發(fā)布時(shí)間：2018-04-01 00:04

  本文選題：控制與數(shù)據(jù)分離　切入點(diǎn)：映射系統(tǒng)　出處：《北京交通大學(xué)》2017年碩士論文

【摘要】：隨著互聯(lián)網(wǎng)的不斷發(fā)展,互聯(lián)網(wǎng)暴露出很多問(wèn)題,其安全隱患越來(lái)越嚴(yán)重。要解決現(xiàn)有互聯(lián)網(wǎng)存在的問(wèn)題,有效預(yù)防DDoS攻擊,構(gòu)建新的網(wǎng)絡(luò)體系機(jī)制具有重大意義。在諸多研究中,身份與位置分離、控制與數(shù)據(jù)分離成為研究的重點(diǎn)�？刂婆c數(shù)據(jù)分離的映射系統(tǒng)在“智慧協(xié)同網(wǎng)絡(luò)體系基礎(chǔ)研究”基礎(chǔ)上,將控制功能集中于控制器中,進(jìn)一步實(shí)現(xiàn)控制與轉(zhuǎn)發(fā)分離�？刂破魇钦麄�(gè)映射系統(tǒng)的心臟,控制器性能的優(yōu)劣對(duì)其整體性能有很大的影響。DDoS攻擊通過(guò)網(wǎng)絡(luò)發(fā)送大量請(qǐng)求,消耗網(wǎng)絡(luò)資源,造成服務(wù)器拒絕服務(wù),若控制器發(fā)生故障則會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行。映射系統(tǒng)中的終端作為系統(tǒng)重要組成部分代表用戶,終端受到攻擊則會(huì)降低網(wǎng)絡(luò)資源利用率和用戶體驗(yàn)。本文主要研究基于映射系統(tǒng)的DDoS攻擊檢測(cè)防御機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)。首先,本文分析了該領(lǐng)域的國(guó)內(nèi)外研究現(xiàn)狀。對(duì)身份與位置分離、控制與轉(zhuǎn)發(fā)分離和DDoS攻擊以及檢測(cè)防御研究進(jìn)行概述,并介紹了控制與數(shù)據(jù)分離的映射系統(tǒng),隨后進(jìn)一步介紹了 DDoS攻擊以及檢測(cè)防御方法。其次,本文對(duì)控制與數(shù)據(jù)分離的映射系統(tǒng)進(jìn)行分析。研究以控制器和主機(jī)為目標(biāo)的DDoS攻擊方法,根據(jù)攻擊目標(biāo)的不同有針對(duì)的設(shè)計(jì)DDoS攻擊檢測(cè)防御相關(guān)功能模塊。主要工作包括:1)分析目標(biāo)為控制器的DDoS攻擊,DDoS攻擊通過(guò)偽造大量接入標(biāo)識(shí)觸發(fā)大量映射請(qǐng)求來(lái)攻擊控制器;2)研究映射請(qǐng)求解析過(guò)程;3)研究映射請(qǐng)求的消息結(jié)構(gòu),根據(jù)映射請(qǐng)求中的信息設(shè)計(jì)實(shí)現(xiàn)端口與接入標(biāo)識(shí)映射模塊、接入標(biāo)識(shí)異常檢測(cè)功能模塊;4)分析目標(biāo)為映射系統(tǒng)中主機(jī)的DDoS攻擊,通過(guò)位置分散的傀儡機(jī)攻擊接入映射系統(tǒng)的主機(jī);5)分析DDoS攻擊特征,根據(jù)攻擊發(fā)生時(shí)流量和特征元素熵值的變化,設(shè)計(jì)實(shí)現(xiàn)流量信息統(tǒng)計(jì)處理功能模塊和DDoS攻擊檢測(cè)防御功能模塊,流量信息統(tǒng)計(jì)處理模塊包括流量統(tǒng)計(jì)信息的獲取以及分類處理,DDoS攻擊檢測(cè)防御模塊包括流量矩陣、熵值矩陣的構(gòu)建,根據(jù)數(shù)學(xué)統(tǒng)計(jì)計(jì)算方法得到測(cè)量值與閾值,進(jìn)行比較;6)根據(jù)比較結(jié)果,使用統(tǒng)計(jì)計(jì)算結(jié)果定位攻擊源,然后使用流量限制的方法防御DDoS攻擊。最后,本文模擬控制與數(shù)據(jù)分離的映射系統(tǒng)并測(cè)試其連通性。在此測(cè)試環(huán)境下,先模擬背景流量測(cè)試在沒(méi)有DDoS攻擊的情況下的性能,然后模擬DoS攻擊和DDoS攻擊測(cè)試控制與數(shù)據(jù)分離的映射系統(tǒng)中DDoS攻擊防御機(jī)制的功能和性能,最后對(duì)結(jié)果進(jìn)行分析,驗(yàn)證了控制與數(shù)據(jù)分離的映射系統(tǒng)中DDoS攻擊防御機(jī)制的實(shí)現(xiàn)。
[Abstract]:With the continuous development of the Internet, the Internet has exposed a lot of problems, and its security risks are becoming more and more serious. It is necessary to solve the existing Internet problems and effectively prevent DDoS attacks. Building a new network architecture mechanism is of great significance. In many studies, identity and location are separated. The mapping system of control and data separation concentrates the control function on the controller based on the basic research of intelligent cooperative network system. The controller is the heart of the whole mapping system. The performance of the controller has a great influence on its overall performance. DDoS attacks send a large number of requests through the network and consume network resources. If the controller fails, it will affect the operation of the whole network. The terminal in the mapping system represents the user as an important part of the system. When the terminal is attacked, the utilization of network resources and user experience will be reduced. This paper mainly studies the design and implementation of DDoS attack detection and defense mechanism based on mapping system. In this paper, the status quo of research in this field is analyzed. The research on identity and location separation, control and forwarding separation, DDoS attack and detection and defense are summarized, and the mapping system of control and data separation is introduced. Secondly, this paper analyzes the mapping system of the separation of control and data, and studies the DDoS attack method which takes controller and host as the target. The main work includes: 1) analyzing the DDoS attack of the target as the controller / DDoS attack triggers a large number of mapping requests by falsifying a large number of access identifiers. Attack controller 2) study the mapping request parsing process 3) study the message structure of the mapping request, According to the information in the mapping request, the mapping module of port and access identification is designed and implemented. The function module of abnormal detection of access identification is designed to analyze the DDoS attack of the host computer in the mapping system. The attack characteristics of DDoS are analyzed by using the distributed puppet machine attack access mapping system. According to the change of the flow rate and the entropy value of the feature element, The traffic information statistic processing module and the DDoS attack detection and defense function module are designed and implemented. The traffic information statistics processing module includes the traffic statistics information acquisition and the classification processing. The DDoS attack detection and defense module includes the flow matrix. The entropy matrix is constructed, the measured value and threshold are obtained according to the mathematical statistical calculation method, and the comparison is made. 6) according to the comparison results, the source of the attack is located by using the statistical calculation results, and then the method of traffic restriction is used to defend against the DDoS attack. This paper simulates the mapping system of control and data separation and tests its connectivity. In this test environment, the performance of background traffic testing without DDoS attack is first simulated. Then the function and performance of the DDoS attack defense mechanism in the mapping system of DoS attack and DDoS attack test control and data separation are simulated. Finally, the results are analyzed to verify the implementation of the DDoS attack defense mechanism in the mapping system with the separation of control and data.
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 寇蕓,王育民;DDOS攻擊的原理及其防范[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2001年08期

2 何宗耀,崔雪冰;DDOS攻擊的原理及對(duì)策[J];平頂山工學(xué)院學(xué)報(bào);2002年04期

3 周偉,王麗娜,張煥國(guó),傅建明;一種新的DDoS攻擊方法及對(duì)策[J];計(jì)算機(jī)工程與應(yīng)用;2003年01期

4 楊升;DDoS攻擊及其應(yīng)對(duì)措施[J];南平師專學(xué)報(bào);2003年02期

5 樊愛京;DDoS攻擊的原理及防范[J];平頂山師專學(xué)報(bào);2003年05期

6 ;天目抗DoS/DDoS[J];信息安全與通信保密;2004年12期

7 喻超;智勝DDoS攻擊解析[J];通信世界;2004年46期

8 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

9 唐佳佳;;DDoS攻擊和防御分類機(jī)制[J];電腦知識(shí)與技術(shù);2006年29期

10 邱曉理;;抵御DDoS攻擊的三大法寶[J];華南金融電腦;2006年10期

相關(guān)會(huì)議論文 前10條

1 蔣平;;DDoS攻擊分類及趨勢(shì)預(yù)測(cè)[A];第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C];2002年

2 張鑌;黃遵國(guó);;DDoS防彈墻驗(yàn)證調(diào)度層設(shè)計(jì)與實(shí)現(xiàn)[A];中國(guó)電子學(xué)會(huì)第十六屆信息論學(xué)術(shù)年會(huì)論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2005年

4 王永強(qiáng);;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2002年

6 蘇金樹;陳曙輝;;國(guó)家級(jí)骨干網(wǎng)DDOS及蠕蟲防御技術(shù)研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測(cè)方法[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測(cè)[A];2006中國(guó)西部青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動(dòng)態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（上冊(cè)）[C];2007年

相關(guān)重要報(bào)紙文章 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網(wǎng)絡(luò)世界;2006年

2 本報(bào)記者 那罡;網(wǎng)絡(luò)公害DDoS[N];中國(guó)計(jì)算機(jī)報(bào);2008年

3 本報(bào)記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計(jì)算機(jī)世界;2008年

4 本報(bào)實(shí)習(xí)記者 張奕;DDoS攻擊 如何對(duì)你說(shuō)“不”[N];計(jì)算機(jī)世界;2009年

5 本報(bào)記者 那罡;DDoS防御進(jìn)入“云”清洗階段[N];中國(guó)計(jì)算機(jī)報(bào);2010年

6 ;DDoS攻防那些事兒[N];網(wǎng)絡(luò)世界;2012年

7 本報(bào)記者 李旭陽(yáng);DDoS防護(hù)需新手段[N];計(jì)算機(jī)世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

9 本報(bào)記者 姜姝;DDoS之殤 拷問(wèn)防御能力[N];中國(guó)電腦教育報(bào);2013年

10 劉佳源;英國(guó)1/5公司遭遇DDoS攻擊[N];中國(guó)電子報(bào);2013年

相關(guān)博士學(xué)位論文 前10條

1 徐圖;超球體多類支持向量機(jī)及其在DDoS攻擊檢測(cè)中的應(yīng)用[D];西南交通大學(xué);2008年

2 徐川;應(yīng)用層DDoS攻擊檢測(cè)算法研究及實(shí)現(xiàn)[D];重慶大學(xué);2012年

3 周再紅;DDoS分布式檢測(cè)和追蹤研究[D];湖南大學(xué);2011年

4 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學(xué);2009年

5 羅光春;入侵檢測(cè)若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

6 劉運(yùn);DDoS Flooding攻擊檢測(cè)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

7 王冬琦;分布式拒絕服務(wù)攻擊檢測(cè)和防御若干技術(shù)問(wèn)題研究[D];東北大學(xué);2011年

8 于明;DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測(cè)算法的研究[D];西安電子科技大學(xué);2007年

9 黃昌來(lái);基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復(fù)旦大學(xué);2009年

10 呂良福;DDoS攻擊的檢測(cè)及網(wǎng)絡(luò)安全可視化研究[D];天津大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 嵇海進(jìn);DDoS攻擊的防御方法研究[D];江南大學(xué);2008年

2 崔寧;軍隊(duì)局域網(wǎng)中DDOS攻擊模擬和防御的研究[D];東北大學(xué);2009年

3 紀(jì)鍇;內(nèi)蒙古聯(lián)通DDoS安全解決方案及應(yīng)用[D];北京郵電大學(xué);2012年

4 李鶴飛;基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測(cè)方法和緩解機(jī)制的研究[D];華東師范大學(xué);2015年

5 夏彬;基于軟件定義網(wǎng)絡(luò)的WLAN中DDoS攻擊檢測(cè)和防護(hù)[D];上海交通大學(xué);2015年

6 吳高峻;基于卡爾曼濾波器的DDoS防御技術(shù)研究[D];電子科技大學(xué);2014年

7 劉琰;DDoS智能防御系統(tǒng)的日志分析及定時(shí)任務(wù)模塊的設(shè)計(jì)與實(shí)現(xiàn)[D];南京大學(xué);2014年

8 郝力群;內(nèi)蒙古移動(dòng)互聯(lián)網(wǎng)DDoS安全防護(hù)手段的設(shè)計(jì)與實(shí)施[D];內(nèi)蒙古大學(xué);2015年

9 張麗;DDoS防護(hù)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

10 王志剛;DDoS網(wǎng)絡(luò)攻擊的檢測(cè)方法研究[D];南昌航空大學(xué);2015年

，

本文編號(hào)：1693049