如发现有乱码，请点击下面链接浏览原文
正文摘录:

杨文静等：一种新的分布式【)DoS攻击防御体系和网络中的各个边界路由器上的Module：Responder。通信，通知各边界路由器收集网络中各子网的输入、输出的流量信息。嘲示：——卜控制信息…….卜流量信息图2防御体系结构ControlModule‘向其他边界路由器发送命令，通知其采样。收集通过该边界路由器的信息。根据数据信息，用带有路径约束的模糊关联规则进行分析，得到向受害者发送反射攻击流的傀儡机所在的边界路由器。当AnalyzerModule分析得到关联规则，并向Cont：.rolModule报告其分析结果后，ControlModule根据分析结果向发出恶意SYN数据包的边界路由器发出停止转发的命令，停止这些边界路由器向外围发送数据包。3.2分析组件(AnalyzerModuIe)分析组件根据所获得的流量数据进行关联规则分析，负责各可疑边界路由器的流量的关联规则分析。当发现攻击发生时与受害机满足强关联规则的边界路由器时，这些边界路由器就可能是傀儡机所在子网的边界路由器，将这些边界路由器称为可疑路由器。即，利用数据挖掘技术对收集到的各个边界路由器进行关联规则分析，得到可疑路由器。当网络中发生了突发式D130S攻击，为了避免Analy—zer’.Module成为受害者而不能正常工作，或AnalyzerModule所在的子网有受害者在网络中不同的位置设置Analyzer‘Module。Analyzei。Module所在网络中的位置有3种情况：第一，Analyzel。Module位于受害者所在的子网和受害者在所在子网的其他未被攻击的计算机上；第二，AnalyzerModule位于受害者上，即。Analyzer‘Module所在的计算机成为了DI)oS攻击的受害者；第三，AnalyzerModule位于傀儡机所在的子网，包括位于傀儡机和傀儡机所在子网的其他非攻击计算机上。AnalyzerModule位于受害者所在的子网和受害者在所在子网的其他未被攻击的计算机上。由于AnalyzerModule并没有受到直接的攻击，并不会产生拒绝服务的现象，对ControlModule的命令能及时响应，保证分析工作的正常进行。56Analyzer’Module所在的计算机成为了I)DoS攻击的受害者。如果是突发的洪水攻击，该计算机会产生拒绝服务的现象，即AnalyzerModule无法正常工作，ControlModule则启动距该组件最近的其他A。nalyzerModule。当网络中发生渐增式或脉冲式的DDoS攻击时，受害者不会立即被攻击到不能正常工作，Analyzer’Module也不会因为收到了直接的DI)oS攻击，而无法工作。即Analyzer.Module能进行正常的分析工作，在攻击尚未造成严重影响的情况下将其制止。AnalyzerModule位于傀儡机所在的子网，包括位于傀儡机和傀儡机所在子网的其他非攻击计算机上，分析机并不会因为发送了攻击而使其性能受到影响。3.3响应组件(Responde~·Module)在正常情况下，各边界路由器上的响应组件要监控由本子网输出的数据包和输入到该子网的数据包，只记录由本子网发出的数据包，而不记录转发的数据包。Respond—erModule的功能，主要有以下几点：(1)傀儡机所在子网边界路由器正常情况下，傀儡机所在子网的边界路由器的Re—sponderModule要监控输入到该子网的数据包、由该子网输出的数据包，如果其源地址不属于该子网内的地址，则该路由器记录此类数据包。边界路由器源IP地址不是本子网中的地址的情况有2种，第一种是该边界路由器是其他网段数据包的转发路由器，该类数据包是正常的数据包；第二种是该子网内的数据修改了源地址，是欺骗数据包。该数据包具有明显的特征是没有上一跳地址，另外这两类数据包的转发端口不同。当防御体系的AnalyzerModule分析出有攻击出现时，启动屏蔽功能限制该子网的数据包向外发送，对子网向外发送的数据包进行丢包。当攻击现象消失时，能继续进行正常的数据包的转发。(2)受害者所在子网边界路由器监控发向内、外网的数据包，如果输入的数据包流量增大，并且数据包的源地址不同，但目标地址是网络中的一个IP地址或几个IP地址，则记录该数据包。在DDoS攻击中，如果发现一台计算机发送重发数据包的现象，可怀疑该计算机受到了攻击，发送重发数据包的计算机就是受害者。边界路由器检测大量的输入、输出到该子网的数据包，以备分析。当防御体系的AnalyzerModulet分析出有攻击出现时，启动屏蔽功能限制输入到该子网的数据包，对外网发送到该子网内的数据包进行丢包。当攻击现象消失时，能继续进行正常的数据包的转发。4攻击检测的方法分析组件是整个体系中攻击检测以及攻击源发现的