ddos异常流量过滤系统研究与实现.pdf

摘要摘要随着人类进入信息时代,互联网和人们的关系越来越密切,它在带来很多方便的同时,也带来了很多新的问题。其中互联网的安全性引起了各个国家、公司的高度重视。互联网的攻击手段层出不穷,而分布式拒绝服务攻击由于其简单、破坏性大,正在被攻击者广泛使用,极大地影响着网络和业务主机系统的有效运行。因此,开发先进的抗拒绝服务攻击产品具有非常重要的战略意义和市场应用前景。抗拒绝服务攻击产品和异常流量过滤有着非常密切的联系,它们相互构成对方体系结构中重要的组成部分。异常流量过滤一直就是抗拒绝服务攻击中的一个难点。本文研究和实现了抗拒绝服务攻击产品中的异常流量过滤子系统。它结合多种过滤技术,实现了对异常数据包的最大程度过滤。它主要由下面几个技术部分组成:(1)创造性的提出了基于指纹提取的过滤技术。系统将网络中数据包的协议头统计信息定义为指纹。其原理在于网络出现异常的时候,其流量特征的统计特性会发生变化。当网络正常的时候,对网络择中的数据包的相应特征进行统计,并不断更新,得到正常指纹。当攻击发生的时候,统计出异常指纹。通过对正常指纹和异常指纹的对比,可以发现异常数据包的分布特点,最后根据这些分布特点来对新进来的包进行危险度评估,以此作为包过滤的依据。(2)攻击目标定位技术。当攻击发生的时候,系统试图发现被攻击目标。如果攻击定位成功,系统会提取出被攻击目标的相关信息,包括口地址,历史流量和当前实际流量信息。根据口地址,可以将异常流量区分出来,并有针对性的对该目标进行异常流量过滤,通过收集到的流量信息,可以迸一步制定过滤的力度。(3)基于白名单的异常流量过滤模块。系统采用的是m白名单技术,包含了管理员自名单和自动学习白名单。管理员白名单由管理员配置,可以手动的添加和删除口,自动学习白名单在网络正常时候自动学习可信任m,当网络异常时,利用这些自名单来进行异常流量过滤。此外,我们根据课题要求,我们在网络处理器上实现了一套完善的异常流量过滤系统。摘要关键词:分布式拒绝服务攻击,白名单技术,指纹提取,攻击目标定位,异常流量过滤AbstractAsm孤ll【ind锄te巧dIeiIlfomationage,the阳lati伽shipbet、)Ir嘲intem烈觚dp。,butalsoh勰h伽ghtmanyI蟛wp∞,&伍￡hee删Vefi】删;,itVayimportamtfor璐幻devcl叩thesys“∞anda_bnomlal妇随蚯cfil蛐ghaveaVefyclo∞陀蜥。碰出ip,sillcemeya托theinlponant黜hitecm∞伽n眇啪tsof砌om既1nheh和豁tⅡIiIlginDD∞即峨ti∞ishowtodiS血gIIishthcill刚础els粗dlegalp薯IcketswhenmeattaIckisk卿pc:,we删izedt量圮ab∞彻al的珩cfilte血gsIIbs刊【伽inme觚ti—Ⅵ恤畔(1)A6l柚g慨hIlol影whichisbaSed蚰fiIIg唧血tex妣tionisⅡ∞m葩liIIgwmng、衍thme础怕,o】rl【’thep∞ket'sstatis“岱in内咖ti伽、历Ucl蛐Ⅱ∞na删l量lenc恤al如誉:q诵m、ⅣworI【iSwe’nex仃admeat咀mmal丘11誉:℃《魏we龆no跚lihlctariskas∞s缸nt殂tfbr缸pa帆勰mcbasisforme丘l响g.(2),ing吣丘ndthetar窘etwhichisatlacked‰theat￡∞weh