分布式拒绝服务攻击(DDoS)是近年来出现的一种特殊形式的拒绝服务(DoS)攻击。它采用了分布、协作的大规模攻击方式。DDoS攻击和普通DoS的攻击原理是一样的,但是与早期的DoS攻击由单台攻击发起,单兵作战相比较,DDoS实现是借助数百台,甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。主要目标是较大的站点,像商业公司、搜索引擎和政府部门的站点。在这种几百,几千对一的较量中,网络服务提供商所面对的破坏力是空前巨大的。由于DDoS攻击拥有更多攻击源,破坏力更大,因此检测和防御工作也更加困难。DDoS攻击已经严重威胁Internet的安全,成为目前网络安全界研究的热点。本课题的目标是设计并实现一套防分布式拒绝服务攻击(DDoS)的系统。该课题来源于“入侵防御系统与拒绝服务产品”项目,是“信息产业部发展基金2005年招标项目”,本人在四川省新型计算机应用技术实验室参与了该项目的分析,设计流程,并且主要负责检测技术的研究和检测模块的设计。本文首先介绍DoS攻击的定义和攻击方式。在其基础上,引出分布式的拒绝服务攻击(DDoS)。本文将详细剖析DDoS攻击的体系结构和工作原理,对其攻击手段和攻击工具作全面深入的研究、比较和总结。随后本文将重点研究DDoS的检测技术。总的来说,DDoS检测技术包括两大类:异常检测和特征检测,而异常检测是本文研究的重点。通过总结当前的DDoS攻击检测技术以及攻击工具检测模型,以及对当前典型检测算法的分析和学习,本文在已有的信息熵(Entropy)检测算法基础上进行改进,提出了基于累积的信息熵检测算法和基于时间的信息熵检测算法。这两种算法采取一种熵累积或时间累积的思想对传统的监测算法进行改进,解决了传统的检测算法误报率较高的问题。通过测试,该方法不仅可以准确地对攻击进行检测,并且对于网络正常的异常波动也有较好的适应能力。另外,本文提出了DDoS辅助检测模型,利用不同的包分析方法,可以帮助提高系统的检测效率。最后,针对课题目标,本文设计了一套防拒绝服务攻击系统框架,以适应现实环境的检测和防御需求。本文将详细描述系统的总体框架设计和工作流程,并对其中采用的核心检测模块及其相应技术进行分析。