基于郵政網絡防火墻體系的研究與設計.pdf

1、本文的研究目的是針對郵政網絡的現(xiàn)狀設計具有獨特功能(算法)的防火墻體系。在研究防火墻技術和調研郵政網絡的基礎上，設計出對：DDoS防御有一定優(yōu)勢的防火墻。最終將該防火墻應用于郵政中間業(yè)務系統(tǒng)的網絡安全改造方案中。所以，本研究成果在企業(yè)網絡中具有較高的實用價值和較廣的應用領域。 本文介紹了計算機網絡安全、防火墻的系統(tǒng)結構和關鍵技術以及Linux防火墻工具。說明了基于Linux內核的防火墻模塊設計原理，并設計了Linux防火墻的幾個

2、與本文算法有關的功能：入侵檢測、VPN和流量管理。分析了目前最為常見也最難以防御的分布式拒絕服務攻擊(DDoS)的現(xiàn)狀。介紹了現(xiàn)有的DDoS防御對策和四類技術：減小傷害、限制流量、入口過濾和DDoS攻擊源的追蹤，重點介紹了DDoS攻擊源追蹤的幾種技術(鏈路測試法、隨機采樣法、動態(tài)安全關聯(lián)跟蹤、流量記錄法)，它們對網絡的積極防御有著重大的意義。 本文在這些DDoS防御技術的基礎上進行了創(chuàng)新，結合郵政企業(yè)網絡情況設計一種新的檢測算法

3、。企業(yè)的網絡流量是隨業(yè)務發(fā)展的趨勢變化的，分析了流量歷史數(shù)據后可以按照該趨勢預測未來時間內網絡的正常流量，用該流量作為閥值，隨時與當前流量做比對，當前流量過大說明網絡流量異常，可能存在DDoS攻擊。所以，計算正常流量的閥值是關鍵。 本文依據趨勢外推法的理論基礎提出了一個預測流量閥值的數(shù)學模型，通過對網絡流量的歷史數(shù)據進行分析選定了合適的數(shù)模，并用最小二乘法進行推算，得到預測網絡正常流量閥值的公式，并對該函數(shù)可否準確描述網絡流量的

4、擬合程度進行了驗證。 隨后提出了新算法-基于防火墻的路由器流量反向追蹤算法：利用防火墻檢測通過自身的當前流量，當流量大于預測的流量閥值時，說明可能存在DDoS攻擊，此時防火墻分析流量閥值確定路由器上當前流量是否異常，反向追蹤DDoS攻擊源。 算法提出后，分析滿二叉樹攻擊網絡，滿三叉樹攻擊網絡情況下檢測進程數(shù)量對反向追蹤時間的影響，分析結果并建議了該防御體系進程的最佳數(shù)量。然后將設計的新算法與現(xiàn)有的DDoS攻擊源的追蹤技術