论文部分内容阅读
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击严重地破坏了互联网(Internet)的可用性,即受害者服务器无法响应来自正常用户的服务请求。有效防御DDoS攻击是计算机安全领域的热点课题之一。目前DDoS攻击的防御技术不足之处在于忽略“DDoS攻击显著地导致网络流量出现极大的变化”这个明显的本质特征。网络流量对了解网络的动态行为,提高网络的性能要求,以及保障网络的安全有着重大的科学意义和应用价值。但是迄今为止,尚未能够建立一个有效描述遭受DDoS攻击下网络流量的数学模型。基于此,通过分析DDoS攻击流量对网络产生的变化特征建立相应模型,即引入新的方程来描述遭受DDoS攻击时引起网络流量本质性变化,提出了一种基于网络流量和控制理论的防御方案。本文采用控制理论为防御DDoS攻击的研究提供新的思路和可行的技术方案。面对互联网在DDoS攻击下缺乏防御能力的致命弱点,运用控制理论,设计一个基于控制理论的防御控制技术架构,采用控制手段对恶意流量进行有效遏制,以及通过灵活的防御机制配置对攻击流量起抑制作用,从而对抗DDoS攻击。以被攻击网络的控制防御算法研究为核心,重点讨论了与对抗DDoS攻击有关的三个问题,即对攻击流量的行为建模;针对攻击流量防御机制的设计;确保DDoS攻击下的网络良好性能。通过建立DDoS攻击下的网络模型和设计有效的网络管控阀,有效抵御DDoS攻击。同时证明了网络在DDoS攻击下也能获得良好的性能(如系统稳定性、队列收敛性)。通过分析攻击流量对网络系统造成的影响,以控制理论为指导,以提高遭受到DDoS攻击的网络性能为目的,对如何有效对抗DDoS攻击的关键性技术进行了深入研究,主要研究包括以下几个方面:1.针对目前没有一个实用的数学模型来描述网络在DDoS攻击下的动态行为,研究了在DDoS攻击下的新型耦合TCP/AQM网络模型。首先,建立在DDoS攻击行为下TCP/AQM网络系统的数学模型,并分析在DDoS攻击下的TCP/AQM网络系统动态特性。然后,应用时滞反馈控制理论在该新型网络模型中设计一种自调优反馈控制器,形成 TCP/AQM-CM(TCP/AQM with Control Mechanism)防御方案。最后,大量的 ns2 仿真结果表明,当网络参数和控制参数满足一定条件时,遭受DDoS攻击下的网络是稳定的,路由器的队列长度可以收敛到任意给定的目标值。这个结论在应用程序中是重要的和有前景的,一旦当DDoS流量与合法流量区分开来,就能够通过限制DDoS攻击流的速率来抑制DDoS攻击,从而提高正常流量的带宽使用效率。2.针对现有的AQM机制没有设计用来支持对抗DDoS攻击,研究了基于TCP/PCAQM网络对抗DDoS攻击的防御设计。首先,提出了一种基于控制理论的比例控制器主动队列管理(Proportional Controller Active Queue Management,PCAQM)方案。然后,结合TCP、PCAQM算法和DDoS攻击流,对TCP/PCAQM网络在DDoS攻击下的性能进行了广泛的分析。最后,ns2仿真结果表明,如果假设条件成立,则TCP/PCAQM网络系统在遭受DDoS攻击下仍旧是渐近稳定的,其队列长度可以收敛到期望的目标值,对于遭受DDoS攻击的网络而言这些良好的性能指标是非常重要。理论研究可直接应用于设计TCP/PCAQM网络的管控阀,以提高Internet在DDoS攻击下的网络性能。3.针对目前缺乏对恒速DDoS攻击建模方法和有效应对恒速DDoS攻击的防御方案,研究了基于Lévy过程的随机网络队列模型对抗恒速DDoS攻击的防御设计。首先,考虑一个受布朗运动和不连续泊松过程影响的随机队列,建立了一个新颖、准确的队列动态。在此基础上,应用随机控制理论分析恒速DDoS攻击下的队列动态性能,并设计了一种描述路由器上的队列动态行为以及用于稳定恒定速率DDoS攻击下瞬时队列长度的网络安全防御机制。具有自适应动态调节的抛物线控制器本质上有助于控制恶意流量,能够显著提高DDoS攻击下的网络性能。最后,ns2仿真结果表明了基于SDE-LJ(Stochastic Differential Equation with Lévy Jump)系统设计防御机制的有效性,与目前主动队列管理(AQM)方案形成了鲜明的对比。DDoS防御机制的首要目的是在遭受攻击期间减轻攻击带来的影响和保护资源不被非法占用,确保合法用户一如既往地得到正常的服务。最理想的状态是正常用户的服务质量不受丝毫干扰。为了模拟大规模DDoS攻击以及验证提出的防御方案的有效性和可行性,使用网络仿真器ns2搭建了网络拓扑结构,对在防御方案保护下的受攻击网络进行了大量的仿真测试。由于DDoS攻击的目的是破坏网络的可用性,因此评估防御机制的效果应该检测受害网络的性能。通过对被攻击网络的性能进行分析,ns2仿真结果表明防御方案具有显著的防御效果。