基于動(dòng)態(tài)路徑標(biāo)識(shí)的因特網(wǎng)安全機(jī)制研究.pdf

1、拒絕服務(wù)攻擊(Denial of Service，DoS)，尤其是分布式拒絕服務(wù)攻擊(Distributed DoS，DDoS)已經(jīng)成為最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一。由于TCP/IP協(xié)議設(shè)計(jì)之初的缺陷和因特網(wǎng)的開(kāi)放性本質(zhì)，以及攻擊者的分布式等特性，使得預(yù)防和消除這類攻擊變得十分困難。因此，如何防御因特網(wǎng)的拒絕服務(wù)攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域的一項(xiàng)重要的研究?jī)?nèi)容。針對(duì)該領(lǐng)域中的主要問(wèn)題，本文開(kāi)展了一系列研究，主要體現(xiàn)在如下幾個(gè)方面： 針對(duì)靜

2、態(tài)路徑標(biāo)識(shí)技術(shù)的不足，提出了基于RF位的動(dòng)態(tài)路徑標(biāo)識(shí)方案(RFPi)。以IP包首部的RF位作為標(biāo)志，路由器根據(jù)當(dāng)前數(shù)據(jù)包的TTL值，推算其已經(jīng)過(guò)的旅行距離，動(dòng)態(tài)插入1～16bits的標(biāo)識(shí)。該方案最大程度地利用了標(biāo)記域的空間，具有更好的部署可擴(kuò)展性。 為提高攻擊包和合法包的區(qū)分效果，提出了多階段的學(xué)習(xí)過(guò)濾方案。在實(shí)施Pi方案的前提下，通過(guò)多階段的學(xué)習(xí)和過(guò)濾，將單次學(xué)習(xí)無(wú)法識(shí)別的混雜數(shù)據(jù)包再一次進(jìn)行學(xué)習(xí)，達(dá)到提高區(qū)分效果的目的。

3、 由于DDoS攻擊經(jīng)常運(yùn)用IP欺騙技術(shù)對(duì)攻擊源地址進(jìn)行偽裝，增大了防御的難度。作者設(shè)計(jì)了基于歷史IP地址和Pi值數(shù)據(jù)庫(kù)(IPPiD)的DDoS攻擊防御系統(tǒng)，提出了系統(tǒng)的部署策略和參數(shù)設(shè)定方案，并將統(tǒng)計(jì)分析的思想應(yīng)用到了標(biāo)記值和特征值的優(yōu)化存儲(chǔ)，有效減少了存儲(chǔ)空間和匹配的查找時(shí)間，提高了系統(tǒng)對(duì)攻擊的反應(yīng)速度。 以DDoS攻擊防御研究的標(biāo)準(zhǔn)拓?fù)鋽?shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)，仿真實(shí)驗(yàn)表明，與靜態(tài)路徑標(biāo)識(shí)方案相比，RFPi方案顯著提高攻擊包識(shí)