基于流記錄的DDoS檢測和響應(yīng).pdf

1、DDoS攻擊作為目前主流的網(wǎng)絡(luò)惡意行為之一，對互聯(lián)網(wǎng)的正常運(yùn)行造成了嚴(yán)重的危害。本文的研究工作圍繞DDoS攻擊的檢測和響應(yīng)展開。檢測工作基于網(wǎng)絡(luò)邊界路由器提供的流記錄信息進(jìn)行，并基于NBOS平臺在CERNET全網(wǎng)環(huán)境中進(jìn)行部署與驗證。在此基礎(chǔ)上，本文研究了對檢測結(jié)果進(jìn)行評價的方法，同時還借助SDN技術(shù)，研究了對DDoS攻擊進(jìn)行響應(yīng)的工作。
　　在DDoS攻擊檢測方面，論文首先結(jié)合當(dāng)前學(xué)術(shù)角度和工業(yè)角度主流的檢測思路給出了本文的檢測

2、標(biāo)準(zhǔn)。在此基礎(chǔ)上，論文對NBOS系統(tǒng)原有SYN Flood檢測邏輯進(jìn)行分析，指出了其中的不足之處，提出完善方案并通過對比實驗驗證了改善后的成效。隨后論文通過對UDPFlood攻擊場景的分析，指出UDPFlood對單個主機(jī)以及對整個網(wǎng)段進(jìn)行攻擊的異同，設(shè)計了基于強(qiáng)度閾值和報文比閾值的檢測算法，并在實際的網(wǎng)絡(luò)環(huán)境中取得良好的檢測效果。最后，針對攻擊真實性驗證的問題，本文提出了一個從假冒源地址、報文長度、反向散射報文強(qiáng)度以及攻擊強(qiáng)度四個角度進(jìn)

3、行評價的方法，通過與實際的樣例分析對比證明了方法的正確性與可行性。
　　在DDoS攻擊檢測的基礎(chǔ)上，論文進(jìn)一步提出了根據(jù)DDoS攻擊檢測結(jié)果定位與追蹤其背后的僵尸網(wǎng)絡(luò)的研究思路。首先通過分析僵尸主機(jī)活動周期證明了研究思路的可行性，然后基于僵尸主機(jī)的通訊特征設(shè)計了兩種定位控制命令報文與C&C控制器的方法。在此基礎(chǔ)上，論文設(shè)計與實現(xiàn)了僵尸網(wǎng)絡(luò)追蹤系統(tǒng)(BTS)并在實際網(wǎng)絡(luò)中成功定位多個C&C控制器和僵尸主機(jī)。被定位的控制器可以方便地利

4、用SDN流表進(jìn)行攔截。
　　在DDoS攻擊響應(yīng)方面，除了對控制命令的攔截外，還討論了對攻擊流量的攔截，并給出了相應(yīng)的面向SDN流表的攔截規(guī)則生成方法。在此基礎(chǔ)上，論文基于一個基于SDN技術(shù)的應(yīng)急響應(yīng)系統(tǒng)(HYDRA)設(shè)計實現(xiàn)了DDoS攻擊攔截系統(tǒng)，該系統(tǒng)基于NBOS和BTS獲取分析數(shù)據(jù)、生成攔截規(guī)則提交給HYDRA進(jìn)行攔截。該系統(tǒng)在CERNET江蘇省網(wǎng)邊界的實測表明其可以有效攔截控制命令以及DDoS攻擊流量。這個結(jié)果表明了基于SD