基于流記錄的DDoS檢測(cè)和響應(yīng).pdf

1、DDoS攻擊作為目前主流的網(wǎng)絡(luò)惡意行為之一，對(duì)互聯(lián)網(wǎng)的正常運(yùn)行造成了嚴(yán)重的危害。本文的研究工作圍繞DDoS攻擊的檢測(cè)和響應(yīng)展開。檢測(cè)工作基于網(wǎng)絡(luò)邊界路由器提供的流記錄信息進(jìn)行，并基于NBOS平臺(tái)在CERNET全網(wǎng)環(huán)境中進(jìn)行部署與驗(yàn)證。在此基礎(chǔ)上，本文研究了對(duì)檢測(cè)結(jié)果進(jìn)行評(píng)價(jià)的方法，同時(shí)還借助SDN技術(shù)，研究了對(duì)DDoS攻擊進(jìn)行響應(yīng)的工作。
　　在DDoS攻擊檢測(cè)方面，論文首先結(jié)合當(dāng)前學(xué)術(shù)角度和工業(yè)角度主流的檢測(cè)思路給出了本文的檢測(cè)

2、標(biāo)準(zhǔn)。在此基礎(chǔ)上，論文對(duì)NBOS系統(tǒng)原有SYN Flood檢測(cè)邏輯進(jìn)行分析，指出了其中的不足之處，提出完善方案并通過對(duì)比實(shí)驗(yàn)驗(yàn)證了改善后的成效。隨后論文通過對(duì)UDPFlood攻擊場(chǎng)景的分析，指出UDPFlood對(duì)單個(gè)主機(jī)以及對(duì)整個(gè)網(wǎng)段進(jìn)行攻擊的異同，設(shè)計(jì)了基于強(qiáng)度閾值和報(bào)文比閾值的檢測(cè)算法，并在實(shí)際的網(wǎng)絡(luò)環(huán)境中取得良好的檢測(cè)效果。最后，針對(duì)攻擊真實(shí)性驗(yàn)證的問題，本文提出了一個(gè)從假冒源地址、報(bào)文長(zhǎng)度、反向散射報(bào)文強(qiáng)度以及攻擊強(qiáng)度四個(gè)角度進(jìn)

3、行評(píng)價(jià)的方法，通過與實(shí)際的樣例分析對(duì)比證明了方法的正確性與可行性。
　　在DDoS攻擊檢測(cè)的基礎(chǔ)上，論文進(jìn)一步提出了根據(jù)DDoS攻擊檢測(cè)結(jié)果定位與追蹤其背后的僵尸網(wǎng)絡(luò)的研究思路。首先通過分析僵尸主機(jī)活動(dòng)周期證明了研究思路的可行性，然后基于僵尸主機(jī)的通訊特征設(shè)計(jì)了兩種定位控制命令報(bào)文與C&C控制器的方法。在此基礎(chǔ)上，論文設(shè)計(jì)與實(shí)現(xiàn)了僵尸網(wǎng)絡(luò)追蹤系統(tǒng)(BTS)并在實(shí)際網(wǎng)絡(luò)中成功定位多個(gè)C&C控制器和僵尸主機(jī)。被定位的控制器可以方便地利

4、用SDN流表進(jìn)行攔截。
　　在DDoS攻擊響應(yīng)方面，除了對(duì)控制命令的攔截外，還討論了對(duì)攻擊流量的攔截，并給出了相應(yīng)的面向SDN流表的攔截規(guī)則生成方法。在此基礎(chǔ)上，論文基于一個(gè)基于SDN技術(shù)的應(yīng)急響應(yīng)系統(tǒng)(HYDRA)設(shè)計(jì)實(shí)現(xiàn)了DDoS攻擊攔截系統(tǒng)，該系統(tǒng)基于NBOS和BTS獲取分析數(shù)據(jù)、生成攔截規(guī)則提交給HYDRA進(jìn)行攔截。該系統(tǒng)在CERNET江蘇省網(wǎng)邊界的實(shí)測(cè)表明其可以有效攔截控制命令以及DDoS攻擊流量。這個(gè)結(jié)果表明了基于SD