基于虚电路拒绝服务攻击防御研究.docVIP

基于虚电路拒绝服务攻击防御研究 　　摘 要:设计了一种基于虚电路的拒绝服务保护基体系结构;介绍了基于虚电路的资源分配算法;在基于服务元网络体系结构的虚电路结构原型系统中实现了所提出的资源分配算法。与其他算法相比,该算法能有效对抗来自网络的恶意授权实体的拒绝服务攻击。 　　关键词:拒绝服务; 虚电路; 资源分配; 恶意授权实体 　　中图分类号:TP309.02文献标志码:A 　　文章编号:1001-3695(2009)09-3499-03 　　doi:10.3969/j.issn.1001-3695.2009.09.085 　　 　　Research of denial of service attack defense based on virtual circuit 　　CHEN Lin??1, LIN Hong-gang??1, HU Yong??2 　　(1.Security Institute of Computer Network, Chengdu University of Information Technology, Chengdu 610225, China; 2.Institute of Information Security, Sichuan University, Chengdu 610064, China) 　　Abstract:This paper designed a denial of service protection base architecture based on virtual circuit. And presented resource allocation algorithm based on virtual circuit. Realized the resource allocation algorithm in the prototype system of the virtual circuit architecture based on service unit network architecture. Compared with other algorithms, the algorithm can effectively fight the denial of service attacks from malicious authorized entities in the networks. 　　Key words:denial of service; virtual circuit; resource allocation; malicious authorized entities 　　 　　近几年来,在诸多的网络攻击中,拒绝服务攻击成为影响网络可用性的突出问题。全球每年由于拒绝服务攻击而造成的经济损失高达数百亿美元[1]。比如,2000年2月,Yahoo、B、eBay、Amazon、CNN等多家大型网站遭受分布式拒绝服务攻击而关闭数小时,同时整个网络速度降低了26%,造成高达10亿美元的经济损失。为此,国内外对拒绝服务攻击的防御进行了深入研究。 　　 　　1 相关研究工作 　　 　　Tuomas Aura等人[2]在对拒绝服务进行深入研究后,将拒绝服务分成两种类型:第一种是由于过度分配或长时间占用共享资源而导致的拒绝服务,如进程(包括恶意进程和合法进程)从共享资源池中获取大量资源并占为己有,不允许其他进程使用;第二种是由于资源被破坏而导致的拒绝服务,如恶意进程将资源从共享资源池中删除,从而导致资源不可用,但恶意进程并没有获得资源本身。第二种拒绝服务通常可以通过访问控制、完整性保护等机制予以避免,而第一种拒绝服务攻击的防御相对比较困难。为此,国内外主要围绕如何进行合理的资源分配以避免拒绝服务进行研究。 　　Yu等人[3]认为一种有效的拒绝服务解决方案必须基于资源分配的控制。Jonathan K. Millen[4]提出了拒绝服务保护基(denial of service protection base, DPB)的概念,DPB负责控制资源的分配。Zheng等人[5]提出了一种有效的实现DPB的算法,但所提出的资源分配算法仅仅基于进程标志和运行进程的用户标志进行资源分配,对于主机系统而言,问题不是很明显,但在网络环境中,存在以下两个方面的问题:a)由于进程(如IP进程)通常为多个实体(有可能是授权实体,也可能是非授权实体)提供服务,如果进程请求的资源大量用于为非授权实体提供服务,那么当授权实体请求提供服务时,进程会由于得不到相应的资源而无法为授权实体提供服务,从而导致拒绝服务的发生;b)即便是授权实体也有恶意授权实