基于HTTP-FLOOD攻击的网络入侵检测防御技术研究与实现

摘要

网络安全的基本属性主要表现为机密性、完整性、合法性和可用性，而攻击者就是要通过一切可能的方法和手段来破坏这些属性。分布式拒绝服务攻击(DDoS)的目的就是破坏网络的可用性。在互联网业务中，Web服务已经占了相当大的比例，越来越多的人通过Web提供的服务来获取和发布信息，所以Web安全也是当今网络安全的一个研究热点。HTTP作为Web应用的关键协议，经常被黑客利用来实施DDoS攻击，并且非常难以检测和防御。 本文主要研究可用于检测和防御基于HTTP协议的DDoS攻击(HTTP-Flood)的方法，使这种检测防御方法能够消除或者减少HTTP-Flood攻击对Web服务器的影响，从而达到保护Web服务器的目的。 在本论文中，首先通过对大量已有研究成果的总结指出了目前检测防御方法的一些缺陷。其次，简要的介绍了HTTP协议，对HTTP-Flood攻击原理和攻击形式进行了分析，并着重分析了CC攻击工具的源代码。接下来，在已有的Web访问特征的研究基础上，把流入流出Web服务器的流量比值首次应用在检测HTTP-Flood攻击的方法中，并在实验室搭建的网络环境下验证了该检测方法的可行性。针对这种检测方法，本文还给出了平滑和加权两种优化方案。然后，本文描述了一种比较实用的针对HTTP-Flood攻击的防御技术(HTTP Cookie)，并对这种技术的应用进行了优化设计。最后，在实验室搭建的一台基于Linux操作系统的透明网桥上实现了这套检测防御系统，并进行了详细的功能测试和性能测试。

目录

文摘

英文文摘

声明

第一章 绪论

1.1研究背景

1.2应用层DDoS攻击检测防御技术研究现状

1.3论文研究内容及结构安排

第二章 HTTP-Flood攻击分析

2.1 HTTP协议

2.2 HTTP-Flood攻击原理及分类

2.3 HTTP-Flood与其他DDoS攻击对比分析

2.4 CC攻击工具分析

2.4.1 CC攻击工具介绍

2.4.2 CC源代码分析

2.5本章小结

第三章 HTTP-Flood攻击的检测方法

3.1 Web访问特征

3.1.1 Web对象流行度特征

3.1.2 Web访问局部性特征

3.1.3 Web文档大小分布特征

3.2 HTTP-Flood攻击检测算法

3.2.1检测算法的提出

3.2.2检测算法分析

3.3实验环境的构建

3.3.1搭建Web服务器

3.3.2搭建数据库服务器

3.3.3组建客户端

3.4实验结果分析

3.4.1静态网站Pn—Pb值分析

3.4.2动态网站Pn-Pb值分析

3.4.3攻击静态网站Pn—Pb值分析

3.4.4攻击动态网站Pn—Pb值分析

3.4.5检测算法的可行性分析

3.5检测数据优化处理

3.5.1平滑优化

3.5.2加权优化

3.6检测算法存在的问题及下一步工作

3.7本章小结

第四章 HTTP-Flood攻击防御算法优化设计

4.1 HTTP Cookie算法

4.2 HTTP cookie算法优化设计

4.3 HTTP Cookie性能优化设计

4.4本章小结

第五章 HTTP-Flood攻击检测防御系统设计及实现

5.1 Linux内核模块编程技术

5.1.1内核模块技术

5.1.2 Netfilter框架技术

5.1.3 Netlink技术

5.1.4透明网桥技术

5.1.5内核定时器技术

5.1.6 BPF技术

5.2系统整体架构设计

5.2.1模块划分

5.2.2系统整体性能分析

5.3流量监控模块设计和实现

5.3.1流程图

5.3.2关键设计

5.4 Cookie认证模块设计与实现

5.4.1流程图

5.4.2关键设计分析

5.5黑白名单管理模块设计和实现

5.5.1黑白名单存储结构

5.5.2关键设计

5.6数据包修改模块设计和实现

5.6.1流程图

5.6.2关键设计

5.7内核态用户态通信模块设计和实现

5.8测试结果及分析

5.8.1测试环境

5.8.2测试结果

5.9本章小结

结论与展望

致 谢

参考文献

攻读硕士学位期间发表的论文