基于控制与数据分离的映射系统DDoS攻击防御机制设计与实现
本文选题:控制与数据分离 切入点:映射系统 出处:《北京交通大学》2017年硕士论文
【摘要】:随着互联网的不断发展,互联网暴露出很多问题,其安全隐患越来越严重。要解决现有互联网存在的问题,有效预防DDoS攻击,构建新的网络体系机制具有重大意义。在诸多研究中,身份与位置分离、控制与数据分离成为研究的重点。控制与数据分离的映射系统在“智慧协同网络体系基础研究”基础上,将控制功能集中于控制器中,进一步实现控制与转发分离。控制器是整个映射系统的心脏,控制器性能的优劣对其整体性能有很大的影响。DDoS攻击通过网络发送大量请求,消耗网络资源,造成服务器拒绝服务,若控制器发生故障则会影响整个网络的运行。映射系统中的终端作为系统重要组成部分代表用户,终端受到攻击则会降低网络资源利用率和用户体验。本文主要研究基于映射系统的DDoS攻击检测防御机制的设计与实现。首先,本文分析了该领域的国内外研究现状。对身份与位置分离、控制与转发分离和DDoS攻击以及检测防御研究进行概述,并介绍了控制与数据分离的映射系统,随后进一步介绍了 DDoS攻击以及检测防御方法。其次,本文对控制与数据分离的映射系统进行分析。研究以控制器和主机为目标的DDoS攻击方法,根据攻击目标的不同有针对的设计DDoS攻击检测防御相关功能模块。主要工作包括:1)分析目标为控制器的DDoS攻击,DDoS攻击通过伪造大量接入标识触发大量映射请求来攻击控制器;2)研究映射请求解析过程;3)研究映射请求的消息结构,根据映射请求中的信息设计实现端口与接入标识映射模块、接入标识异常检测功能模块;4)分析目标为映射系统中主机的DDoS攻击,通过位置分散的傀儡机攻击接入映射系统的主机;5)分析DDoS攻击特征,根据攻击发生时流量和特征元素熵值的变化,设计实现流量信息统计处理功能模块和DDoS攻击检测防御功能模块,流量信息统计处理模块包括流量统计信息的获取以及分类处理,DDoS攻击检测防御模块包括流量矩阵、熵值矩阵的构建,根据数学统计计算方法得到测量值与阈值,进行比较;6)根据比较结果,使用统计计算结果定位攻击源,然后使用流量限制的方法防御DDoS攻击。最后,本文模拟控制与数据分离的映射系统并测试其连通性。在此测试环境下,先模拟背景流量测试在没有DDoS攻击的情况下的性能,然后模拟DoS攻击和DDoS攻击测试控制与数据分离的映射系统中DDoS攻击防御机制的功能和性能,最后对结果进行分析,验证了控制与数据分离的映射系统中DDoS攻击防御机制的实现。
[Abstract]:With the continuous development of the Internet, the Internet has exposed a lot of problems, and its security risks are becoming more and more serious. It is necessary to solve the existing Internet problems and effectively prevent DDoS attacks. Building a new network architecture mechanism is of great significance. In many studies, identity and location are separated. The mapping system of control and data separation concentrates the control function on the controller based on the basic research of intelligent cooperative network system. The controller is the heart of the whole mapping system. The performance of the controller has a great influence on its overall performance. DDoS attacks send a large number of requests through the network and consume network resources. If the controller fails, it will affect the operation of the whole network. The terminal in the mapping system represents the user as an important part of the system. When the terminal is attacked, the utilization of network resources and user experience will be reduced. This paper mainly studies the design and implementation of DDoS attack detection and defense mechanism based on mapping system. In this paper, the status quo of research in this field is analyzed. The research on identity and location separation, control and forwarding separation, DDoS attack and detection and defense are summarized, and the mapping system of control and data separation is introduced. Secondly, this paper analyzes the mapping system of the separation of control and data, and studies the DDoS attack method which takes controller and host as the target. The main work includes: 1) analyzing the DDoS attack of the target as the controller / DDoS attack triggers a large number of mapping requests by falsifying a large number of access identifiers. Attack controller 2) study the mapping request parsing process 3) study the message structure of the mapping request, According to the information in the mapping request, the mapping module of port and access identification is designed and implemented. The function module of abnormal detection of access identification is designed to analyze the DDoS attack of the host computer in the mapping system. The attack characteristics of DDoS are analyzed by using the distributed puppet machine attack access mapping system. According to the change of the flow rate and the entropy value of the feature element, The traffic information statistic processing module and the DDoS attack detection and defense function module are designed and implemented. The traffic information statistics processing module includes the traffic statistics information acquisition and the classification processing. The DDoS attack detection and defense module includes the flow matrix. The entropy matrix is constructed, the measured value and threshold are obtained according to the mathematical statistical calculation method, and the comparison is made. 6) according to the comparison results, the source of the attack is located by using the statistical calculation results, and then the method of traffic restriction is used to defend against the DDoS attack. This paper simulates the mapping system of control and data separation and tests its connectivity. In this test environment, the performance of background traffic testing without DDoS attack is first simulated. Then the function and performance of the DDoS attack defense mechanism in the mapping system of DoS attack and DDoS attack test control and data separation are simulated. Finally, the results are analyzed to verify the implementation of the DDoS attack defense mechanism in the mapping system with the separation of control and data.
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 寇芸,王育民;DDOS攻击的原理及其防范[J];网络安全技术与应用;2001年08期
2 何宗耀,崔雪冰;DDOS攻击的原理及对策[J];平顶山工学院学报;2002年04期
3 周伟,王丽娜,张焕国,傅建明;一种新的DDoS攻击方法及对策[J];计算机工程与应用;2003年01期
4 杨升;DDoS攻击及其应对措施[J];南平师专学报;2003年02期
5 樊爱京;DDoS攻击的原理及防范[J];平顶山师专学报;2003年05期
6 ;天目抗DoS/DDoS[J];信息安全与通信保密;2004年12期
7 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
8 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期
9 唐佳佳;;DDoS攻击和防御分类机制[J];电脑知识与技术;2006年29期
10 邱晓理;;抵御DDoS攻击的三大法宝[J];华南金融电脑;2006年10期
相关会议论文 前10条
1 蒋平;;DDoS攻击分类及趋势预测[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年
2 张镔;黄遵国;;DDoS防弹墙验证调度层设计与实现[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
3 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年
4 王永强;;分布式拒绝服务攻击(DDoS)分析及防范[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
5 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年
6 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
7 王欣;方滨兴;;DDoS攻击中的相变理论研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
8 孙红杰;方滨兴;张宏莉;云晓春;;基于链路特征的DDoS攻击检测方法[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
9 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年
10 张少俊;李建华;陈秀真;;动态博弈论在DDoS防御中的应用[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
相关重要报纸文章 前10条
1 边歆;DDoS成为“商业武器”?[N];网络世界;2006年
2 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年
3 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年
4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
5 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年
6 ;DDoS攻防那些事儿[N];网络世界;2012年
7 本报记者 李旭阳;DDoS防护需新手段[N];计算机世界;2012年
8 合泰云天(北京)信息科技公司创办人 Cisco Arbor Networks流量清洗技术工程师 郭庆;云清洗三打DDoS[N];网络世界;2013年
9 本报记者 姜姝;DDoS之殇 拷问防御能力[N];中国电脑教育报;2013年
10 刘佳源;英国1/5公司遭遇DDoS攻击[N];中国电子报;2013年
相关博士学位论文 前10条
1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年
2 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年
3 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年
4 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年
5 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年
6 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
7 王冬琦;分布式拒绝服务攻击检测和防御若干技术问题研究[D];东北大学;2011年
8 于明;DDoS攻击流及其源端网络自适应检测算法的研究[D];西安电子科技大学;2007年
9 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年
10 吕良福;DDoS攻击的检测及网络安全可视化研究[D];天津大学;2008年
相关硕士学位论文 前10条
1 嵇海进;DDoS攻击的防御方法研究[D];江南大学;2008年
2 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年
3 纪锴;内蒙古联通DDoS安全解决方案及应用[D];北京邮电大学;2012年
4 李鹤飞;基于软件定义网络的DDoS攻击检测方法和缓解机制的研究[D];华东师范大学;2015年
5 夏彬;基于软件定义网络的WLAN中DDoS攻击检测和防护[D];上海交通大学;2015年
6 吴高峻;基于卡尔曼滤波器的DDoS防御技术研究[D];电子科技大学;2014年
7 刘琰;DDoS智能防御系统的日志分析及定时任务模块的设计与实现[D];南京大学;2014年
8 郝力群;内蒙古移动互联网DDoS安全防护手段的设计与实施[D];内蒙古大学;2015年
9 张丽;DDoS防护技术研究[D];国防科学技术大学;2013年
10 王志刚;DDoS网络攻击的检测方法研究[D];南昌航空大学;2015年
,本文编号:1693049
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/1693049.html
