学位论文 > 优秀研究生学位论文题录展示

基于标记的恶意IP包防御技术研究

作 者: 黄鲁娟
导 师: 金光
学 校: 宁波大学
专 业: 计算机应用技术
关键词: 网络安全 分布式拒绝服务攻击 路径标识 路径追溯 IPv6
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 1次
引 用: 0次
阅 读: 论文下载
 

内容摘要


分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是威胁互联网安全的主要因素之一,相比拒绝服务攻击(Denial of Service,DoS),有更强大的威力和破坏力。在防御DDoS攻击的技术中,以数据包标记思想为基础的一大类防御技术以其独特的优势得到众多研究者的关注。攻击路径追溯(Path Traceback)技术能帮助受害主机定位攻击源的位置,从而有针对性地在更适当的位置部署相关防御措施,有效遏制攻击流对中间传输网络和攻击目标的影响。攻击路径标识(Pathidentificatio n, Pi)技术帮助受害主机有效识别合法包和攻击包,对攻击现象做出快速反应,使攻击影响减到最低。本文以数据包标记技术为基础,研究数据包标记技术在传统网络IPv4和下一代网络IPv6中的若干新技术,提出多个具体的优化和创新方案:(1)在对路径追溯和路径标识技术展开深入研究的基础上,提出了一个联合路径标识和确定包标记(Pi-DPM)的方案,通过在标记域中记录和传输两种信息,使得受害主机既能利用DPM标记准确重构攻击包真实源主机网络的边界节点地址,又能利用Pi标记有效过滤大量攻击包。仿真试验结果表明该方案能有效减轻DDoS攻击流对受害主机的影响,同时能准确定位真实攻击包来源所在的自治域位置。(2)在深入分析概率包标记(PPM)技术的基础上,针对PPM算法重构路径时间空间复杂度大的缺陷,提出一种基于攻击源标识的概率包标记(S-PPM)方案。新方案增加13位的标记字段作为攻击源标识,受害主机利用这一字段将标记包进行预分类,将多攻击源分布式攻击的路径追溯重构算法简化为多个单一攻击源攻击的路径追溯重构算法,极大减小了重构算法所需时间和难度。仿真试验结果表明该方案能有效减少攻击路径重构需要的数据包数量,并大幅度减少攻击路径重构的时间复杂度,提高路径重构效率。(3)在深入研究IPv6协议的报头结构和地址分配策略的基础上,针对IPv6网络的特性,提出一种基于IPv6地址分配策略的源端过滤确定包标记(SDPM6)方案。该方案利用源地址验证技术在保证源地址准确的情况下通过DPM算法追溯到IPv6包所经路径的入网节点,再通过网络管理者之间的协作,在源主机处过滤攻击包。方案精简标记信息,标记选项长度仅14字节,由目的选项扩展报头携带标记信息,且考虑到受害主机追溯到攻击源地址后启动过滤技术所需信息的问题。最后通过理论分析和仿真试验验证了SDPM6方案的有效性。本文提出的包标记方案在DDoS攻击防御领域做出了少量成果,但随着网络技术和应用的不断发展,DDoS攻击防御技术在实际应用中必然会面临许多新问题,对防御方案在效率、安全性、可扩展性等方面的要求也会越来越高。

全文目录


摘要  4-6
Abstract  6-11
引言  11-13
1 绪论  13-18
  1.1 论文背景及研究意义  13-15
  1.2 本文的研究内容及创新之处  15-16
  1.3 本文的结构安排  16-18
2 分布式拒绝服务攻击及数据包标记技术  18-32
  2.1 分布式拒绝服务攻击简介  18-23
    2.1.1 分布式拒绝服务攻击原理  18-20
    2.1.2 分布式拒绝服务攻击分类  20-23
  2.2 分布式拒绝服务攻击防御  23-27
    2.2.1 攻击预防措施  24-25
    2.2.2 攻击检测措施  25
    2.2.3 攻击响应和消除措施  25-27
  2.3 攻击路径追溯路径标识技术介绍  27-31
    2.3.1 攻击路径追溯技术  27-30
    2.3.2 攻击路径标识技术  30-31
  2.4 本章小结  31-32
3 联合部署路径追溯和路径标识的防御方案  32-44
  3.1 设计思想  32-33
  3.2 方案设计  33-38
    3.2.1 标记域的使用  33
    3.2.2 标记过程  33-36
    3.2.3 还原和过滤过程  36-37
    3.2.4 性能分析  37-38
  3.3 仿真实现和结果分析  38-43
    3.3.1 试验环境  38-41
    3.3.2 试验设计  41
    3.3.3 试验结果及分析  41-43
  3.4 本章小结  43-44
4 基于攻击源标识的概率包标记防御方案  44-57
  4.1 路径追溯技术的设计目标  44-45
    4.1.1 现实目标  45
    4.1.2 理想目标  45
  4.2 概率包标记算法的局限性  45-46
  4.3 设计思想  46-47
  4.4 方案设计  47-53
    4.4.1 标记域的使用  47-49
    4.4.2 标记过程  49-50
    4.4.3 路径重构过程  50-52
    4.4.4 性能分析  52-53
  4.5 仿真试验和结果分析  53-56
    4.5.1 试验设计  53-54
    4.5.2 试验结果及分析  54-56
  4.6 本章小结  56-57
5 基于 IPv6 地址分配策略的确定包标记防御方案  57-77
  5.1 IPv6 介绍  57-66
    5.1.1 IPv6 的新特性和优势  57-58
    5.1.2 IPv6 数据包头部结构  58-59
    5.1.3 IPv6 的扩展报头  59-64
    5.1.4 IPv6 地址分配策略  64-66
  5.2 DPM 算法的局限性  66
  5.3 源端过滤确定包标记方案  66-71
    5.3.1 设计思想  66-68
    5.3.2 标记信息选项  68
    5.3.3 标记过程  68-69
    5.3.4 地址重构和攻击消除过程  69-71
    5.3.5 性能分析  71
  5.4 IPv4/IPv6 过渡环境下方案的部署  71-73
  5.5 仿真试验和结果分析  73-76
    5.5.1 试验设计  73-74
    5.5.2 试验结果和分析  74-76
  5.6 本章小结  76-77
6 结论与展望  77-79
  6.1 本论文的工作总结  77-78
  6.2 未来研究展望  78-79
参考文献  79-85
在学研究成果  85-86
致谢  86

相似论文

  1. 卫星网络中移动IP路由选择的研究,TN929.5
  2. 基于主动方式的恶意代码检测技术研究,TP393.08
  3. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  4. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  5. 基于下一代互联网的IPTV终端系统的研究与应用,TN949.292
  6. 基于多核网络处理器的IPv6联动IPS研究与设计,TP393.04
  7. 电子政务网络安全分析与防范策略的研究,TP393.08
  8. 我国保险公司保险网络营销研究,F724.6
  9. 一个基于模式匹配的轻量级网络入侵检测系统设计与实现,TP393.08
  10. 基于特征分析的DDoS攻击检测技术研究,TP393.08
  11. 和谐社会视野下的网络安全问题及对策研究,TP393.08
  12. 网络安全事故应对策略分析与实现,TP393.08
  13. 校园网环境下网络安全体系的研究,TP393.08
  14. 基于RBFNN-HMM模型的网络入侵检测技术研究,TP393.08
  15. 军队局域网中DDOS攻击模拟和防御的研究,TP393.08
  16. 基于PKI的部队网络安全认证系统设计与实现,TP393.08
  17. 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
  18. 网络安全防护系统设计与实现,TP393.08
  19. 基于Snort入侵检测系统的改进系统的设计与实现,TP393.08
  20. 船山区电子政务外网网络安全方案的设计与实现,TP393.08
  21. 僵尸网络技术检测与防范系统,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com