1、近年來出現(xiàn)的分布式拒絕服務(wù)(Distributed denial of service，DDoS)攻擊具有實現(xiàn)簡單、破壞性大的特點，因此為攻擊者廣泛使用，其對網(wǎng)絡(luò)安全形成了巨大的威脅。目前DDoS攻擊中最常見的攻擊方式是SYN Flood攻擊，其在帶寬消耗攻擊和系統(tǒng)資源消耗攻擊中都有體現(xiàn)，極具典型性。本論文主要針對SYN Rood攻擊，基于Packscore算法實現(xiàn)了一種基于網(wǎng)絡(luò)流統(tǒng)計過濾方案的防御系統(tǒng)，重點研究針對SYN Flood攻

2、擊的統(tǒng)計屬性的提取和劃分，以及其防御算法的實現(xiàn)等關(guān)鍵技術(shù)。 本論文首先從DDoS攻擊的安全事件，DDoS攻擊在TCP/IP網(wǎng)絡(luò)中流行的原因，DDoS攻擊的分類和DDoS攻擊的防御方法的分類四個方面來概要性的介紹DDoS攻擊及防御。接下來，通過對SYN Flood攻擊的原理和方法進(jìn)行深入的分析研究，論文從典型的防御方案和基于數(shù)據(jù)流統(tǒng)計概率特性的防御方案兩個方面介紹了國內(nèi)外防御該類攻擊的研究現(xiàn)狀，并主要對Chao等人提出的Packe

3、tscore算法進(jìn)行了仔細(xì)地分析和總結(jié)，評價其優(yōu)缺點。然后，針對SYNFlood攻擊發(fā)生時網(wǎng)絡(luò)數(shù)據(jù)流的統(tǒng)計特性發(fā)生變化的特點，結(jié)合Packetscore算法，設(shè)計了防御SYN Flood攻擊的PacketGuard防御系統(tǒng)。系統(tǒng)建立了一個符合SYN Rood攻擊流特點的統(tǒng)計屬性集，并結(jié)合正常流和攻擊流在統(tǒng)計屬性概率分布的不同，對各統(tǒng)計屬性進(jìn)行合理的劃分，以使統(tǒng)計結(jié)果更好的區(qū)分正常流和攻擊流。系統(tǒng)將Packetscore算法各模塊進(jìn)行工程