返回
一种追踪ddos攻击源的算法

一种追踪ddos攻击源的算法

ID:15404816

大小:141.50 KB

页数:3页

时间:2018-08-03

一种追踪ddos攻击源的算法_第1页
一种追踪ddos攻击源的算法_第2页
一种追踪ddos攻击源的算法_第3页
资源描述:

《一种追踪ddos攻击源的算法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一种追踪 DDoS 攻击源的算法李庆红(株洲职业技术学院 信息工程系,湖南 株洲 412001)摘要:提出了一个追踪 DDoS 攻击源的算法,将攻击源快速锁定到规模相对较小的 AS 实体中,确定攻击源所属的 AS 自治域系统。由入侵检测系统的网络数据包采集器负责处理网络中传输的报文,采集到的数据经加工处理后,识别、记录和分析攻击行为或异常情况,形成入侵攻击报警信息数据,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图 。  实验表明,该算法比PPM 算法在计算负载上更有效。关键词:入侵检测;DDoS;攻击路径中图分类号:TP3

2、93文献标识码:A文章编号:1009-3044(2011)18-4321-03An Algorithm for Tracing DDoS Attack SourcesLI Qing-hong(Department of Information Engineering, Zhuzhou Professional Technology College, Zhuzhou 412001, China)Abstract:  An algorithm for tracing DDoS attacK sources rapidly  locK  att

3、acK  sources  to  AS  entities  with  small  scales  for  ensuring  their  ASautonomy system. The gatherer of networK pacKets in IDS sees after transmissive message of the networK, the gathered data are cured to i-dentify,  record  and  analyze  aggressive  behaviors  or 

4、 abnormal  condition  for  forming  intrusion  attacK  alarm  information  data,  this  retracesroutes of intrusion attacKs to forming the effective route figures. Experiments show that the algorithm is effective than the PPM algorithmon calculated load.Key words: intrusi

5、on detection; DDoS; intrusion route随着互联网络的快速发展,DDoS 攻击已成为 Internet 中最主要的安全威胁之一,越来越多的攻击案例已跨越了多个 ISP。  DDoS攻击可在世界上任何一个连接 Internet 的角落发起攻击,随着 Internet 规模不断拓展,DDoS 攻击所跨越的路径将变得更长。  在大多数的 DDoS 攻击事件中,攻击者普遍采用了 “源地址欺骗”技术,使得各类基于特征信息过滤的防范手段变得十分有限 ,因而防范DDoS 攻击是非常困难的。 一些追踪算法[1-7]在短距离攻

6、击事件的追踪中有良好的表现,而针对长距离攻击事件的追踪则显得力不从心。最初的 DDoS 攻击追踪采用逐跳(Hop byHop)追踪方法,例如链路测试,从最接近被攻击的路由器开始,测试其上游所有链路,找出是哪一个链路传输了攻击的数据流,然后在上一级路由器重复该过程,直到发现攻击源。  由于该方法极大地依赖 ISP 和网络管理员的配合,人工成本很高,难以实现。目前针对 DDoS 攻击源追踪主要为基于因特网层面的全局范围解决方案和基于 ISP 层面上的有限范围解决方案[1]。  前者修改Internet 中所有的路由器协议,需要路由器厂商和

7、 ISP 支持,参与追踪算法的实施;后者能有效跟踪 ISP 内部攻击事件,但难以处理跨 ISP 的 DDoS 攻击事件。 基于显式的 ICMP traceback 消息的追踪方案利用 ICMP 分组包来发送标记消息[2],而路由器以低概率从其转发的路由分组中取一个样本,目的节点根据收到的信息来重构攻击路径,但需防止攻击者发送假的 ICMP traceback 报文。  类似于ICMP traceback,基于概率数据包标记(PPM)方案[3]在数据包到达路由器时,以某种概率来标记数据包的部分路径信息,当被攻击主机收到的带有标记信息的数据包

8、达到一定数量时,可通过分析来恢复和构建完整的攻击路径。  该方法能实现事后追踪,降低系统负载,且不会增加所传送数据包的大小。 但数据包标记很容易被攻击者利用,当对付少量攻击包且高度分散的 DD

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。