針對SYNFlood攻擊的中間代理模型.pdf

1、隨著計算機網(wǎng)絡的廣泛使用和網(wǎng)絡之間信息輸量傳的急劇增長,一些機構和部門在得益于網(wǎng)絡的同時,其連接在Inter網(wǎng)上的電腦里的數(shù)據(jù)和信息也遭到了不同程度的竊取和破壞,數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅,信息安全成為了一個日益重要的問題。網(wǎng)絡規(guī)模日趨增大的同時也伴隨著攻擊發(fā)生概率的增大。通過引入入侵檢測技術,能夠在網(wǎng)絡中實時檢測攻擊事件的發(fā)生,并在攻擊事件發(fā)生的早期階段,切斷攻擊者的連接。而隨著入侵技術的不斷翻新,入侵檢測變得日益具有挑

2、戰(zhàn)性。SYN Flood攻擊是當前最流行的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的攻擊方式之一。攻擊者利用TCP/IP三次握手協(xié)議,偽造大量IP數(shù)據(jù)包向服務器發(fā)送,請求新的連接,導致服務器端為了維護一個較大的半連接列表而消耗非常多的資源。使服務器忙于處理攻擊者偽造的TCP連接請求而無暇滿足客戶的正常請求。本文分析了入侵檢測的研究現(xiàn)狀,討論了目前常見的入侵手段,在對入侵檢測技術及其系統(tǒng)進行深入分析的基礎上,提出了針對SYN

3、 Flood攻擊的一種入侵檢測方法。針對SYN Flood攻擊的特點我們在客服端和服務器端之間設計一個中間代理。通過它將TCP“三次握手”轉變成“一次握手”,讓中間代理來等待客戶端的第三次應答響應,使服務器從等待中脫離出來。對中間代理我們采用了基于異常特征的神經(jīng)網(wǎng)絡代理算法,通過檢測網(wǎng)絡數(shù)據(jù)包,將處理后的數(shù)據(jù)包信息轉換為具有134個分向量的特征向量,經(jīng)過神經(jīng)網(wǎng)絡的學習和判別,實現(xiàn)防御SYN Flood攻擊。為證明其能有效防御SYN Fl