Internet拥塞控制信息可用性技术研究
VIP免费
博 I论文 Internet拥塞控制/信息PJ用性技术研究
摘 要
Internet在过去十几年中的爆炸式增长,引起越来越严重的拥塞问题。另一
方面,TCP/IP的缺陷也成为不公平数据流或恶意攻击数据流产生的重要原因。
本文从信息安全中信息的可用性角度,利用拥塞检测、流量控制、恶意攻击数据
流的检测与防护及IP跟踪等技术,力图给出一个较为完整的Internet流量控制和
确保信息可用性的解决方法。主要研究工作和取得的成果如下:
(1) 提出基于移动Agent的主动网络体系结构ANSMA,在此基础上,给出
相应的拥塞控制策略一CCANSMA。该策略充分利用主动网络的特点,
将网络拥塞监测和控制引入到网络结点,从而减少网络拥塞控制的延
迟。该策略一方面对UDP数据流进行控制,使其体现 TCP友好性和公
平性,另一方面CCANSMA对恶意攻击数据流也进行适当控制和惩罚
措施,确保信息的可用性。
(2) 提出一种基于模糊神经网络 (FNN)的流量预测算法。传统的流量控
制技术,总是以网络资源当前使用情况对包进行处理,没有考虑流量
预测问题.易造成流量控制滞后的情况。本文将模糊神经网络引入流
量控制,利用其处理不确定性问题和自学习能力,较好地解决了这一
问题。
(3) 提出一种确保最小发送速率的 TCP友好拥塞控制算法 CQTCCA
(Certified Quality TCP-Friendly Congestion Control Algorithm)。该算法在
端点对 UDP数据流采用基于公式的发送速率调整,使之体现对 TCP
数据流的友好性;在结点对RED进行改造,使其提供带优先级包标记
的MRED算法,保证对实时多媒体数据流的最小带宽要求。
(4) 在分析IP劫持攻击和Smurf攻击实施原理的基础上,提出这两种攻击
的检测方法和防范技术。
(5) 归纳遭受DDoS攻击情况下,TCP/IP数据包、数据流特征:在此基础
上.利用数据挖掘技术建立一个入侵检测系统,可以较好地检测和防
护该类攻击。
(6) 提出权重包标记IP跟踪策略(Weight Marking Scheme-WMS). WMS通
过引入 HASH函数,将32*2位的 IP地址压缩到 11位,减少跟踪路
径的误报率。另一方面,WMS将权重信息加入到各个候选攻击路径,
通过和正常情况下的候选攻击路径权重进行比较,可更好地分析真正
攻击源。理论和实验证明本策略在降低误报率、发现真正的攻击源和
摘 要 博十论文
算法复杂度等方面有较大的提高。
关键字:网络安全,流量控制,FNN,移动Agent,主动网络,TCP友好性,DDoS
攻击,IP劫持攻击,Smurf攻击,IP跟踪
博 士论文 Intemet拥塞控制/信息可用性技术研究
I绪 论
1.1论文的背景和意义
计算机网络在过去的十几年中经历了爆炸式的增长,在给人们的生活、工作
带来了巨大的方便的同时,也带来了一些不容忽视的问题,网络信息的安全问题
就是其中之一。作为庞大的信息共享系统的互联网,其安全要求主要有三个:保
密性、完整性和可用性。可用性要求用户一旦需要,就能得到相应的服务,即不
应拒绝合法的使用。而 Intemet中大量用户及应用的出现导致的数据流增长,
TCP/IP自身缺陷引起的黑客攻击是引起信息不可用的两个主要原因。
文献「1)指出,由于本地缓存溢出,Internet网关会丢弃约10%的数据包。据
统计,Internet上95%的数据流使用的是TCP/IP协议[Z),因此TCP/IP的拥塞控
制(congestion control)机制对Internet控制拥塞具有特别重要的意义,该问题已成
为当前网络研究的一个热点问题。
本文试图从信息可用性角度探讨 Internet拥塞控制机制,研究利用 TCP/IP
缺陷发起的导致信息不可用的攻击方法的检测、防护和跟踪技术。
网络产半拥塞(信息不可用)的根本原因在于用户(或叫端系统)提供给网络
的负载(load)大于网络资源容量和处理能力(overload)。表现为数据包时延增加、
丢弃概率增大、上层应用系统性能下降等。
拥塞产生的直接原因有以下五点:
(I)存储空间不足
几个输入数据流共同需要同一个输出端口,在这个端口就会建立排队。如果
没有足够的存储空间存储,数据包就会丢弃,对突发数据流更是如此。增加存储
空间在某种程度上可以缓解这一矛盾,但如果路由器有无限存储量时、拥塞只会
变得更坏。因为数据包在网络里经过长时间排队完成转发时,它们早己超时。源
端认为它们己经被丢弃,而这些数据包还会继续向下一路由器转发,从而浪费网
络资源,加重网络拥塞。
(2)带宽容量不足
低速链路对高速数据流的输入也会产生拥塞。根据香农信息理论,任何信道
带宽最大值即为信道容AC二Blogz(I+SIN) (N为信道白噪声的平均功率,S
为信源的平均功率,B为信道带宽)。所有信源发送的速率R必须小于或等于信
道容量C。如果R>C,则在理论上无差错传输就是不可能的,所以在网络低速
博士论文 Intemet拥塞控制r信息可用性技术研究
上各种网络传输的信息,所以在 IP层实现拥塞控制可能是解决拥塞问题的一种
更有效的方法。
第二,TCP与IP拥塞控制协议的相互作用。
由于TCP与IP工作在不同的网络协议层次上,在共同执行拥塞控制时,会
互相作用,互相影响它们互相作用的方式和程度,会影响整个拥塞控制机制的效
率。
第三,公平性问题。
公平性指的是在发生拥塞时各源端(或同一源端建立的不同TCP连接或UDP
数据报)能公平地共享同一网络资源(如带宽、缓存等)。处于相同级别的源端应该
得到相同数量的网络资源。产生公平性的根本原因在于拥塞发生必然导致数据包
丢失,而数据包丢失会导致各数据流之间为争抢有限的网络资源发生竞争,争抢
能力弱的数据流将受到更多损害。所以说没有拥塞,也就没有公平性问题。
面向连接的TCP和无连接的UDP在拥塞发生时对拥塞指示的不同反应和处
理,从而导致对网络资源的不公平使用问题。在拥塞发生时,有拥塞控制反应机
制的TCP数据流会按拥塞控制步骤进入拥塞避免阶段,从而主动减少发送入网
络的数据量。但对无连接的数据报UDP来讲,由于它没有端到端的拥塞控制机
制,即使网络发出了拥塞指示((congestion indication,例如数据包丢失、收到重复
ACK等),UDP也不会像TCP那样减少向网络发送的数据量。结果遵守拥塞控
制的TCP数据流得到的网络资源越来越少,没有拥塞控制的UDP会得到越来越
多的网络资源,这就导致了网络资源在各源端分配的严重不公平。网络资源分配
的不公平反过来会加重拥塞情况,甚至可能导致拥塞崩溃(congestion collapse)。
第四,拥塞控制机制与网络传输服务质量QoS的有机结合。
在TCP使用的和式增加积式减少((AIMD)的基于窗口的端到端拥塞控制机制
中,TCP源端 “发送速率”由拥塞窗口控制。如果有一个数据包丢失,发送窗口
则要减半,否则就简单地增加一个数据包的发送量。这种基于窗口的拥塞控制机
制对 Internet上大批量文件传输等尽量做好(best-effort)型服务具有较好的适应
性,但对有实时 QoS要求的多媒体数据流却并不适应。山于出现拥塞情况而使
发送数据量的突然减半会导致接收者感受服务质量显著下降『901。这种发送速率
的突然改变已经成为多媒体通信等一些应用的主要障碍。目前传送诸如音频或视
频信息的多媒体数据流日益成为Internet上的重要应用。这类应用的主要特点是
(1)对时延敏感;(2)能容许一定的数据丢失:(3)数据传输本质上基于速率。目前
的拥塞控制研究主要集中在尽量做好(best effort)型服务,对支持QoS的拥塞控制
新机制的研究还不多,而这种研究对支持多媒体数据流传输是很有价值的。
第五,恶意数据流的检测、防护与跟踪。
1绪论 博 士论文
产生网络拥塞的原因,除了网络基础设施的局限外,利用 TCP八P协议缺
陷,产生大量恶意攻击的数据流也是产生网络拥塞的一个重要原因。服务拒绝攻
击和分布式服务拒绝攻击就是这样的一种攻击方式,并且它在黑客攻击事件中所
占的比例越来越大。如何对此类攻击进行检测与跟踪,是当前急需解决的问题。
1.4本文主要工作
1.4.1研究问题
文章主要研究:
(I)在开放式的Internet环境下,如何确保信息的可用性,并使得数据流体现
友好性与公平性;
(2)如何对不友好的数据流 (包括恶意攻击流)进行检测、防护与跟踪;
(3)如何确保某些特定数据流的服务质量;
(4)在系统资源受限的条件下,如何提高系统的整体运行效率。
1.4.2解决思路
针对引起网络拥塞和信息不可用的诸多原因,分别利用以下方案加以解决:
(1)从基于主动网络的拥塞控制技术解决IP拥塞控制能力弱以及常规TCP协
议中的拥塞控制的滞后性问题:
(2)引入FNN流量预侧机制,对RED算法加以改进,减少路由器端的丢包
率,提高网络吞吐量;
(3)针对多种数据流共享带宽时,由UDP应用引起的公平性和服务质量问题,
将TCP协议中的拥塞控制思想引入UDP应用,同时通过改进RED算法,使得
UDP数据流既体现一定的友好性又能保证其最小带宽要求。
(4)对利用TCPflp协议缺陷的典型攻击方式的原理进行分析,结合数据挖掘
技术,对此类攻击方式进行检测,进而给出相应的防护和跟踪措施。
1.4.3主要工作与创新性
(1) 提出基于移动Agent和主动网络的拥塞控制策略CCANSMA.现有的
拥塞控制策略在TCP和IP两层上分别进行拥塞控制,两者没有很好地
结合起来,从而影响整个拥塞控制机制的效率。CCANSMA将基于TCP
的端点拥塞控制和结点端的IP拥塞控制结合起来,从而大大减少网络
拥塞控制的延迟.该策略一方面对UDP数据流采用一定的控制,使其
体现一定的TCP友好性和公平性,另一方面CCANSMA对恶意攻击数
据流采用一定的控制和惩罚措施,确保信息的可用性。
(2) 提出一种基于模糊神经网络 (FNN)的流量预测算法.传统的流量控
摘要:
展开>>
收起<<
²©IÂÛÎÄInternetӵÈû¿ØÖÆ/ÐÅϢPJÓÃÐÔ¼¼ÊõÑо¿ժҪInternetÔÚ¹ýȥʮ¼¸ÄêÖеı¬ըʽÔö³¤£¬ÒýÆðԽÀ´ԽÑÏÖصÄӵÈûÎÊÌâ¡£Áíһ·½Ã棬TCP/IPµÄȱÏÝҲ³ÉΪ²»¹«ƽÊý¾ÝÁ÷»ò¶ñÒâ¹¥»÷Êý¾ÝÁ÷²úÉúµÄÖØҪԭÒò¡£±¾ÎÄ´ÓÐÅϢ°²ȫÖÐÐÅϢµÄ¿ÉÓÃÐԽǶȣ¬ÀûÓÃӵÈû¼ì²â¡¢Á÷Á¿¿ØÖÆ¡¢¶ñÒâ¹¥»÷Êý¾ÝÁ÷µÄ¼ì²âÓë·À»¤¼°IP¸ú×ٵȼ¼Êõ£¬Á¦ͼ¸ø³öһ¸ö½ÏΪÍêÕûµÄInternetÁ÷Á¿¿ØÖƺÍȷ±£ÐÅ...
作者:李佳
分类:高等教育资料
价格:15积分
属性:98 页
大小:4.34MB
格式:PDF
时间:2024-09-26
