一种层次化多阈值DDoS防御模型研究

发布时间：2018-09-15 07:02

【摘要】：传统网络的DDoS检测防御模型设计一般将模型部署在网络链路和受保护目标之间，并把检测防御模型中的统计、计算、过滤功能都集中在安全设备端。整个检测防御模型没有利用网络节点的计算能力。 本文通过研究各类常见的DDoS攻击防御技术，通过分析选择了适用性较为宽广、可以抵御未知种类DDoS攻击以及混杂型DDoS攻击的基于异常流量统计的包过滤DDoS检测防御方法。在充分考虑现有的各类DDoS攻击防御技术的基础上，本文推出了基于NetFlow技术的DDoS攻击防御方案。阐述了利用NetFlow检测网络DDoS异常流量以及在将DDoS防御机制部署在骨干网络进行统计防御的技术特点。传统防御模型由于骨干网络的节点设备的本身的计算能力不足，不能有效形成分布式的连接组合防御大规模的DDoS攻击。而在骨干网络部署监测防御机制也会影响骨干网络本身的网络包的转发和控制功能而影响过滤的效率。为解决这一核心问题本文提出利用网络节点的NetFlow统计能力，将其部署在检测位置最合适的骨干网络中，其解析计算部署在附加计算模块中，最后由计算模块给予的阈值在防火墙端直接实现过滤功能的层次化多阈值包过滤的DDoS防御模型。从而实现了统计、计算、过滤的功能由集中到分离层次化的DDoS检测防御模型。 在阈值生成部分，本文选取了基于流量分析和阈值策略的防范机制使用单阈值或双阈值来判断攻击行为。在通过NetFlow网络流量统计生成阈值后，，本文提出基于验证过滤结果、通过设计回收圈机制对过滤阈值进行反馈性计算算法，由此实现了防御模型过滤阈值的即时浮动，并形成多阈值判别根据，用来减少阈值的生成相对于网络流量变化的滞后性，提高防御模型整体的灵敏度与过滤精度。通过在校园网网络中心实际环境的网络测试表明：这种层次化多阈值DDoS检测与防御模型面对正常网络服务和未知及混合种类的DDoS攻击时，具有较高的服务效率和过滤精度，较好的解决了传统防御模型的整体服务效率不高和过滤精度偏低的问题。
[Abstract]:The traditional DDoS detection and defense model is usually deployed between the network link and the protected target, and the statistical, computational and filtering functions of the detection defense model are concentrated on the security device side. The whole detection defense model does not utilize the computing power of network nodes. In this paper, by studying the common DDoS attack defense techniques, we choose a packet filter DDoS detection defense method based on abnormal traffic statistics, which can resist unknown DDoS attacks and hybrid DDoS attacks. On the basis of considering all kinds of existing DDoS attack defense technology, this paper presents a DDoS attack defense scheme based on NetFlow technology. This paper describes the technical features of using NetFlow to detect network DDoS abnormal traffic and to deploy DDoS defense mechanism in backbone network for statistical defense. Because of the lack of computing power of the node equipment in the backbone network, the traditional defense model can not effectively form a distributed connection combination to defend against large-scale DDoS attacks. The deployment of monitoring and defense mechanisms in backbone networks also affects the forwarding and control functions of the backbone network packets and affects the efficiency of filtering. In order to solve this core problem, this paper proposes to use the NetFlow statistical capability of network nodes and deploy them in the backbone network with the most suitable detection position, and the analytical calculation is deployed in the additional computing module. Finally, a hierarchical multi-threshold packet filtering DDoS defense model based on the threshold given by the calculation module is implemented directly at the firewall end. Thus, the functions of statistics, calculation and filtering are realized from centralized to separated hierarchical DDoS detection defense model. In the part of threshold generation, we choose the prevention mechanism based on traffic analysis and threshold strategy to judge the attack behavior by single threshold or double threshold. After the threshold is generated by NetFlow network traffic statistics, this paper proposes a feedback calculation algorithm for filtering threshold based on the verification filtering results and the design of recycling loop mechanism, thus realizing the real-time floating of filtering threshold of defense model. The multi-threshold discriminant is used to reduce the lag between the threshold generation and the network traffic, and to improve the sensitivity and filtering accuracy of the defense model as a whole. The network test in the campus network center shows that this hierarchical multi-threshold DDoS detection and defense model has high service efficiency and filtering accuracy when it faces normal network services and unknown and mixed DDoS attacks. It solves the problems of low service efficiency and low filtering precision of the traditional defense model.
【学位授予单位】：南京邮电大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 范明钰,王光卫;一种DDOS攻击分析[J];通信技术;2001年05期

2 苏更殊,李之棠;DDOS攻击的分析、检测与防范技术[J];计算机工程与设计;2002年11期

3 冯岩,杨鑫阁,王慧强;分布式拒绝服务攻击(DDoS)原理及其防范措施[J];应用科技;2002年02期

4 李小勇,刘东喜,谷大武,白英彩;DDoS防御与反应技术研究[J];计算机工程与应用;2003年12期

5 黄秋元 ,刘炜霞;DDoS:你会是下一个目标吗?[J];个人电脑;2003年02期

6 尹传勇,刘寿强,陈娇春;新型蠕虫DDoS攻击的分析与防治[J];计算机安全;2003年07期

7 jjxu;;一页公开的X客随笔[J];软件;2003年09期

8 黄智勇,沈芳阳,刘怀亮,林志,黄永泰,周晓冬;DDoS攻击原理及对策研究[J];计算机与现代化;2004年03期

9 胡小新,王颖,罗旭斌;一种DDoS攻击的防御方案[J];计算机工程与应用;2004年12期

10 杨柳,刘乃琦;分布式拒绝服务攻击(DDoS)原理及防范[J];福建电脑;2004年06期

相关会议论文 前10条

1 蒋平;;DDoS攻击分类及趋势预测[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

2 张镔;黄遵国;;DDoS防弹墙验证调度层设计与实现[A];中国电子学会第十六届信息论学术年会论文集[C];2009年

3 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年

4 王永强;;分布式拒绝服务攻击(DDoS)分析及防范[A];第二十一次全国计算机安全学术交流会论文集[C];2006年

5 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年

6 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年

7 王欣;方滨兴;;DDoS攻击中的相变理论研究[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

8 孙红杰;方滨兴;张宏莉;云晓春;;基于链路特征的DDoS攻击检测方法[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年

10 张少俊;李建华;陈秀真;;动态博弈论在DDoS防御中的应用[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

相关重要报纸文章 前10条

1 边歆;DDoS成为“商业武器”？[N];网络世界;2006年

2 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年

3 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年

4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年

5 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年

6 ;DDoS攻防那些事儿[N];网络世界;2012年

7 本报记者 李旭阳;DDoS防护需新手段[N];计算机世界;2012年

8 合泰云天（北京）信息科技公司创办人 Cisco Arbor Networks流量清洗技术工程师 郭庆;云清洗三打DDoS[N];网络世界;2013年

9 本报记者 姜姝;DDoS之殇 拷问防御能力[N];中国电脑教育报;2013年

10 刘佳源;英国1/5公司遭遇DDoS攻击[N];中国电子报;2013年

相关博士学位论文 前10条

1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年

2 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年

3 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年

4 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年

5 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年

6 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年

7 于明;DDoS攻击流及其源端网络自适应检测算法的研究[D];西安电子科技大学;2007年

8 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年

9 吕良福;DDoS攻击的检测及网络安全可视化研究[D];天津大学;2008年

10 陈世文;基于谱分析与统计机器学习的DDoS攻击检测技术研究[D];解放军信息工程大学;2013年

相关硕士学位论文 前10条

1 叶茜;DDoS攻击技术与防御方法研究[D];江南大学;2007年

2 王佳佳;DDoS攻击检测技术的研究[D];扬州大学;2008年

3 谢峰;基于抗DDoS的网络攻击检测与防御[D];电子科技大学;2008年

4 雷雨;DDoS攻击防御技术的研究与实现[D];重庆大学;2008年

5 施伟伟;DDoS攻击及其抵御机制研究[D];合肥工业大学;2009年

6 陈鹏;DDoS攻击防御新技术及模型研究[D];电子科技大学;2009年

7 蔡劭杨;上海电信DDOS防护部署[D];复旦大学;2009年

8 蒲儒峰;基于网络流量分形特性的DDoS攻击检测[D];西南交通大学;2009年

9 谢亚;基于模糊综合评判的应用层DDoS攻击检测方法研究[D];西南交通大学;2009年

10 冯江;DDoS攻击的检测与防御研究[D];江南大学;2009年

本文编号：2244118