图2系统框架
　　针对比较典型的TCP SYN flood攻击，该文提出了一种比较有效的防御模型。如图2所示的模型，此模型对于连接并进入服务器的数据流量使用数据包类型检测以监控上述指标，同时结合数据流量的变化以检测攻击与否，当发现攻击行为则使用数据流量控制和数据拥塞控制进行数据流量抑制的方法实现防御。
　　此框架包含以下内容：受害者（受攻击者），IDS（入侵检测系统），网络管理器。IDS主要负责检测网络攻击并在第一时间向网络管理器发送TCP SYN flood攻击警告信息。此框架的运行流程主要为：IDS检测到针对受攻击者主机或者网络的TCP SYN flood可疑攻击行为，再及时向网络管理器发出TCP SYN flood攻击警告信息，并向网络管理器告知被攻击的目标，网络管理器会先验证警告信息是否可靠，然后再向边界路由器发出过滤指令，并告知目标地址是受攻击者主机，边界路由器在收到此指令时就对目标地址为受攻击者主机的数据包流作标记，受攻击者主机收集这些作了标记的信息并分析重构完整或者局部的攻击者路径，把分析重构得到的进入信息返回给网络管理器，网络管理器再决定在边界路由器处过滤并向这些过滤路由器发出过滤指令，路由器则开始对目标地址是受攻击者的数据流量包进行一定的过滤动作。
　　3详细流程
　　连接客户端的IDS接收到一个判定值超过了VTCP阀值，IDS把信息直接发到网络管理器同时由管理器向边界路由器做出响应措施的指令。当IDS接收到的值没有到达阀值VTCP，但却超过了可疑阀值DTTCP，也就是说对当前的数据包已经产生一定的怀疑，但还不确定是否真的发生了攻击，那么IDS会把可疑情况报告给网络管理器，然后由网络管理器根据当前的整体情况判断是否有攻击发生，如果有则会向边界路由器发送控制的通告，如果没有则对路由器不做控制。流程图如图3所示。
　　当IDS报告一个攻击数据包流时，网络管理器首先将它加入到活跃攻击流中，然后和当前所有有效的怀疑数据包流比较，如果存在一样的怀疑数据包，那么通知边界路由器该数据包流可以认定为攻击流，同时在网络管理器将该流转化为攻击流记录到活跃攻击流中。
　　4结论
　　DDoS攻击为一种当前黑客经常采用而且难以防范的攻击手段，它以破坏计算机服务系统或网络的可用性为目的，有着极大的危害性。虽然路由器与防火墙能够在网络边界进行一定的检测和防御功能，也能在一定范围内抵御DDoS攻击，但由于DDoS攻击手段经常多样化，而且攻击工具种类不断增多，且数据的通信过程经过保密，所以检测和防御DDoS攻击是非常困难的。该文描述了DDoS攻击步骤和攻击特点，并且在此基础上具体分析了目前最流行最有效的DDoS攻击行为TCP SYN Flood的攻击原理，根据此原理提出了一种实时识别DDoS攻击的检测和防御系统框架和系统流程，为研究DDoS攻击防御策略提供参考。
　　参考文献：
　　[1]严芬,陈轶群,黄皓,等.使用补偿非参数CUSUM方法检测DDoS攻击[J].通信学报, 2008,29(6):126-132.
　　[2]莫家庆,胡忠望. DDoS攻击防御模型的仿真研究[J].北方工业大学学报, 2011,23(3).
　　[3] Savage S, Wetherall D, Karlin A，et a1. Practical networks support for IP trace back[C]// New York:Proceedings of the ACM SIGCOMM 2000 Conference, 2000:295-306.
　　[4]胡小新.一种DDoS攻击的防御方案[J].计算机工程与应用, 2004,40(12):160-164.
　　[5] Arbor Network. Worldwide Infrastructure Security Report[EB/OL]. (2009-09-12). http://www.arbornetwork.com/report.

(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）