針對SYNFlood攻擊的中間代理模型.pdf

1、隨著計算機網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息輸量傳的急劇增長,一些機構(gòu)和部門在得益于網(wǎng)絡(luò)的同時,其連接在Inter網(wǎng)上的電腦里的數(shù)據(jù)和信息也遭到了不同程度的竊取和破壞,數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅,信息安全成為了一個日益重要的問題。網(wǎng)絡(luò)規(guī)模日趨增大的同時也伴隨著攻擊發(fā)生概率的增大。通過引入入侵檢測技術(shù),能夠在網(wǎng)絡(luò)中實時檢測攻擊事件的發(fā)生,并在攻擊事件發(fā)生的早期階段,切斷攻擊者的連接。而隨著入侵技術(shù)的不斷翻新,入侵檢測變得日益具有挑

2、戰(zhàn)性。SYN Flood攻擊是當前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的攻擊方式之一。攻擊者利用TCP/IP三次握手協(xié)議,偽造大量IP數(shù)據(jù)包向服務(wù)器發(fā)送,請求新的連接,導致服務(wù)器端為了維護一個較大的半連接列表而消耗非常多的資源。使服務(wù)器忙于處理攻擊者偽造的TCP連接請求而無暇滿足客戶的正常請求。本文分析了入侵檢測的研究現(xiàn)狀,討論了目前常見的入侵手段,在對入侵檢測技術(shù)及其系統(tǒng)進行深入分析的基礎(chǔ)上,提出了針對SYN

3、 Flood攻擊的一種入侵檢測方法。針對SYN Flood攻擊的特點我們在客服端和服務(wù)器端之間設(shè)計一個中間代理。通過它將TCP“三次握手”轉(zhuǎn)變成“一次握手”,讓中間代理來等待客戶端的第三次應答響應,使服務(wù)器從等待中脫離出來。對中間代理我們采用了基于異常特征的神經(jīng)網(wǎng)絡(luò)代理算法,通過檢測網(wǎng)絡(luò)數(shù)據(jù)包,將處理后的數(shù)據(jù)包信息轉(zhuǎn)換為具有134個分向量的特征向量,經(jīng)過神經(jīng)網(wǎng)絡(luò)的學習和判別,實現(xiàn)防御SYN Flood攻擊。為證明其能有效防御SYN Fl