【摘要】：傳統(tǒng)網(wǎng)絡(luò)的DDoS檢測防御模型設(shè)計(jì)一般將模型部署在網(wǎng)絡(luò)鏈路和受保護(hù)目標(biāo)之間，并把檢測防御模型中的統(tǒng)計(jì)、計(jì)算、過濾功能都集中在安全設(shè)備端。整個(gè)檢測防御模型沒有利用網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算能力。 本文通過研究各類常見的DDoS攻擊防御技術(shù)，通過分析選擇了適用性較為寬廣、可以抵御未知種類DDoS攻擊以及混雜型DDoS攻擊的基于異常流量統(tǒng)計(jì)的包過濾DDoS檢測防御方法。在充分考慮現(xiàn)有的各類DDoS攻擊防御技術(shù)的基礎(chǔ)上，本文推出了基于NetFlow技術(shù)的DDoS攻擊防御方案。闡述了利用NetFlow檢測網(wǎng)絡(luò)DDoS異常流量以及在將DDoS防御機(jī)制部署在骨干網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)防御的技術(shù)特點(diǎn)。傳統(tǒng)防御模型由于骨干網(wǎng)絡(luò)的節(jié)點(diǎn)設(shè)備的本身的計(jì)算能力不足，不能有效形成分布式的連接組合防御大規(guī)模的DDoS攻擊。而在骨干網(wǎng)絡(luò)部署監(jiān)測防御機(jī)制也會影響骨干網(wǎng)絡(luò)本身的網(wǎng)絡(luò)包的轉(zhuǎn)發(fā)和控制功能而影響過濾的效率。為解決這一核心問題本文提出利用網(wǎng)絡(luò)節(jié)點(diǎn)的NetFlow統(tǒng)計(jì)能力，將其部署在檢測位置最合適的骨干網(wǎng)絡(luò)中，其解析計(jì)算部署在附加計(jì)算模塊中，最后由計(jì)算模塊給予的閾值在防火墻端直接實(shí)現(xiàn)過濾功能的層次化多閾值包過濾的DDoS防御模型。從而實(shí)現(xiàn)了統(tǒng)計(jì)、計(jì)算、過濾的功能由集中到分離層次化的DDoS檢測防御模型。 在閾值生成部分，本文選取了基于流量分析和閾值策略的防范機(jī)制使用單閾值或雙閾值來判斷攻擊行為。在通過NetFlow網(wǎng)絡(luò)流量統(tǒng)計(jì)生成閾值后，，本文提出基于驗(yàn)證過濾結(jié)果、通過設(shè)計(jì)回收圈機(jī)制對過濾閾值進(jìn)行反饋性計(jì)算算法，由此實(shí)現(xiàn)了防御模型過濾閾值的即時(shí)浮動(dòng)，并形成多閾值判別根據(jù)，用來減少閾值的生成相對于網(wǎng)絡(luò)流量變化的滯后性，提高防御模型整體的靈敏度與過濾精度。通過在校園網(wǎng)網(wǎng)絡(luò)中心實(shí)際環(huán)境的網(wǎng)絡(luò)測試表明：這種層次化多閾值DDoS檢測與防御模型面對正常網(wǎng)絡(luò)服務(wù)和未知及混合種類的DDoS攻擊時(shí)，具有較高的服務(wù)效率和過濾精度，較好的解決了傳統(tǒng)防御模型的整體服務(wù)效率不高和過濾精度偏低的問題。
[Abstract]:The traditional DDoS detection and defense model is usually deployed between the network link and the protected target, and the statistical, computational and filtering functions of the detection defense model are concentrated on the security device side. The whole detection defense model does not utilize the computing power of network nodes. In this paper, by studying the common DDoS attack defense techniques, we choose a packet filter DDoS detection defense method based on abnormal traffic statistics, which can resist unknown DDoS attacks and hybrid DDoS attacks. On the basis of considering all kinds of existing DDoS attack defense technology, this paper presents a DDoS attack defense scheme based on NetFlow technology. This paper describes the technical features of using NetFlow to detect network DDoS abnormal traffic and to deploy DDoS defense mechanism in backbone network for statistical defense. Because of the lack of computing power of the node equipment in the backbone network, the traditional defense model can not effectively form a distributed connection combination to defend against large-scale DDoS attacks. The deployment of monitoring and defense mechanisms in backbone networks also affects the forwarding and control functions of the backbone network packets and affects the efficiency of filtering. In order to solve this core problem, this paper proposes to use the NetFlow statistical capability of network nodes and deploy them in the backbone network with the most suitable detection position, and the analytical calculation is deployed in the additional computing module. Finally, a hierarchical multi-threshold packet filtering DDoS defense model based on the threshold given by the calculation module is implemented directly at the firewall end. Thus, the functions of statistics, calculation and filtering are realized from centralized to separated hierarchical DDoS detection defense model. In the part of threshold generation, we choose the prevention mechanism based on traffic analysis and threshold strategy to judge the attack behavior by single threshold or double threshold. After the threshold is generated by NetFlow network traffic statistics, this paper proposes a feedback calculation algorithm for filtering threshold based on the verification filtering results and the design of recycling loop mechanism, thus realizing the real-time floating of filtering threshold of defense model. The multi-threshold discriminant is used to reduce the lag between the threshold generation and the network traffic, and to improve the sensitivity and filtering accuracy of the defense model as a whole. The network test in the campus network center shows that this hierarchical multi-threshold DDoS detection and defense model has high service efficiency and filtering accuracy when it faces normal network services and unknown and mixed DDoS attacks. It solves the problems of low service efficiency and low filtering precision of the traditional defense model.
【學(xué)位授予單位】：南京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 范明鈺,王光衛(wèi);一種DDOS攻擊分析[J];通信技術(shù);2001年05期

2 蘇更殊,李之棠;DDOS攻擊的分析、檢測與防范技術(shù)[J];計(jì)算機(jī)工程與設(shè)計(jì);2002年11期

3 馮巖,楊鑫閣,王慧強(qiáng);分布式拒絕服務(wù)攻擊(DDoS)原理及其防范措施[J];應(yīng)用科技;2002年02期

4 李小勇,劉東喜,谷大武,白英彩;DDoS防御與反應(yīng)技術(shù)研究[J];計(jì)算機(jī)工程與應(yīng)用;2003年12期

5 黃秋元 ,劉煒霞;DDoS:你會是下一個(gè)目標(biāo)嗎?[J];個(gè)人電腦;2003年02期

6 尹傳勇,劉壽強(qiáng),陳嬌春;新型蠕蟲DDoS攻擊的分析與防治[J];計(jì)算機(jī)安全;2003年07期

7 jjxu;;一頁公開的X客隨筆[J];軟件;2003年09期

8 黃智勇,沈芳陽,劉懷亮,林志,黃永泰,周曉冬;DDoS攻擊原理及對策研究[J];計(jì)算機(jī)與現(xiàn)代化;2004年03期

9 胡小新,王穎,羅旭斌;一種DDoS攻擊的防御方案[J];計(jì)算機(jī)工程與應(yīng)用;2004年12期

10 楊柳,劉乃琦;分布式拒絕服務(wù)攻擊(DDoS)原理及防范[J];福建電腦;2004年06期

相關(guān)會議論文 前10條

1 蔣平;;DDoS攻擊分類及趨勢預(yù)測[A];第十七次全國計(jì)算機(jī)安全學(xué)術(shù)交流會暨電子政務(wù)安全研討會論文集[C];2002年

2 張鑌;黃遵國;;DDoS防彈墻驗(yàn)證調(diào)度層設(shè)計(jì)與實(shí)現(xiàn)[A];中國電子學(xué)會第十六屆信息論學(xué)術(shù)年會論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2005年

4 王永強(qiáng);;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會議論文集[C];2002年

6 蘇金樹;陳曙輝;;國家級骨干網(wǎng)DDOS及蠕蟲防御技術(shù)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測方法[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測[A];2006中國西部青年通信學(xué)術(shù)會議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動(dòng)態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

相關(guān)重要報(bào)紙文章 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網(wǎng)絡(luò)世界;2006年

2 本報(bào)記者 那罡;網(wǎng)絡(luò)公害DDoS[N];中國計(jì)算機(jī)報(bào);2008年

3 本報(bào)記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計(jì)算機(jī)世界;2008年

4 本報(bào)實(shí)習(xí)記者 張奕;DDoS攻擊 如何對你說“不”[N];計(jì)算機(jī)世界;2009年

5 本報(bào)記者 那罡;DDoS防御進(jìn)入“云”清洗階段[N];中國計(jì)算機(jī)報(bào);2010年

6 ;DDoS攻防那些事兒[N];網(wǎng)絡(luò)世界;2012年

7 本報(bào)記者 李旭陽;DDoS防護(hù)需新手段[N];計(jì)算機(jī)世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

9 本報(bào)記者 姜姝;DDoS之殤 拷問防御能力[N];中國電腦教育報(bào);2013年

10 劉佳源;英國1/5公司遭遇DDoS攻擊[N];中國電子報(bào);2013年

相關(guān)博士學(xué)位論文 前10條

1 徐圖;超球體多類支持向量機(jī)及其在DDoS攻擊檢測中的應(yīng)用[D];西南交通大學(xué);2008年

2 徐川;應(yīng)用層DDoS攻擊檢測算法研究及實(shí)現(xiàn)[D];重慶大學(xué);2012年

3 周再紅;DDoS分布式檢測和追蹤研究[D];湖南大學(xué);2011年

4 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學(xué);2009年

5 羅光春;入侵檢測若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

6 劉運(yùn);DDoS Flooding攻擊檢測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

7 于明;DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測算法的研究[D];西安電子科技大學(xué);2007年

8 黃昌來;基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復(fù)旦大學(xué);2009年

9 呂良福;DDoS攻擊的檢測及網(wǎng)絡(luò)安全可視化研究[D];天津大學(xué);2008年

10 陳世文;基于譜分析與統(tǒng)計(jì)機(jī)器學(xué)習(xí)的DDoS攻擊檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 葉茜;DDoS攻擊技術(shù)與防御方法研究[D];江南大學(xué);2007年

2 王佳佳;DDoS攻擊檢測技術(shù)的研究[D];揚(yáng)州大學(xué);2008年

3 謝峰;基于抗DDoS的網(wǎng)絡(luò)攻擊檢測與防御[D];電子科技大學(xué);2008年

4 雷雨;DDoS攻擊防御技術(shù)的研究與實(shí)現(xiàn)[D];重慶大學(xué);2008年

5 施偉偉;DDoS攻擊及其抵御機(jī)制研究[D];合肥工業(yè)大學(xué);2009年

6 陳鵬;DDoS攻擊防御新技術(shù)及模型研究[D];電子科技大學(xué);2009年

7 蔡劭楊;上海電信DDOS防護(hù)部署[D];復(fù)旦大學(xué);2009年

8 蒲儒峰;基于網(wǎng)絡(luò)流量分形特性的DDoS攻擊檢測[D];西南交通大學(xué);2009年

9 謝亞;基于模糊綜合評判的應(yīng)用層DDoS攻擊檢測方法研究[D];西南交通大學(xué);2009年

10 馮江;DDoS攻擊的檢測與防御研究[D];江南大學(xué);2009年

本文編號：2244118