【摘要】：傳統(tǒng)網絡的DDoS檢測防御模型設計一般將模型部署在網絡鏈路和受保護目標之間，并把檢測防御模型中的統(tǒng)計、計算、過濾功能都集中在安全設備端。整個檢測防御模型沒有利用網絡節(jié)點的計算能力。 本文通過研究各類常見的DDoS攻擊防御技術，通過分析選擇了適用性較為寬廣、可以抵御未知種類DDoS攻擊以及混雜型DDoS攻擊的基于異常流量統(tǒng)計的包過濾DDoS檢測防御方法。在充分考慮現(xiàn)有的各類DDoS攻擊防御技術的基礎上，本文推出了基于NetFlow技術的DDoS攻擊防御方案。闡述了利用NetFlow檢測網絡DDoS異常流量以及在將DDoS防御機制部署在骨干網絡進行統(tǒng)計防御的技術特點。傳統(tǒng)防御模型由于骨干網絡的節(jié)點設備的本身的計算能力不足，不能有效形成分布式的連接組合防御大規(guī)模的DDoS攻擊。而在骨干網絡部署監(jiān)測防御機制也會影響骨干網絡本身的網絡包的轉發(fā)和控制功能而影響過濾的效率。為解決這一核心問題本文提出利用網絡節(jié)點的NetFlow統(tǒng)計能力，將其部署在檢測位置最合適的骨干網絡中，其解析計算部署在附加計算模塊中，最后由計算模塊給予的閾值在防火墻端直接實現(xiàn)過濾功能的層次化多閾值包過濾的DDoS防御模型。從而實現(xiàn)了統(tǒng)計、計算、過濾的功能由集中到分離層次化的DDoS檢測防御模型。 在閾值生成部分，本文選取了基于流量分析和閾值策略的防范機制使用單閾值或雙閾值來判斷攻擊行為。在通過NetFlow網絡流量統(tǒng)計生成閾值后，，本文提出基于驗證過濾結果、通過設計回收圈機制對過濾閾值進行反饋性計算算法，由此實現(xiàn)了防御模型過濾閾值的即時浮動，并形成多閾值判別根據(jù)，用來減少閾值的生成相對于網絡流量變化的滯后性，提高防御模型整體的靈敏度與過濾精度。通過在校園網網絡中心實際環(huán)境的網絡測試表明：這種層次化多閾值DDoS檢測與防御模型面對正常網絡服務和未知及混合種類的DDoS攻擊時，具有較高的服務效率和過濾精度，較好的解決了傳統(tǒng)防御模型的整體服務效率不高和過濾精度偏低的問題。
[Abstract]:The traditional DDoS detection and defense model is usually deployed between the network link and the protected target, and the statistical, computational and filtering functions of the detection defense model are concentrated on the security device side. The whole detection defense model does not utilize the computing power of network nodes. In this paper, by studying the common DDoS attack defense techniques, we choose a packet filter DDoS detection defense method based on abnormal traffic statistics, which can resist unknown DDoS attacks and hybrid DDoS attacks. On the basis of considering all kinds of existing DDoS attack defense technology, this paper presents a DDoS attack defense scheme based on NetFlow technology. This paper describes the technical features of using NetFlow to detect network DDoS abnormal traffic and to deploy DDoS defense mechanism in backbone network for statistical defense. Because of the lack of computing power of the node equipment in the backbone network, the traditional defense model can not effectively form a distributed connection combination to defend against large-scale DDoS attacks. The deployment of monitoring and defense mechanisms in backbone networks also affects the forwarding and control functions of the backbone network packets and affects the efficiency of filtering. In order to solve this core problem, this paper proposes to use the NetFlow statistical capability of network nodes and deploy them in the backbone network with the most suitable detection position, and the analytical calculation is deployed in the additional computing module. Finally, a hierarchical multi-threshold packet filtering DDoS defense model based on the threshold given by the calculation module is implemented directly at the firewall end. Thus, the functions of statistics, calculation and filtering are realized from centralized to separated hierarchical DDoS detection defense model. In the part of threshold generation, we choose the prevention mechanism based on traffic analysis and threshold strategy to judge the attack behavior by single threshold or double threshold. After the threshold is generated by NetFlow network traffic statistics, this paper proposes a feedback calculation algorithm for filtering threshold based on the verification filtering results and the design of recycling loop mechanism, thus realizing the real-time floating of filtering threshold of defense model. The multi-threshold discriminant is used to reduce the lag between the threshold generation and the network traffic, and to improve the sensitivity and filtering accuracy of the defense model as a whole. The network test in the campus network center shows that this hierarchical multi-threshold DDoS detection and defense model has high service efficiency and filtering accuracy when it faces normal network services and unknown and mixed DDoS attacks. It solves the problems of low service efficiency and low filtering precision of the traditional defense model.
【學位授予單位】：南京郵電大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 范明鈺,王光衛(wèi);一種DDOS攻擊分析[J];通信技術;2001年05期

2 蘇更殊,李之棠;DDOS攻擊的分析、檢測與防范技術[J];計算機工程與設計;2002年11期

3 馮巖,楊鑫閣,王慧強;分布式拒絕服務攻擊(DDoS)原理及其防范措施[J];應用科技;2002年02期

4 李小勇,劉東喜,谷大武,白英彩;DDoS防御與反應技術研究[J];計算機工程與應用;2003年12期

5 黃秋元 ,劉煒霞;DDoS:你會是下一個目標嗎?[J];個人電腦;2003年02期

6 尹傳勇,劉壽強,陳嬌春;新型蠕蟲DDoS攻擊的分析與防治[J];計算機安全;2003年07期

7 jjxu;;一頁公開的X客隨筆[J];軟件;2003年09期

8 黃智勇,沈芳陽,劉懷亮,林志,黃永泰,周曉冬;DDoS攻擊原理及對策研究[J];計算機與現(xiàn)代化;2004年03期

9 胡小新,王穎,羅旭斌;一種DDoS攻擊的防御方案[J];計算機工程與應用;2004年12期

10 楊柳,劉乃琦;分布式拒絕服務攻擊(DDoS)原理及防范[J];福建電腦;2004年06期

相關會議論文 前10條

1 蔣平;;DDoS攻擊分類及趨勢預測[A];第十七次全國計算機安全學術交流會暨電子政務安全研討會論文集[C];2002年

2 張鑌;黃遵國;;DDoS防彈墻驗證調度層設計與實現(xiàn)[A];中國電子學會第十六屆信息論學術年會論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國計算機安全學術交流會論文集[C];2005年

4 王永強;;分布式拒絕服務攻擊(DDoS)分析及防范[A];第二十一次全國計算機安全學術交流會論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網絡安全技術的開發(fā)應用學術會議論文集[C];2002年

6 蘇金樹;陳曙輝;;國家級骨干網DDOS及蠕蟲防御技術研究[A];全國網絡與信息安全技術研討會’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國網絡與信息安全技術研討會'2005論文集（上冊）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測方法[A];全國網絡與信息安全技術研討會'2005論文集（上冊）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網絡流量異常檢測[A];2006中國西部青年通信學術會議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動態(tài)博弈論在DDoS防御中的應用[A];全國網絡與信息安全技術研討會論文集（上冊）[C];2007年

相關重要報紙文章 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網絡世界;2006年

2 本報記者 那罡;網絡公害DDoS[N];中國計算機報;2008年

3 本報記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計算機世界;2008年

4 本報實習記者 張奕;DDoS攻擊 如何對你說“不”[N];計算機世界;2009年

5 本報記者 那罡;DDoS防御進入“云”清洗階段[N];中國計算機報;2010年

6 ;DDoS攻防那些事兒[N];網絡世界;2012年

7 本報記者 李旭陽;DDoS防護需新手段[N];計算機世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術工程師 郭慶;云清洗三打DDoS[N];網絡世界;2013年

9 本報記者 姜姝;DDoS之殤 拷問防御能力[N];中國電腦教育報;2013年

10 劉佳源;英國1/5公司遭遇DDoS攻擊[N];中國電子報;2013年

相關博士學位論文 前10條

1 徐圖;超球體多類支持向量機及其在DDoS攻擊檢測中的應用[D];西南交通大學;2008年

2 徐川;應用層DDoS攻擊檢測算法研究及實現(xiàn)[D];重慶大學;2012年

3 周再紅;DDoS分布式檢測和追蹤研究[D];湖南大學;2011年

4 魏蔚;基于流量分析與控制的DDoS攻擊防御技術與體系研究[D];浙江大學;2009年

5 羅光春;入侵檢測若干關鍵技術與DDoS攻擊研究[D];電子科技大學;2003年

6 劉運;DDoS Flooding攻擊檢測技術研究[D];國防科學技術大學;2011年

7 于明;DDoS攻擊流及其源端網絡自適應檢測算法的研究[D];西安電子科技大學;2007年

8 黃昌來;基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復旦大學;2009年

9 呂良福;DDoS攻擊的檢測及網絡安全可視化研究[D];天津大學;2008年

10 陳世文;基于譜分析與統(tǒng)計機器學習的DDoS攻擊檢測技術研究[D];解放軍信息工程大學;2013年

相關碩士學位論文 前10條

1 葉茜;DDoS攻擊技術與防御方法研究[D];江南大學;2007年

2 王佳佳;DDoS攻擊檢測技術的研究[D];揚州大學;2008年

3 謝峰;基于抗DDoS的網絡攻擊檢測與防御[D];電子科技大學;2008年

4 雷雨;DDoS攻擊防御技術的研究與實現(xiàn)[D];重慶大學;2008年

5 施偉偉;DDoS攻擊及其抵御機制研究[D];合肥工業(yè)大學;2009年

6 陳鵬;DDoS攻擊防御新技術及模型研究[D];電子科技大學;2009年

7 蔡劭楊;上海電信DDOS防護部署[D];復旦大學;2009年

8 蒲儒峰;基于網絡流量分形特性的DDoS攻擊檢測[D];西南交通大學;2009年

9 謝亞;基于模糊綜合評判的應用層DDoS攻擊檢測方法研究[D];西南交通大學;2009年

10 馮江;DDoS攻擊的檢測與防御研究[D];江南大學;2009年

本文編號：2244118