基于校園網(wǎng)的SYN Flood攻擊檢測(cè)和防御方法的研究.pdf

1、在人們不斷加深對(duì)網(wǎng)絡(luò)應(yīng)用的依賴性的同時(shí),網(wǎng)絡(luò)的可用性逐步成為人們關(guān)注的重點(diǎn)。其中讓網(wǎng)絡(luò)管理人員廣為熟知卻難以應(yīng)對(duì)的網(wǎng)絡(luò)可用性攻擊之一便是DDOS攻擊。在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下,需要結(jié)合多方面的技術(shù)防范DDOS攻擊保障網(wǎng)絡(luò)服務(wù)的安全性。因此本文將攻擊檢測(cè)與擁塞控制相結(jié)合,主要解決DDOS造成的目標(biāo)主機(jī)資源被耗盡以及網(wǎng)絡(luò)擁塞。通過(guò)這種方式針對(duì)DDOS攻擊一種常見(jiàn)形式——SYNFlood攻擊,提出一種基于校園網(wǎng)的SYNFlood攻擊檢測(cè)防御方法

2、。
　　 本文使用Hash函數(shù)和改進(jìn)的基于BloomFilter的信息提取算法來(lái)生成初始的統(tǒng)計(jì)序列,然后進(jìn)行早期攻擊檢測(cè)。在早期檢測(cè)中首先對(duì)統(tǒng)計(jì)序列進(jìn)行平滑處理后結(jié)合自適應(yīng)偏移常量,使之符合非參數(shù)CUSUM算法遞歸版本要求,最后需要根據(jù)正常網(wǎng)絡(luò)流量的均值情況,來(lái)實(shí)時(shí)的制定檢測(cè)閾值;確定發(fā)生攻擊時(shí),使用MULTOPS機(jī)制并結(jié)合一個(gè)記錄網(wǎng)絡(luò)端口SYN數(shù)量的BloomFilter數(shù)據(jù)結(jié)構(gòu),在檢測(cè)到攻擊存在的同時(shí),快速確定攻擊目標(biāo)以及此

3、次的攻擊強(qiáng)度,以便采用相應(yīng)的處理方法。對(duì)于重度攻擊,直接丟掉惡意數(shù)據(jù)報(bào);對(duì)于輕度攻擊,把輕度攻擊看成是即將發(fā)生網(wǎng)絡(luò)擁塞,通知路由器立即啟動(dòng)擁塞控制機(jī)制。
　　 本文進(jìn)行了大量的攻擊模擬實(shí)驗(yàn),結(jié)果表明使用BloomFilter在源端對(duì)數(shù)據(jù)包進(jìn)行旁聽(tīng)檢測(cè),可以檢測(cè)出異常流量并很好的區(qū)分網(wǎng)絡(luò)擁塞和攻擊的存在,同時(shí)統(tǒng)計(jì)到的結(jié)果中漏報(bào)與誤報(bào)情況也相對(duì)較少。通過(guò)結(jié)合擁塞控制的使用,可以在保證網(wǎng)絡(luò)能夠?qū)戏ㄓ脩籼峁┱７?wù)的基礎(chǔ)上對(duì)不同性質(zhì)的