互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用給人們帶來巨大便利的同時，也使網(wǎng)絡(luò)安全問題變得越來越嚴(yán)重。尤其是以SYN Flood攻擊為代表的DDoS攻擊更是對網(wǎng)絡(luò)安全的巨大威脅。本文首先對現(xiàn)存DDoS攻擊的原理進(jìn)行了詳細(xì)的分析，并對現(xiàn)有的攻擊檢測算法做了總結(jié)。隨后本文提出了兩種適用于大流量網(wǎng)絡(luò)環(huán)境下快速檢測SYN Flood攻擊的算法：自適應(yīng)閾值檢測算法和基于滑動窗口熵值的檢測算法。通過對這兩種算法進(jìn)行理論對比和實(shí)驗(yàn)對比，本文發(fā)現(xiàn)自適應(yīng)閾值檢測算法更能滿足本課題對效率的要求。然后本文又介紹了當(dāng)前比較流行的兩種SYN Flood防御技術(shù)：SYNCookie和SYN Proxy，并針對這兩種技術(shù)的缺陷提出了相應(yīng)的解決方案。但是由于這兩種技術(shù)都不能滿足本課題對效率和安全性的要求，本文隨后又提出了一種基于窗口采樣的受害者IP判定算法。該算法可以快速的判定出受害者的IP地址，然后可以依據(jù)此IP地址丟棄攻擊流量。同時為了減少丟包對上層應(yīng)用的影響，本文在自適應(yīng)閾值檢測算法的基礎(chǔ)上提出了快恢復(fù)機(jī)制，使防火墻可以快速的從丟包態(tài)返回到正常態(tài)。最后，本論文在雙棧網(wǎng)絡(luò)防火墻中實(shí)現(xiàn)了上述攻擊檢測算法和防御算法，并對其正確性和性能做了測... 

【文章來源】：哈爾濱工業(yè)大學(xué)黑龍江省 211工程院校 985工程院校

【文章頁數(shù)】：67 頁

【學(xué)位級別】：碩士

【部分圖文】：

中國網(wǎng)民規(guī)模和互聯(lián)網(wǎng)普及率調(diào)查統(tǒng)計

我國擁有的 IPv6 地址數(shù)量位列世界第三：總共擁有 12535 塊 IPv6 地址，較去年同期大幅增長超過三成。圖 1-2 是我國近幾年 IPv6 地址數(shù)的統(tǒng)計信息。圖 1-2 中國 IPv6 地址數(shù)統(tǒng)計同時，我國擁有的 IPv4 地址的總數(shù)卻基本維持不變，截至 2012 年 12 月底共計有 3.31 億個。圖 1-3 展示了我國擁有的 IPv4 地址數(shù)�？梢钥闯�，近幾年來，IPv4 地址的增長率已經(jīng)十分緩慢。

圖 1-3 中國 IPv4 地址數(shù)統(tǒng)計隨著 IPv6 的快速普及，IPv4 協(xié)議最終會完全被 IPv6 技術(shù)取代。但是這個目標(biāo)不可能是一蹴而就的。IPv4 升級到 IPv6 需要更換大量的網(wǎng)絡(luò)設(shè)備，但是由于 IPv4 龐大的網(wǎng)絡(luò)規(guī)模，更換網(wǎng)絡(luò)設(shè)備將會影響大量用戶的使用，導(dǎo)致巨額的財產(chǎn)損失�？傊�，IPv6 技術(shù)替代 IPv4 技術(shù)是一個必然，但是其過程將會是緩慢的。這樣，在 IPv4 向 IPv6 過渡期間將會不可避免的出現(xiàn)兩種協(xié)議長時


本文編號：3255413