(jù)挖掘算法