网络入侵防御系统——Cookie用户分类及新用户到达率控制

摘要

近年来，Internet的发展和宽带技术的广泛应用，带来经济和社会效益的同时，也给网络安全也带来了极大的挑战。特别是以DDoS[1]为首的各种恶意攻击，成为各中大型网站的恶梦。 在大流量的掩盖下，DDoS攻击往往变得难以检测。现有的大多数的入侵检测系统，往往采用粗粒度的判决方法，一旦判决失误，就可能影响正常流量的访问，使攻击流量对系统和服务器造成很大的伤害。如何在大流量的网络环境下保证网站安全，抵御DDoS攻击，是当前亟待解决的问题。 本系统鉴于粗粒度判决方法的缺陷，采用了按用户数据流的正常程度来分配网络带宽的设计思想。系统首先利用Cookie的信息对用户数据流进行区分，根据每个用户所带的Cookie ID，对用户进行标志。在用户区分基础上，利甩隐半马尔科夫模型[2]对具体的用户行为进行分析，计算其正常程度值，并根据正常程度值为用户分配相应的带宽，使正常程度高的用户得到较高的带宽。这样，能较好地抑制恶意攻击流对服务器的影响，同时能较高程度地确保正常用户得到服务。 本文实现了用户区分部分的设计和实现。用户区分部分是整个系统的入口模块，包括cookie用户区分模块和新用户到达率控制模块，分别对旧用户和新用户的数据包进行处理。在本文的最后对系统进行了Workbench仿真和实际环境测试，验证了在大流量下系统的基本功能和性能。

目录

文摘

英文文摘

声明

第1章概述

1.1研究背景

1.2入侵检测防御系统国内外研究现状

1.3项目实现平台—网络处理器

1.4论文主要工作

1.5论文结构

第2章DDoS攻击与入侵防御系统

2.1 DDoS攻击原理

2.2入侵防御系统介绍

第3章网络处理器技术

3.1网络处理器的基本概念

3.2 Intel IXA概述

第4章HTTP协议与Cookie技术

4.1 HTTP协议

4.2 Cookie技术

第5章入侵防御系统设计与实现

5.1系统整体设计方案

5.2 Cookie用户区分模块设计与实现

5.3新用户到达率控制模块设计与实现

5.4小结

第6章Workbench仿真

6.1开发工具Workbench简介

6.2 Workbench仿真环境设定

6.3仿真测试方案

6.4仿真测试运行及结果分析

6.5小结

第7章实际环境测试

7.1实际测试环境

7.2实际环境测试方案

7.3实际环境测试及结果分析

7.4小结

第8章结论与展望

8.1总结

8.2展望

参考文献

致谢语