文档介绍：中南大学
硕士学位论文
基于主动网的DDoS阻断系统的设计与实现
姓名:李旭
申请学位级别:硕士
专业:计算机应用技术
指导教师:陈志刚
20070409
摘要攻击是互联网安全的重大威胁之一。随着网络破坏者的不断增多和攻击工具的不断改进,攻击防范的需求变得越来越紧迫。问题的严重性引起学术界的研究焦点从静态的防御单体转向主动的阻断体系,其中主动网络技术和阻断系统的结合是可能的发展方向之一。本文首先介绍了阻断技术。这些技术包括入侵检测、防御和追踪回溯等。接着分析了主动网络的结构和组成,最后阐述了基于主动网的阻断技术的思想和模型。本文设计和实现了基于主动网的阻断系统。首先描述了系统的整体结构和处理过程,其次按照逻辑功能的划分原则设计了检测模块、分析模块和执行模块,并且详细地说明了各个模块的组成结构、运行流程和代码实现。接着讨论了系统的关键技术。为了解决检测特征值的静态不可变性,检测模块引入了贝叶斯网络,并进行改进得到自适应检测算法。针对追踪回溯路由的数据冗余,执行模块引入了标志域压缩,并进行改进得到基于路径压缩的路由包标记算法。本文提出的阻断系统组织多个主动节点进行协作检测和动态防御,能够有效地扩大防御半径和加强系统灵活性。基于主动网的阻断系统作为一个有益的尝试,一定存在着许多缺陷,但是随着主动网络的逐步完善,该系统会获得更广泛的应用。关键词主动网络,阻断系统,自适应检测,压缩包标记
,甋,.甌瓺甌瓼.,,琧甌Ⅱ
储魏查垫导师签她期:俎畦与工日作者签名:扭日期:俎年垒月旦日原创性声明关于学位论文使用授权说明工作及取得的研究成果。尽我所知,除了论文中特别加以标注和致谢包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我本人了解中南大学有关保留、使用学位论文的规定,即:学校有权保留学位论文,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以采用复印、缩印或其它手段保存学位论文;学校可根据国家或湖南省有关部门规定送交学位论文。本人声明,所呈交的学位论文是本人在导师指导下进行的研究的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不共同工作的同志对本研究所作的贡献均己在论文中作了明确的说明。
第一章绪论研究的背景与意义目前,网络安全己成为关系国家安全的重大战略问题。网络的出现及其在政治、军事、经济等领域的应用,为国家发展开辟了一个全新的领域。信息是战略资源,信息是决策资源。从军事意义上看,信息是控制战场的灵魂,因为信息决定火力部署和机动力调度,而且还可以极大扩充军队指挥系统的灵活性。这样来说,信息战的未来战场上争夺网络优势的斗争将会十分激烈。网络是敌对双方借以获取信息优势的制高点,网络攻击与网络防护也将成为未来军队作战的新模式。因此,网络安全问题可以说是关系到国家安全和民族存亡的重大问题,那么网络安全问题的研究是极为重要的。然而无论从我国还是从全世界范围来看,网络安全状况都是不容乐观的。网络安全已经成为网络技术发展的瓶颈,阻碍着网络应用在各个领域的纵深发展。网络安全问题对传统的国家安全体系提出了严峻的挑战,使国家机密、金融信息等面临着巨大的威胁。面对当前网络安全状况,我们应当持正确的、辩证的态度。一方面不能因噎废食,拒绝先进的网络技术和文化,另一方面一定要对网络的安全威胁给予充分的重视。分布式拒绝服务攻击【浚珺,见图,是当今互联网安全急需解决的重大难题之一。它是指利用互联网上大量被控制的傀儡主机对单个服务器进行信息冲击从而导致合法用户无法正常地获得有用服务的网络安全威胁。攻击不但导致一个网站的所有用户在使用上的不便和困难,而且也造成通过网络进行电子商务交易的公司在经济上的严重损失。年虏幻鞯缒院诳凸セ髁薡、、、约癊等美国主要商业站点。年禄チM系腄关键服务器遭到了攻击。年著名的商业站点比如、遭受了广泛传播的攻击工具如、、和的攻击。这些事件【慷级允澜缇迷成了巨大的破坏,,其中带宽冲击是指攻击方用极大的通讯量冲击被攻击目标的网络来耗尽所有可用的带宽资源,从而导致合法的用户请求无法到达提供服务的服务器,而资源空耗则是指攻击方用大量连接冲击被攻击目标来耗尽所有可用的操作系统资源,从而导致计算机无法处理合法用户的请求。硕士学位论文
国内外研究现状一般情况下,攻击所产生的效果可以通过以下现象来辨认:主机上有大量等待的樱煌缰谐涑庾糯罅课痹煸吹刂返氖莅惶囟ǖ姆袂肭反复地高速进入网络;系统由于网络通讯量的急剧增加而接近瘫痪和死机的状态。这是由于它具有以下特点:捎诩辛耸烤薮蟮闹骰蛘叻衿鹘攻击,即使对于采用汉透涸鼐獾拿呕д镜憷此担参薹ǜ旱F涔康连接请求而进入崩溃状态:嗖愕墓セ髯橹峁乖诤艽蟪潭壬