Linux環(huán)境下基于正則表達式的DDoS防御算法研究及實現(xiàn).pdf

1、隨著Internet的發(fā)展，網(wǎng)絡安全問題日益突出，其中分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊是當今Internet面臨的主要威脅之一，更為嚴重的是現(xiàn)在尚無完全令人滿意的防護手段和攻擊檢測手段，因此為其設計有效的防護手段和攻擊檢測手段是當前維護網(wǎng)絡安全的重要目標。DDoS(分布式拒絕服務攻擊)是一種攻擊強度大、危害嚴重的攻擊方式。它利用合理的請求來占用過多的服務器資源，致使服務器超載，無

2、法響應其他的請求。因為這種攻擊一般通過分布在不同計算機上的攻擊進程進行攻擊，同時運用IP欺騙和洪水攻擊等手段，因此對它進行檢測和防御就非常困難。相對于傳統(tǒng)的模式匹配，正則表達式具有靈活高效的特點。隨著DDoS防御檢測技術的發(fā)展，傳統(tǒng)上用于過濾數(shù)據(jù)包內容的模式集合(包含模式的匹配串)逐漸被正則表達式集合所代替。例如Linux的應用協(xié)議分類器L7-filter(Linux Application Protocol Classifier)，通

3、過基于正則表達式的模式集合識別應用層的數(shù)據(jù)包。目前，如何提高基于正則表達式的深度包檢測技術的效率，是DDoS防御檢測工作重點。
　　 本文提出了一種新的基于正則表達式的匹配算法，在深入分析了DFA(Deterministic Finite Automaton)狀態(tài)數(shù)對算法性能影響的基礎上，本文進一步提出了構造最優(yōu)DFA狀態(tài)數(shù)的算法，該算法保證在任意有限的系統(tǒng)資源下算法具有優(yōu)化的時間復雜度。在Linux環(huán)境下實現(xiàn)了該算法，并對基于