欢迎来到天天文库
浏览记录
ID:33480787
大小:2.53 MB
页数:74页
时间:2019-02-26
《一种层次化多阈值ddos防御模型研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、单位代码:10293密级:硕士学位论文论文题目:一种层次化多阈值DDoS防御模型研究学号1011040914姓名何丹导师许建真教授学科专业计算机应用技术研究方向计算机通信与网间互连技术申请学位类别工学硕士论文提交日期2014年5月万方数据TheStudyofHierarchicalMulti-thresholdDDoSDefenseModelThesisSubmittedtoNanjingUniversityofPostsandTelecommunicationsfortheDegreeofMaste
2、rofEngineeringByHeDanSupervisor:Prof.XuJian.zhenMay2014万方数据南京邮电大学学位论文原创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。本人学位论文及涉及相关资料若有不实,愿意承
3、担一切相关的法律责任。研究生签名:_____________日期:____________南京邮电大学学位论文使用授权声明本人授权南京邮电大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档;允许论文被查阅和借阅;可以将学位论文的全部或部分内容编入有关数据库进行检索;可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。本文电子文档的内容和纸质论文的内容相一致。论文的公布(包括刊登)授权南京邮电大学研究生院办理。涉密学位论文在解密后适用本授权书。研究生签名:____________导师签名:
4、____________日期:_____________万方数据摘要传统网络的DDoS检测防御模型设计一般将模型部署在网络链路和受保护目标之间,并把检测防御模型中的统计、计算、过滤功能都集中在安全设备端。整个检测防御模型没有利用网络节点的计算能力。本文通过研究各类常见的DDoS攻击防御技术,通过分析选择了适用性较为宽广、可以抵御未知种类DDoS攻击以及混杂型DDoS攻击的基于异常流量统计的包过滤DDoS检测防御方法。在充分考虑现有的各类DDoS攻击防御技术的基础上,本文推出了基于NetFlow技术的D
5、DoS攻击防御方案。阐述了利用NetFlow检测网络DDoS异常流量以及在将DDoS防御机制部署在骨干网络进行统计防御的技术特点。传统防御模型由于骨干网络的节点设备的本身的计算能力不足,不能有效形成分布式的连接组合防御大规模的DDoS攻击。而在骨干网络部署监测防御机制也会影响骨干网络本身的网络包的转发和控制功能而影响过滤的效率。为解决这一核心问题本文提出利用网络节点的NetFlow统计能力,将其部署在检测位置最合适的骨干网络中,其解析计算部署在附加计算模块中,最后由计算模块给予的阈值在防火墙端直接实现
6、过滤功能的层次化多阈值包过滤的DDoS防御模型。从而实现了统计、计算、过滤的功能由集中到分离层次化的DDoS检测防御模型。在阈值生成部分,本文选取了基于流量分析和阈值策略的防范机制使用单阈值或双阈值来判断攻击行为。在通过NetFlow网络流量统计生成阈值后,本文提出基于验证过滤结果、通过设计回收圈机制对过滤阈值进行反馈性计算算法,由此实现了防御模型过滤阈值的即时浮动,并形成多阈值判别根据,用来减少阈值的生成相对于网络流量变化的滞后性,提高防御模型整体的灵敏度与过滤精度。通过在校园网网络中心实际环境的网
7、络测试表明:这种层次化多阈值DDoS检测与防御模型面对正常网络服务和未知及混合种类的DDoS攻击时,具有较高的服务效率和过滤精度,较好的解决了传统防御模型的整体服务效率不高和过滤精度偏低的问题。关键词:DDoS,层次化,NetFlow流量统计,多阈值,反馈计算I万方数据AbstractThetraditionalDDoSdetectionandpreventionmodelswilldeployedinthepositionbetweennetworklinksandtheprotectednodes
8、,andthefunctioninthemodellikethedetection,statisticscal,computingandthefilteringfunctionsinthemodelareconcentratedinthesecuritysideofthedevice.Thesemodelsdonotusethecomputingcapacityinthenetworknodes.BystudyingvariousmethodsofDDo
此文档下载收益归作者所有