如今,开放而灵活的网络空间极大地提高了人们的生活品质和工作效率,成为了人们生活中不可缺少的一部分。与此同时,网络空间安全威胁因素和网络安全事件也在与日俱增,给人类社会带来了巨大的负面影响。其中,拥有高破坏性和低技术复杂性的低速率分布式拒绝服务攻击(LDDoS)是互联网面临的最大的未解决的持久性威胁之一。关于此类安全问题的新型攻击形式和防御保护措施研究引起了大量学者的关注。由于LDDoS技术危害大、影响范围广、风险高且不可控,在新型LDDoS攻防技术实际应用之前有必要对其进行效果评估。但在真实的互联网环境中进行技术评估会造成不可预知的破坏,为此有必要研究针对LDDoS的其他评估方法。当前,基于数字仿真的评估方法存在逼真性低的缺点,而基于实物测试床的评估方法存在可扩展性差的缺点。随着云计算、虚拟化技术的发展,以虚拟化技术为代表的网络仿真技术成为了网络安全效果评估的主流。为此,本文重点研究了基于虚拟化技术的LDDoS高性能仿真方法:一方面,研究了基于轻量级虚拟化的大规模LDDoS仿真体系,可确保LDDoS仿真流量逼真性的前提下保证仿真规模的可扩展性;另一方面,研究了基于高逼真虚拟路由器的LDDoS仿真技术,通过提升虚拟路由器仿真的逼真性,进一步提升LDDoS仿真的逼真性。具体来说,本文的主要研究内容包括以下三个方面:1)提出了基于轻量级虚拟化的大规模LDDoS仿真技术。针对LDDoS这种复杂的大规模网络攻击行为,为提升LDDoS攻防技术仿真的逼真性且保证仿真规模,提出了基于轻量级虚拟化的LDDoS仿真技术。该技术重点研究了一个集网络拓扑构建、攻击场景配置和数据采集分析为一体的仿真体系架构,并介绍了基于轻量级虚拟化技术的架构实现方法。实验表明:所提方法具有真实性高、扩展性强和仿真规模大的优势,所构建的轻量级虚拟化仿真网络可与实物路由器逼真互通。基于此技术在单物理服务器上可构建具备400个路由节点规模的LDDo S仿真场景,可为大规模LDDoS的攻防策略研究提供仿真技术基础。2)提出了基于高逼真虚拟路由器的LDDoS仿真技术。LDDoS技术的仿真对虚拟路由器的逼真性提出了很高的要求。当前,以路由软件、Traffic Control(TC)技术为代表的虚拟路由器仿真技术尽管可以仿真路由器的基础功能,但是在拥塞控制方面存在逼真性低的缺点。为此,本文提出了一种新颖的虚拟路由器仿真方法,该方法以虚拟化技术为基础,通过使用尾部丢弃的队列管理算法、先进先出的队列管理规则和延迟等待的带宽控制方法解决了虚拟路由器的失真问题,提升了仿真逼真性。在此基础上,本文分别基于KVM的内核空间和Docker的用户空间,设计并实现了流量控制模块,从而构建了基于KVM和基于Docker的高逼真虚拟路由器。实验表明:所提出的虚拟路由器在带宽控制方面的平均误差为4.53%,在丢包率方面的平均误差为0.02,在BGP-DDoS和BGP-LDDoS攻击行为模拟过程中与实物设备实验场景的结果基本一致。因此,该虚拟路由器有效提高了在LDDoS仿真场景下的逼真性。3)在1)和2)的研究基础上,本文构建了基于虚拟化的LDDoS仿真系统。该系统依托OpenStack云平台,完美地集成轻量级虚拟化技术和全虚拟化技术。本文在OpenStack云平台之上设计实现了网络复现、试验管理和采集评估子系统,从而实现面向LDDoS的网络仿真。基于该系统,构建了一个包含3000台虚拟路由器、180台虚拟主机和5179条路由链路的大规模复杂AS域间网络拓扑,并进行LDDoS攻击行为仿真,证明了我们的系统可以利用有限的物理资源实现大规模高逼真的LDDoS仿真,具有良好的可用性。