毕业论文,学术论文,报刊,期刊,团结合作,诚信做人,良心做事,售后服务完善

计算机电子类期刊

您现在的位置:石家庄论文发表 > 计算机电子类期刊 >

浅谈电信网络环境下的DDOS攻击防护技术

时间:2015-11-23 09:46 来源:博途论文网--专业论文发表 作者:博途论文

近年来,随着网络技术的快速发展及广泛普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视,而电信运营商网络几乎成为拒绝服务攻击(DDOS)的首选攻击对象。本文主要以中华通信系统研发的基于ISP网络的拒绝服务攻击防御系统为例简要分析DDOS攻击以及在电信网络环境下的DDOS攻击防护技术。
一、DDOS攻击现状分析

  1. 运营商网络面临的DDOS攻击威胁
当前,运营商骨干网和各地市城域网,宽带用户多、网络结构复杂、业务流量大,DDOS攻击导致的网络安全问题时有发生,导致IP网络整体服务质量下降,已经严重威胁到运营商IP网络的正常业务;当3G商用,智能化终端和宽带化3G网络与互联网接轨,无线网络也将面对诸多互联网安全问题,这将会使缺乏固网DDOS防范经验的电信运营商面临巨大挑战。
  1. 电信运营商对DDOS攻击防护需求
目前各大电信运营商只部署有过滤垃圾短信这种传统无线业务的网关设备,尚未对3G移动互联网的到来做好骨干流量和城域网流量管控、清洗方面的准备,运营商急需使用高效、成熟DDOS防御产品,能够实现对DDOS攻击安全防护的高端网络安全产品市场需求空间巨大,主要表现在如下方面:
  1. 应用于全国各省、市级电信运营商IDC、增值业务部。
  2. 应用于移动、联通等移动运营商的3G网络接入,为3G网络拒绝服务攻击防御提供可靠的防御工具。
  3. 应用于大型企业及大型网络服务商,这些企业通常涉及跨区域的网络通信及网上业务。
  • 主要厂家拒绝服务攻击防御产品介绍
1、主流厂家产品简介
1)JUNIPER NetScreen-5000系列
Juniper主推一体化模块式解决方案,路由器、业务部署系统(SDX)和入侵检测与防护(IDP)产品结合在一起;
2)Nokia SC6600信息安全网关
SC6600安装简易,管理方便。采用包括多重扫毒技术、宏摘除、层次式过滤的复合防护(Statistical ProtectionTM)技术,采用专用安全操作系统;
3)CISCO Guard XT
采用分布部署方式,多级检测采用集成式动态过滤和主动核查、“杀手”技术等多种检测技术,支持独特的集群体系结构,多级监控和报告;
4)绿盟Defender4000
作为异常流量清洗设备,与监测中心、监控管理中心共同构建异常流量净化系统。采用了多个并行的专业高性能网络处理器,高效处理DDOS攻击,通过集群部署,可以轻松应对10G+海量拒绝服务攻击。
2、华通产品说明
中华通信系统有限责任公司研发的基于ISP网络的分布式拒绝服务攻击防御系统(ChinaComm IDPS100)为软硬件结合产品,产品包括流量检测组件和流量牵引清洗组件,根据ISP网络应用需求和网络规模,系统可部署为流量检测设备或检测清洗一体化设备。产品能够实现电信级ISP网络的流量采集和流量分析,具有ISP网络异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全管理控制等主要的功能。本产品属于分布式设计模式,即系统是由探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测器在旁路方式外还提供串联接入方式,具备入侵检测、防火墙、流量监控功能,流量牵引设备支持集群工作方式。
  • 华通产品(ChinaComm IDPS100)技术性能
    1、产品功能特点
  1)流量探测器功能特点
(1)采用双子系统架构
为防止过大流量对系统的冲击造成系统超载、运行缓慢甚至当机,系统采用独创的双子系统架构。该架构将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总线相连,在互不影响的同时又能够保证信息的共享及功能联动。  
(2)采用针对拒绝服务攻击特别优化的入侵检测模块
入侵检测模块采用中华通信自主研发的针对DDOS攻击的入侵监测模块。能够对流量进行深层检测。能够发现并抵御多数DoS攻击、以及蠕虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。
(3)采用先进的检测算法
流量探测器采用中华通信自主开发的基于自相似性模型的动态异常流量监测算法,能够在DDOS攻击的初始阶段甄别攻击。
2)流量牵引器功能特点
(1)高速的攻击处理能力
流量牵引器接入运营商骨干网络,系统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引设备支持集群工作模式,通过集群化部署可以有效地提高系统的处理能力,使系统能够满足大型ISP网络的需要。
(2)高效的软硬件平台
在硬件方面,流量牵引器采用了嵌入式系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性地将算法实现在网络协议栈的最底层,完全避免了TCP、UDP和IP等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高了运算速率。
2、产品技术创新
1)实现基于自相似性模型的动态异常流量监测
自相似性(self-similarity)是指一个随机过程在各个时间规模上具有相同的统计特性。系统在进入防护DDOS攻击之前,要对网络中正常的流量进行相应的记录,用以检测攻击的存在,尤其对DDOS攻击所利用的报文进行检测和分析。系统分别对各个协议的流量(或连接数)最大的IP地址(源IP和目的IP)的流量(或连接数)进行记录。而通常不同时间段网络流量也相差很大,简单的计算平均流量无法做快速可靠地发现攻击。因此需要按照时间段的不同对流量生成表项。通过大量测试分析在表项细度和系统性能之间找到一个平衡点。
2)扫描检测算法
扫描检测模块采用一个基于贝叶斯网络进行TCP包头异常分析的扫描检测方法(PSDB)。贝叶斯网络模块学习TCP报文到达每个目的主机和相应目的端口的概率。PSDB使用贝叶斯网络来学习保存被检测子网内主机端口的概率分布。然后概率异常检测操作依据TCP Flag和报文到达的概率计算每个报文的异常度,并针对个别协议本身的特点对异常值计算进行修正,将判别为异常报文的信息发送到分析模块。
3、产品应用
本产品通常布置于运营商网络中高带宽节点,如核心交换机等高速转发设备,通常采用网关接入模式或路接入模式。在大型网络应用时,可采用牵引器集群工作方式,可通过部署牵引器集群增强系统处理能力及可靠性。
  • 总结
随着我国信息化的快速发展,各行业对提高整体信息系统的安全防护水平和保障能力提出了更高的要求,对信息安全技术和产品的需求越来越大。基于ISP网络的拒绝服务攻击防御系统产品的投放市场,能够填补运营商急需使用高效、成熟DDOS防御产品的需求空间;可以极大地提高电信运营商、ISP、政府的整体网络DDOS防御能力。
系统创新的技术实现模式可以为用户提供更优化的DDOS防御解决方案,通过建设更安全的DDOS防御系统,用户可有效降低大规模DDOS类攻击所带来的社会和经济风险,为我国经济高速发展提供安全的网络环境。
参考文献:
【1】李德全.《拒绝服务攻击》.北京:电子工业出版社,2007年1月
【2】阳莉.《电信网络分析与设计》.西安:西安电子科技大学出版,2008年1月
【3】郝永清.《网络安全攻防实用技术深度案例分析》.北京:科学出版社, 2010年1月
【4】[加拿大]克劳斯.《网络安全保护》.北京:科学出版社,2009年3月
【5】孙玉.《电信网络安全总体防卫讨论》.北京:人民邮电出版社,2008年8月
【6】Steve Manzuik.《网络安全评估:从漏洞到补丁》.北京:科学出版社,2009年1月
【7】王秀利.《网络拥塞控制及拒绝服务攻击防范》.北京:北京邮电大学出版社,2009年6月
【8】王梦龙.《网络信息安全原理与技术》.北京:中国铁道出版社,2009年11月

联系我们

学位论文:点击发送消息给对方1157918155 点击发送消息给对方2860401462
期刊论文:点击发送消息给对方2860401462 点击发送消息给对方1157918155
电话:张老师:13189798483

博途论文网www.botulw.com 版权所有 Copyright 2015-2016 石家庄论文发表 工信部备案 【 冀ICP备13032258号】
【免责声明】:本网站所提供的信息资源如有侵权、违规,请及时告知!石家庄网站建设:东英网络

石家庄论文发表