一種基于分組漏斗的DDoS攻擊防御機制研究.pdf

1、隨著因特網(wǎng)的迅猛發(fā)展，網(wǎng)絡在給人們帶來方便的同時也帶來了諸多安全問題，計算機網(wǎng)絡的保密性、完整性和可用性都面臨嚴峻考驗。目前，因特網(wǎng)面臨的安全威脅主要有黑客入侵攻擊、計算機病毒和拒絕服務攻擊(DoS)三個方面。分布式拒絕服務(DDoS)攻擊是近年來出現(xiàn)的一種全新的拒絕服務攻擊方式，由于其分布式的特性，使得DDoS攻擊比傳統(tǒng)的DoS攻擊擁有更多的攻擊資源，具有更強大的破壞力，而且更難以防范。隨著分布式拒絕服務攻擊的日益增多，該攻擊手段已逐

2、漸引起了全球各國的高度重視，并被認為是目前因特網(wǎng)所面臨的最大威脅之一。 論文針對DDoS攻擊原理、攻擊特點及防御算法進行了深入分析和研究，主要工作和創(chuàng)新如下： 1)論文介紹了國內(nèi)外研究人員提出的多種防御方法，根據(jù)其防御特點，將其分為攻擊前防御、攻擊期間響應和攻擊后追蹤三個方面，詳細分析并比較了它們的優(yōu)缺點。 2)源地址偽造是DDoS攻擊的特性之一，論文結(jié)合前人研究成果的分析與綜合，提出了一種基于分組漏斗的DDoS

3、防御方案，該方案采用活動IP表(Active IP，AIP)和等待矩陣(Waiting Matrix,WM)兩級過濾機制來保護服務器。其主要思想是讓邊界路由器對流向受保護服務器的數(shù)據(jù)包進行過濾，該防御方案以犧牲少量隨機合法用戶的正常訪問為代價，過濾掉大部分攻擊包，從而確保大多數(shù)合法用戶的正常訪問。 3)論文對系統(tǒng)中分組漏斗算法和AIP表、等待矩陣(WM)的構(gòu)造進行了深入分析和研究。在AIP表的構(gòu)建和檢測時使用了哈希技術(shù)以減少沖突