论文研究-基于优先级队列方案抵御DDoS攻击 .pdf

所需积分/C币:13 2019-08-27 20:40:14 253KB .PDF
收藏 收藏
举报

基于优先级队列方案抵御DDoS攻击,秦琳琳,张永平,本文提出基于优先级队列的自适应调整方案,采用带宽分配策略把合法用户的数据包分配到高优先级队列,恶意或可疑攻击者的数据包分
国武技论文在线 优死趿以 谙踪入侵 输出汽 北址分 类 数厍 流量控 (TID) LPA 图棊于优先级队列方案的模块图 基于优先缀队列方案的前提是能够正确地为数据包分类。如果正常的薮据包被错误地发 送到低优先级队列则会影响合法用户的服务。本文提出的优先级队列算法()被用来区 分止常数据包和恶意攻击包。把吋间划分为非常小的时间单元,这个时间单元必需足够小才 能给数据包正确地分类。基于传入数据包平均传输时间,分配不同的优先值给正常数据包和 恶意攻击包。 地址分类器区分输入流数据包的位置)把这些数据提供给追踪入侵数据库()供其 进一步的分析和参考 追踪入侵数据库() 追踪入侵数据库由以下几个部分组成: 数据包地址:当前数据包源地址,源地址提供了数据包追踪的依据 数据包到达时间:当前数据包进入队列的时间 先前数据包的平均到达速率:先前数据包到达速率的调和平均值 当前数据包的平均到达速率:当前数据包到达速率的调和平均值。 输入数据包调和平均佰的差偵:当前数据包与先前数据包调和平均值的差值。 优先级队列算法措述() 当有数据包流入的时候,优先级队列算法开始通过传入数据包到达比率的调和 均值来分析数据包。调和平均值可以用于计算固定距离下的不同速度的平均速率。另一方面 整个网终的流量传输速率是固定不变的,但是数据包的响应时间是可变的。当网终发生洪泛 攻击时,调和平均值将不再改变而是固定在一个带宽范围内,这就表明在网终中有不正常的 活动 图表小来自相同源端的输入流数据包到达速率的调和平均值。 流入数据包的调和平均值的差异为: () 记录所有的输入沇数据包,注意:流入数据包的沇量与调和平均值的差值 成正比并且所有的网络段的带宽是有限的,当有流入数据时计算流入包的调和半均值 差值。 国武技论文在线 时间t(s) 图调和平均值的差值 流入数据包的调和平均值的差值为基础,优先级队列算法决定流入数据包是否合法, 然后相应地把它传送到髙优先级队列或低优先级队列。由此分析可知,米自合法用户的数据 包将被分到高优先级队列并得到优先处理,相反,来自恶意攻击者的数据包将被分到低优先 级队列并将被无限的延时。 优先级队列的自适应调整 优先级队列的大小影响数据包的传输吋间。当来自攻击者的恶意数据包洪泛攻击某个网 络的整个带宽时,网络的硬件资源同样会有很重的负担。本文提出了一种优先级队列的自适 应调整机制 如图所示:恶意攻击者的数据包在低优先级队列,而正常用户的数据包在高优先级队 列。在低优先级队列的数据包可能积聚并使主机一直繁忙。为了缓解数据包在低优先级队列 的累计,提高主机处理数据包的速度,我们采取把低优先级队列数据包重定向到高度优先队 列。流量因子( )被用来控制重定向数据包的数量,如果在低优先级队列的 总包数除以流量因子小于高优先级队列的可用空间我们自适应重定向总包 PQ LF 0 H HPQ可用空间>PQ总致据包/a: tor number 图优先级队列的自适应调整 实验结果与安全性能分析 实验设计 本文用网终模拟器 来模拟仿真基于优先级队列方案的有效性。 支持有线 网络和无线网终的协议仿真。有线网终仿真支持包括晔由协议(距离向量协议、链路状态协 议),传输协议( ),流量生 成 、随机流量),队列算法( 等功能模块。我们在仿真中增加了和 攻击并比较 分析了优先级队列和 队列的效率。 图显示了仿真实验系统配置的网络环境,结点到表示合法用户,结点到表示 攻击者为结点,为结点。所有数据包经由主结点路由器到达目标结点 由于 攻击流流量非常巨大,个有效的算法来快速响应抵御攻击是非常有必要的。在 国武技论文在线 模拟仿真中,优先级队列的方法可以有效地计算并快速响应攻击。如果该方法被用到实际的 网络中防御时,要求网络设池有较髙的计算速度才能有效地抵抗攻击。我们使用的文件 并在网络中模拟。在文件中我们描述了模拟环境,记录网络状况,并将其纳入图 表。例如:我们用下面描述定义网络带宽: 基于优先级队列的方案部署在路由器上,用于控制从路由器到结点的数据包流量。这 两个结点间采用个带宽 的全双工连接。在的模拟中,我们采用 的带宽, 并设定平均包传输时间为 秒。来自结点的正常数据包流量为 结点是流量为 的攻击。结点被用作攻击,每个结点的流量为 lc己 Icde= 恶意击老 图仿頁实验系统配置 如图所示,仿真一开始,正常结点开始发送数据包,每个结点流量为 并一直发送直到仿真结束(秒)。从到秒,只有正常的数据包发送到网络上。 来自攻击者的数据包以流量为 的速率发送秒,在仿真过程的 秒范围内 秒后结点分别以流量为 的速率发送改击数据包。 带宽率Kbps) 合法数 据包 付间t( 图仿真实验过程 安全性分析 为了评估基于优先级队列方案的效率,我们比较分析了基于优先级队列方案和 队列方案的模拟结果。图到图是不同结点 队列方案的仿真结果,图到图 表示了基于优先级方案不同结点的仿真结果。 图表示基于 队列的攻击的吞吐量( ),图表示基于 的吞吐量(),由此分析可知 队列方案不能有效地拦截恶意数据包。 图表 队列不能保证合法用户所需要的带宽。在秒时攻击者开始发 数据包,结点和结点的正常数据包的吞吐量随后明显下降。在大约秒时,当 发动攻击时所有正常结点的流量几乎降到 图中攻击的吞吐量( )和图 攻击时的吞吐量(结点 国武技论文在线 大约为 结点 )表明了优先队列有效的减少了恶意数据包的流量。 图表示优先队列保证了正常用户需要的带宽,在整个模拟时间内所有正常结点的数 据包是固定的流量,换句话说正常数据包的流量是固定不变的,正常用户不受到和 的攻击 Drop Tai l队列Dos结点吞吐量 iority Queue Do5点吞吐量 t Noded 队列攻击结点吞吐量 图优先级队列攻击结点吞吐量 op Tail队列os红点吞吐量 Priority Queue DDoS结点看吐量 4(X 色Node Node 图 队列攻击结点吞吐量 图优先级队列攻击结点吞吐量 rcr;Tai队列mnS结点吞吐量 r: ty Que19正富结点春吐量 1.2 0}条人全5 0和000 寸间t/s 图 队列合法结点吞吐量 图优先级队列合法结点春吐量 结论 仿貞实验表明 队列不能有效的控制来自和的恶意数据包流量。为 了解决这个问题我们提出了基于优先队列方案和自适应帶宽机制米抵御和攻击 基于优先队列方案的模拟结果表明它不仅可以有效地减少来自和 攻击的恶意数 据包流量,还能为合法用户发送数据包提供平稳的带宽。 参考文献 国武技论文在线 林闯单志广,任卡原计算机网终的服务质量()北京:清华大学出版社,

...展开详情
试读 7P 论文研究-基于优先级队列方案抵御DDoS攻击 .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    论文研究-基于优先级队列方案抵御DDoS攻击 .pdf 13积分/C币 立即下载
    1/7
    论文研究-基于优先级队列方案抵御DDoS攻击 .pdf第1页
    论文研究-基于优先级队列方案抵御DDoS攻击 .pdf第2页
    论文研究-基于优先级队列方案抵御DDoS攻击 .pdf第3页

    试读已结束,剩余4页未读...

    13积分/C币 立即下载 >