抗拒絕服務(wù)攻擊系統(tǒng)中的流量控制技術(shù)研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)帶來(lái)方便的同時(shí),網(wǎng)絡(luò)安全事件也時(shí)有發(fā)生,網(wǎng)絡(luò)攻擊威懾著網(wǎng)上用戶，信息的安全性和保密性受到很大的威脅。在各種網(wǎng)絡(luò)攻擊事件中,拒絕服務(wù)攻擊(DoS，Denial of Service)和分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service）由于其攻擊工具隨處可得，容易操作，攻擊范圍廣，隱蔽性強(qiáng)，簡(jiǎn)單有效，日益智能化的特點(diǎn)，使其發(fā)生頻率越來(lái)越高,極大地影響著網(wǎng)絡(luò)和業(yè)務(wù)主機(jī)系統(tǒng)的有效運(yùn)行

2、。因此，開(kāi)發(fā)先進(jìn)的抗拒絕服務(wù)攻擊產(chǎn)品具有非常重要的戰(zhàn)略意義和市場(chǎng)應(yīng)用前景。
　　流量控制指在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)上，以滿足特定的性能指標(biāo)以及避免出現(xiàn)擁塞為目標(biāo)的全部網(wǎng)絡(luò)行為。在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中，流量控制技術(shù)的目的就是要提供最有效地利用網(wǎng)絡(luò)資源的方式，為用戶提供良好的安全服務(wù)質(zhì)量。
　　拒絕服務(wù)攻擊防護(hù)和流量控制有著非常密切的聯(lián)系，它們相互構(gòu)成對(duì)方體系結(jié)構(gòu)中重要的組成部分。首先，抗拒絕服務(wù)攻擊設(shè)備為網(wǎng)絡(luò)流量控制提供了安全保障。其次

3、，作為網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全設(shè)備，往往處在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的子網(wǎng)絡(luò)之間交換數(shù)據(jù)的瓶頸位置，需要對(duì)網(wǎng)絡(luò)中不同服務(wù)、不同子網(wǎng)、不同設(shè)備提供不同帶寬，這些網(wǎng)絡(luò)安全設(shè)備是否有較好的流量控制，將直接影響網(wǎng)絡(luò)性能。因此，研究基于抗拒絕服務(wù)攻擊系統(tǒng)中的流量控制技術(shù)是非常必要而且迫切的。
　　基于上述理由，我們?cè)诳咕芙^服務(wù)攻擊系統(tǒng)中研究實(shí)現(xiàn)了流量控制模塊，它具體有以下三個(gè)技術(shù)部分組成：
　?。?）基于規(guī)則的流量控制，可由

4、管理員設(shè)定規(guī)則和系統(tǒng)固有設(shè)定規(guī)則對(duì)具備明顯攻擊特征的數(shù)據(jù)包進(jìn)行流量控制處理。
　?。?）基于帶權(quán)公平服務(wù)的流量控制，與系統(tǒng)的DoS/DDoS檢測(cè)與防御機(jī)制緊密結(jié)合，充分運(yùn)用攻擊目標(biāo)定位、指紋提取，數(shù)據(jù)挖掘等功能模塊為數(shù)據(jù)包攻擊危險(xiǎn)度打分，然后根據(jù)數(shù)據(jù)包危險(xiǎn)度和數(shù)據(jù)流危險(xiǎn)度的分值來(lái)進(jìn)行流量控制處理。
　?。?）基于速率限制的流量控制，可以根據(jù)系統(tǒng)管理員設(shè)定的流量閾值和系統(tǒng)正常歷史流量平均值來(lái)動(dòng)態(tài)調(diào)整通過(guò)抗拒絕服務(wù)攻擊系統(tǒng)的數(shù)據(jù)