抵御模仿人类行为DDoS的软件防火墙

模仿人类行为的HTTP洪水是一种分布式拒绝服务攻击.提出一种抵御方法,它包括三个关键点:使用会话号标示请求者身份,通过分析单位时间的请求消息序列发现傀儡主机,通过丢弃或修改傀儡主机的请求消息中断其攻击.基于该方法实现了一种软件防火墙,它包括统计模块和转发模块,统计模块用于发现傀儡主机,转发模块用于丢弃或修改傀儡主机的请求消息.防火墙部署在网站服务器上,管理员根据网站特征设置运行参数,能以较小的代价使服务器从HTTP洪水中脱困.

一种低通信开销的DDoS异常检测模型

在分布式 DDoS 检测中,相互协作的检测节点间存在一定规模的通信开销,当通信操作频繁发生时,这种开销会加重网络负担。针对分布式 DDoS 检测,提出一种低通信开销的检测模型:选择具有最大全局值的对象作为代表,通过"监控参数"和"补偿参数"使得代表对象调整后的局部值在每个节点上看来都是最大,只要代表对象没有超出阚值则可以保证 DDoS 没有发生。将多个对象的持续监控变为对代表对象的监控和对局部约束条件的维护操作,从而降低检测操作的通信开销。通过理论分析和实验测试,证明了该方法的有效性。

一种低通信开销的DDoS异常检测模型

在分布式DDoS检测中,相互协作的检测节点间存在一定规模的通信开销,当通信操作频繁发生时,这种开销会加重网络负担。针对分布式DDoS检测,提出一种低通信开销的检测模型:选择具有最大全局值的对象作为代表,通过"监控参数"和"补偿参数",使得代表对象调整后的局部值在每个节点上看起来都是最大,只要代表对象没有超出阈值,则可以保证DDos没有发生。将多个对象的持续监控变为对代表对象的监控和对局部约束条件的维护操作,从而降低检测操作的通信开销。通过理论分析和实验测试,证明了该方法的有效性。

基于分层动态地址的访问控制方案设计

提出了基于IPv6的分层动态地址访问控制系统Hardy的设计原型.Hardy在不影响IPv6地址前缀路由功能的前提下,将地址的后缀部分设置为可动态改变的身份地址.分层网络中的子节点将会从父节点继承部分身份地址加入到自己的地址中作为后缀.同时,父节点将获知子节点的身份地址并据其对通往子节点的流量进行过滤.主机或网络节点通过定期改变自己的身份地址并通知父节点修改过滤规则,来阻止曾经获取其合法地址的恶意用户对其进行进一步访问.身份地址可以通过终端主动访问的方式告知对端,或通过平台发布供授权得到验证的对端获取.