DDoS異常流量過(guò)濾系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著人類進(jìn)入信息時(shí)代，互聯(lián)網(wǎng)和人們的關(guān)系越來(lái)越密切，它在帶來(lái)很多方便的同時(shí)，也帶來(lái)了很多新的問(wèn)題。其中互聯(lián)網(wǎng)的安全性引起了各個(gè)國(guó)家、公司的高度重視?；ヂ?lián)網(wǎng)的攻擊手段層出不窮，而分布式拒絕服務(wù)攻擊由于其簡(jiǎn)單、破壞性大，正在被攻擊者廣泛使用，極大地影響著網(wǎng)絡(luò)和業(yè)務(wù)主機(jī)系統(tǒng)的有效運(yùn)行。因此，開發(fā)先進(jìn)的抗拒絕服務(wù)攻擊產(chǎn)品具有非常重要的戰(zhàn)略意義和市場(chǎng)應(yīng)用前景。抗拒絕服務(wù)攻擊產(chǎn)品和異常流量過(guò)濾有著非常密切的聯(lián)系，它們相互構(gòu)成對(duì)方體系結(jié)構(gòu)中重要的組成

2、部分。異常流量過(guò)濾一直就是抗拒絕服務(wù)攻擊中的一個(gè)難點(diǎn)。 本文研究和實(shí)現(xiàn)了抗拒絕服務(wù)攻擊產(chǎn)品中的異常流量過(guò)濾子系統(tǒng)。它結(jié)合多種過(guò)濾技術(shù)，實(shí)現(xiàn)了對(duì)異常數(shù)據(jù)包的最大程度過(guò)濾。它主要由下面幾個(gè)技術(shù)部分組成： (1)創(chuàng)造性的提出了基于指紋提取的過(guò)濾技術(shù)。系統(tǒng)將網(wǎng)絡(luò)中數(shù)據(jù)包的協(xié)議頭統(tǒng)計(jì)信息定義為指紋。其原理在于網(wǎng)絡(luò)出現(xiàn)異常的時(shí)候，其流量特征的統(tǒng)計(jì)特性會(huì)發(fā)生變化。當(dāng)網(wǎng)絡(luò)正常的時(shí)候，對(duì)網(wǎng)絡(luò)擇中的數(shù)據(jù)包的相應(yīng)特征進(jìn)行統(tǒng)計(jì)，并不斷更新，得到

3、正常指紋。當(dāng)攻擊發(fā)生的時(shí)候，統(tǒng)計(jì)出異常指紋。通過(guò)對(duì)正常指紋和異常指紋的對(duì)比，可以發(fā)現(xiàn)異常數(shù)據(jù)包的分布特點(diǎn)，最后根據(jù)這些分布特點(diǎn)來(lái)對(duì)新進(jìn)來(lái)的包進(jìn)行危險(xiǎn)度評(píng)估，以此作為包過(guò)濾的依據(jù)。 (2)攻擊目標(biāo)定位技術(shù)。當(dāng)攻擊發(fā)生的時(shí)候，系統(tǒng)試圖發(fā)現(xiàn)被攻擊目標(biāo)。如果攻擊定位成功，系統(tǒng)會(huì)提取出被攻擊目標(biāo)的相關(guān)信息，包括IP地址，歷史流量和當(dāng)前實(shí)際流量信息。根據(jù)IP地址，可以將異常流量區(qū)分出來(lái)，并有針對(duì)性的對(duì)該目標(biāo)進(jìn)行異常流量過(guò)濾，通過(guò)收集到的流量