策略網管中利用NetFlow進行DoS-DDoS攻擊防范的研究與實現.pdf

1、隨著計算機網絡的迅速發(fā)展，網絡攻擊形式也變得越來越復雜、難于防御，尤其是DoS/DDoS攻擊的出現，更是對網絡安全造成巨大的威脅。如何構建一個高效的、完善的安全系統已成為安全管理領域的研究熱點。 本文在研究和分析現有的安全機制的基礎上，有針對性地指出當前通用的安全技術在防范現在廣泛流行的DoS/DDoS攻擊時所體現的不足。一方面，由于該攻擊利用正常的網絡數據包實現對網絡的攻擊，因而通用的基于特征的誤用檢測技術無法實現對DoS/D

2、DoS攻擊的檢測；另一方面，大部分DoS/DDoS攻擊都會采用偽造源IP地址的技術，從而躲避基于異常模式監(jiān)控工具的識別，并且增加了網絡設備或者通用的邊界安全設備的安全配置難度。 為了解決上述問題，在對Cisco開發(fā)的NetFlow技術以及IETF組織提出的基于策略的管理方案的深入研究的基礎上，本文提出了將NetFlow技術與策略管理技術相結合，在策略管理系統中利用NetFlow技術，實現對DoS/DDoS攻擊檢測和防范的安全防御

3、系統模型。依據這個系統的模型，本文設計了模型中的各個模塊，并給出了具體的實現方法。本文著重研發(fā)了該安全系統中安全策略的制定、分發(fā)和實施機制，給出具體的實現方法并有針對性地進行了相應的測試，達到策略管理技術所要求的實現網絡設備自動配置的特性，實現了一個具有動態(tài)防御機制的安全防御系統。 最后，本文提供的實現原型以防范DoS/DDoS攻擊中的一種-SYNFlooding攻擊為例，驗證了整個系統的可行性和有效性，為未來安全系統的開發(fā)提供