面向SIP协议的DOS攻击检测和防御研析.pdf

AThesis for theDegree ofMaster puter Software and Theory. Research on Detection and Defence of DoS Attack Based on SIP by Zhan Hongdan Supervisor:Professer Gao Fuxiang Northeastern University June 2010 独创性声明本人声明,所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加以标注和致谢的地方外,不包含其他人己经发表或撰写过的研究成果,也不包括本人为获得其他学位而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢思。学位论文作者签名:詹宏聃日期:纱1驴辱7 J寻绷学位论文版权使用授权书本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的规定:即学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交流。作者和导师同意网上交流的时间为作者获得学位后: 半年囹一年口一年半口学位论文作者签名:名农髯夺签字日期:纱fo坪7日苦日两年口导师签名: 签字日期: 、儿入名" 力东北大学硕士学位论文摘要面向SIP协议的DOS攻击的检测与防御的研究摘要 SIP协议正逐渐成为全IP多媒体通信网络的核心,我国已经开始基于SIP协议的 3G网络的运营。DoS Flood攻击因为易实施,破坏性高,难追踪成为SIP协议最大的安全威胁。国内外学者对其研究尚不成熟,所以研究面向SIP协议的DoS攻击的检测与防御具有重大的社会意义和科研意义。本文首先研究了传统的基于200(OK)或180(RING)消息平衡检测算法的不足,分析了面向SIP协议的DoS Flood攻击情境,提出了一种改进的基于组消息平衡的检测算法,在此基础上,构建了ARS检测模型。ARS检测模型是鉴权检测(Authentication Detection)、应答检钡I](ResponseDetection),和全局检N(Sum TotalDetection)联动的综合检测模型。三级检测根据不同事务状态独立告警,并指示本次攻击的特征。经过仿真验证,ARS检测模型的误判率较低,与传统消息平衡检测算法相比有了很大的改进。本文继续研究了SIP协议的安全策略,分析了面向SIP协议的DoS Flood攻击的 IP特征,提出了一种基于排队论的ARS三级队列防御模型(M/M/1/(K/3)),在此基础上,推导出该模型的消息平均响应时间Q。与消息平均到达率A关系。本文设计了ARS 防御联动机制,包括资源管理机制、攻击源分析机制、规则维护机制。资源管理机制又包括内鬼扫描器、鉴权缓存池和LIFO随机释放机制。基于排队论的ARS三级队列防御模型与ARS联动机制组成ARS防御机制。本文最后对ARS防御机制进行整体仿真,仿真结果表明,配置ARS防御机制的SIP系统在防御DoS攻击性能方面要远远优于带有二个优先级队列的SIP系统。本文首先对SIP协议和DoS攻击技术进行介绍,然后对面向SIP协议的DoS攻击类型进行分析,之后研究设计了面向SIP协议的DoS Flood攻击的检测算法,并给出仿真,然后研究并设计了面向SIP协议的DoS Flood攻击的综合防御机制,最后给出 ARS总防御机制的仿真。关键词:SIP;DOS攻击;排队论;消息平衡东北大学硕士学位论文 Abstract Research on Detection and Defence ofDoS Attack Based on SIP Abstract The Session InitiationProtocol(SIP)1S ing the core work through theIP,based on which the work hasbeen operated in our easy implementation,high destruction andhardtracking against attacking source which are thecharacters ofDoS Flood attack cause thegreat security threat the research about SIP athome andabroad is ,the study aboutthedetection anddefense ofthe DoS attackshas thegreat socialandscientific