基于P2P平臺(tái)的DDoS攻擊防御方法

1、基金項(xiàng)目基金項(xiàng)目:江蘇師范大學(xué)校自然科學(xué)基金資助項(xiàng)目(09XLB21 作者簡(jiǎn)介作者簡(jiǎn)介:孟凡立(1979-,男,實(shí)驗(yàn)師、碩士,主研方向:信息安全,虛擬化技術(shù);張 慰、王 華,實(shí)驗(yàn)師、碩士 收稿日期收稿日期:2011-09-23 修回日期修回日期:2011-11-29 E-mail :mengfl基于P2P 平臺(tái)平臺(tái)的的DDoS 攻擊防御方法孟凡立孟凡立,張 慰,王 華(江蘇師范大學(xué)信息網(wǎng)絡(luò)中心,江蘇 徐州 221116摘 要:P2P 系統(tǒng)的分散性、匿名性和隨機(jī)性等特點(diǎn)容易被利用發(fā)起大規(guī)模的分布式拒絕服務(wù)(DDoS攻擊。為此,提出一種分布式的防御方法。通過(guò)在應(yīng)用層構(gòu)建一套數(shù)據(jù)發(fā)送授權(quán)機(jī)制,使P2

2、P 平臺(tái)中的節(jié)點(diǎn)在未得到目標(biāo)節(jié)點(diǎn)授權(quán)之前不能向其發(fā)送大量數(shù)據(jù),從而阻止攻擊數(shù)據(jù)到達(dá)被攻擊者。仿真實(shí)驗(yàn)結(jié)果證明,該模型可以抵御利用P2P 軟件發(fā)起的DDoS 攻擊。 關(guān)鍵詞關(guān)鍵詞:分布式拒絕服務(wù)攻擊;拒絕服務(wù)防御;P2P 網(wǎng)絡(luò);網(wǎng)絡(luò)安全;Gnutella 協(xié)議Defense Method for DDoS Attack Based on P2P PlatformMENG Fan-li, ZHANG Wei, WANG Hua(Center of Information & Network Technology, Jiangsu Normal University, Xuzhou 2211

3、16, China【Abstract 】The inherent characteristics of P2P system, such as dispersivenes, anonymity and randomness, are apt to plunge the system into attacks from Distributed Denial of Service(DDoS on a large scale. In order to solve the problem, this paper proposes a distributive defense method. A mec

4、hanism to authorize the sending and receipt of data is constructed in the application platform, thus the node in the P2P platform can not send data to the system unless authorized by the target node and in this way the target can stay safe from the destructive data. Simulation experimental results s

5、how that the model can defend the DDoS attacks which takes advantage of the weakness of P2P software.【Key words 】Distributed Denial of Service(DDoS attack; Denial of Service(DoS defense; P2P network; network security; Gnutella protocol DOI: 10.3969/j.issn.1000-3428.2012.15.030計(jì) 算 機(jī) 工 程 Computer Engi

6、neering 第38卷 第15期V ol.38 No.15 2012年8月August 2012·安全技術(shù)安全技術(shù)·· 文章編號(hào)文章編號(hào):10003428(201215010404 文獻(xiàn)標(biāo)識(shí)碼文獻(xiàn)標(biāo)識(shí)碼:A中圖分類號(hào)中圖分類號(hào):TN393.081 概述P2P 網(wǎng)絡(luò)技術(shù)及應(yīng)用近年來(lái)發(fā)展迅速,據(jù)統(tǒng)計(jì),各類P2P 應(yīng)用已經(jīng)占據(jù)網(wǎng)絡(luò)60%左右的流量,以BitTorrent 、Gnutella 、eDonkey 等為代表的P2P 網(wǎng)絡(luò)具有擴(kuò)展性好、可快速定位資源等優(yōu)點(diǎn),成為當(dāng)前網(wǎng)絡(luò)應(yīng)用的研究熱點(diǎn)。但是P2P 網(wǎng)絡(luò)結(jié)構(gòu)松散,節(jié)點(diǎn)可以自由地加入和退出,系統(tǒng)具有高度的分散性、匿

7、名性和隨機(jī)性,節(jié)點(diǎn)一般無(wú)法確定與之交換信息的其他節(jié)點(diǎn)的身份及可信程度。文獻(xiàn)1在分析了分布式拒絕服務(wù)(Distributed Denial of Service, DDoS攻擊的特征和P2P 網(wǎng)絡(luò)的工作機(jī)制后指出,攻擊者利用P2P 網(wǎng)絡(luò)節(jié)點(diǎn)多、位置分散和匿名等特點(diǎn),可以很好地隱藏攻擊信息,降低暴露的風(fēng)險(xiǎn)。因此,在P2P 網(wǎng)絡(luò)中很容易發(fā)生DDoS 攻擊,安全性問(wèn)題是其進(jìn)一步發(fā)展和應(yīng)用亟待解決的問(wèn)題之一2。目前對(duì)P2P 網(wǎng)絡(luò)的研究尚處于起步階段,研究熱點(diǎn)集中在如何提高資源查找效率、如何提高各節(jié)點(diǎn)間數(shù)據(jù)傳輸速率及如何利用P2P 系統(tǒng)構(gòu)建各類應(yīng)用系統(tǒng)等方面3,對(duì)于P2P 網(wǎng)絡(luò)安全方面尤其是對(duì)利用P2P

8、網(wǎng)絡(luò)發(fā)起DDoS 攻擊防御的研究并不充分,防御方法比較落后,目前主流的DDoS 防御方法主要基于協(xié)議分析或數(shù)據(jù)挖掘,但這些方法存在大量的問(wèn)題4。本文根據(jù)P2P 網(wǎng)絡(luò)中DDoS 攻擊的特點(diǎn),基于文獻(xiàn)5-6的防御模型,提出一種分布式DDoS 攻擊防御方法,通過(guò)在應(yīng)用層構(gòu)建一套數(shù)據(jù)發(fā)送授權(quán)機(jī)制,使攻擊數(shù)據(jù)無(wú)法到達(dá)被攻擊者,從而防止利用P2P 平臺(tái)發(fā)起DDoS 攻擊。2 P2P 網(wǎng)絡(luò)中的DDoS 攻擊在互聯(lián)網(wǎng)上發(fā)起一次大規(guī)模的DDoS 攻擊,需要先利用病毒、木馬、系統(tǒng)漏洞等手段入侵大量的主機(jī),并在被入侵的主機(jī)中植入發(fā)動(dòng)DDoS 攻擊的程序,然后再通過(guò)這些程序發(fā)起DDoS 攻擊。由于個(gè)人用戶安全意識(shí)的提

9、高和各類安全軟件的大量部署,入侵主機(jī)的成本逐步提高,因此通過(guò)傳統(tǒng)的方式發(fā)起大規(guī)模的DDoS 攻擊變得越來(lái)越繁瑣。但利用P2P 軟件和協(xié)議設(shè)計(jì)上的漏洞,無(wú)須入侵大量主機(jī),就可以發(fā)起大規(guī)模的DDoS 攻擊7,其操作簡(jiǎn)單、成本低、危害大、防御困難,已成為一個(gè)新的研究熱點(diǎn)。但如果不改變目前的TCP/IP 協(xié)議中,在沒(méi)有授權(quán)的情況下任何節(jié)點(diǎn)隨時(shí)可以把任何數(shù)據(jù)發(fā)送給其他任何節(jié)點(diǎn)的工作機(jī)制,DDoS 攻擊就永遠(yuǎn)不會(huì)消失。P2P 網(wǎng)絡(luò)的查詢和請(qǐng)求機(jī)制存在漏洞,少量攻擊源通過(guò)發(fā)起海量無(wú)用查詢請(qǐng)求就能迅速消耗目標(biāo)機(jī)資源,實(shí)現(xiàn)拒絕服務(wù)攻擊。在P2P 網(wǎng)絡(luò)中節(jié)點(diǎn)之間的通信是匿名的,這種設(shè)計(jì)有利于惡意節(jié)點(diǎn)隱藏于其他節(jié)點(diǎn)

10、中,每一個(gè)傳送數(shù)據(jù)的節(jié)點(diǎn)不知道原始數(shù)據(jù)的發(fā)送者,并且查詢響應(yīng)僅僅沿著查詢路徑傳送給鄰居節(jié)點(diǎn)。如果為了防止DDoS 攻擊而輕易斷開(kāi)全部發(fā)送大量數(shù)據(jù)的鄰居節(jié)點(diǎn),將導(dǎo)致正常的數(shù)據(jù)無(wú)法傳輸;孟凡立,張慰,王華:基于P2P網(wǎng)絡(luò)的DDoS攻擊防御方法第38卷第15期105 但如果不斷開(kāi)異常節(jié)點(diǎn),大量正常節(jié)點(diǎn)將為惡意節(jié)點(diǎn)傳送攻擊數(shù)據(jù)。利用P2P平臺(tái)發(fā)起的DDoS攻擊主要可以分為不對(duì)稱攻擊、路由表攻擊和索引攻擊。上述幾種DDoS的攻擊效果非常驚人,在文獻(xiàn)8中進(jìn)行的一次攻擊實(shí)驗(yàn)中,利用P2P平臺(tái)下200個(gè)節(jié)點(diǎn)發(fā)起DDoS攻擊,14 h后,對(duì)目標(biāo)節(jié)點(diǎn)產(chǎn)生的攻擊流量達(dá)到700 Mb/s,遠(yuǎn)超實(shí)驗(yàn)者的預(yù)計(jì),產(chǎn)生的攻擊

11、后果相當(dāng)嚴(yán)重。3 防御模型的實(shí)現(xiàn)DDoS攻擊的目標(biāo)一般是在網(wǎng)絡(luò)上提供服務(wù)的服務(wù)器或部署在某個(gè)網(wǎng)絡(luò)出口的邊界網(wǎng)絡(luò)設(shè)備,在這些設(shè)備上是不允許安裝P2P軟件的,所以,這些設(shè)備也不會(huì)正確響應(yīng)P2P軟件發(fā)來(lái)的數(shù)據(jù)包。因此,可以在P2P軟件中加入一種檢測(cè)機(jī)制,用來(lái)判斷P2P節(jié)點(diǎn)的鄰居節(jié)點(diǎn)是真正的P2P節(jié)點(diǎn)還是一個(gè)沒(méi)有安裝P2P軟件的被攻擊者。通過(guò)這種方式可以使攻擊流無(wú)法從P2P平臺(tái)流出至P2P覆蓋網(wǎng)以外的網(wǎng)絡(luò)節(jié)點(diǎn),從而使攻擊失去意義。當(dāng)攻擊目標(biāo)是P2P平臺(tái)中的節(jié)點(diǎn),該模型也可以通過(guò)控制受害節(jié)點(diǎn)發(fā)放許可授權(quán)數(shù)量來(lái)阻擊攻擊。本文根據(jù)P2P平臺(tái)發(fā)起DDoS攻擊的特性及P2P軟件查找、傳輸資源的特點(diǎn),在現(xiàn)有算法的

12、基礎(chǔ)上增加了對(duì)相鄰節(jié)點(diǎn)響應(yīng) 狀態(tài)檢測(cè)環(huán)節(jié),提出了根據(jù)目標(biāo)節(jié)點(diǎn)對(duì)數(shù)據(jù)包的響應(yīng)情況進(jìn)行數(shù)據(jù)包發(fā)送管理的模型。在應(yīng)用層中對(duì)節(jié)點(diǎn)間發(fā)送的數(shù)據(jù)進(jìn)行管理,建立起一套數(shù)據(jù)傳輸授權(quán)機(jī)制,在未得到目標(biāo)節(jié) 點(diǎn)授權(quán)之前不允許向其發(fā)送大量數(shù)據(jù)。以往的攻擊檢測(cè)機(jī)制都是在數(shù)據(jù)進(jìn)入節(jié)點(diǎn)后立即根據(jù)其 來(lái)源判斷是否為正常流量。本文構(gòu)建的防御模型在數(shù)據(jù)流出 節(jié)點(diǎn)時(shí)才對(duì)其進(jìn)行判斷。這樣,目標(biāo)節(jié)點(diǎn)為本節(jié)點(diǎn)的數(shù)據(jù)無(wú)需進(jìn)行判斷,減少了數(shù)據(jù)處理量,提高了處理效率。圖1為對(duì)流入和流出各節(jié)點(diǎn)的數(shù)據(jù)包進(jìn)行檢測(cè)的示意圖,其中,數(shù) 字代表每分鐘通過(guò)的數(shù)據(jù)包數(shù)量。 106 計(jì)算機(jī)工程2012年8月5日點(diǎn)既不在白名單中又不在黑名單中時(shí),觸發(fā)授權(quán)程序。2

13、授權(quán)程序向目標(biāo)節(jié)點(diǎn)發(fā)送一個(gè)授權(quán)申請(qǐng)包,申請(qǐng)包中包含發(fā)起申請(qǐng)的節(jié)點(diǎn)中P2P軟件的類型。3如果目標(biāo)節(jié)點(diǎn)中沒(méi)有可提供服務(wù)的P2P軟件,則目標(biāo)節(jié)點(diǎn)不會(huì)響應(yīng)該申請(qǐng),即授權(quán)申請(qǐng)失敗,不允許向該節(jié)點(diǎn)發(fā)送數(shù)據(jù),同時(shí)將該目標(biāo)節(jié)點(diǎn)加入到黑名單中。4當(dāng)目標(biāo)節(jié)點(diǎn)中存在可向發(fā)起申請(qǐng)節(jié)點(diǎn)提供服務(wù)的P2P軟件時(shí),即返回一個(gè)授權(quán)許可包,此時(shí)授權(quán)成功,允許向該節(jié)點(diǎn)發(fā)送數(shù)據(jù),同時(shí)將該目標(biāo)節(jié)點(diǎn)加入到白名單中。5為了避免惡意節(jié)點(diǎn)仿冒授權(quán),在授權(quán)申請(qǐng)包中包含一個(gè)隨機(jī)數(shù),目標(biāo)節(jié)點(diǎn)返回的授權(quán)許可包中也包含這個(gè)隨機(jī)數(shù),如果發(fā)送的隨機(jī)數(shù)與收回的不匹配,表明是惡意仿冒節(jié)點(diǎn),此時(shí)授權(quán)申請(qǐng)失敗。(2白名單操作方法1當(dāng)目標(biāo)節(jié)點(diǎn)流量超過(guò)閾值時(shí),觸發(fā)白名

14、單管理機(jī)制。2將目標(biāo)節(jié)點(diǎn)與白名單進(jìn)行比對(duì),如果目標(biāo)節(jié)點(diǎn)在白名單中,則直接發(fā)送數(shù)據(jù),同時(shí)將白名單中該節(jié)點(diǎn)的白名單有效期延長(zhǎng)。3當(dāng)授權(quán)申請(qǐng)成功獲得目標(biāo)節(jié)點(diǎn)的授權(quán)時(shí),將該節(jié)點(diǎn)加入白名單。白名單中為每個(gè)節(jié)點(diǎn)設(shè)置了一個(gè)有效期,步驟3會(huì)為白名單中新加入的節(jié)點(diǎn)設(shè)置一個(gè)初始有效期,有效期是一個(gè)倒計(jì)時(shí)的時(shí)間,當(dāng)有效期為0時(shí),將該節(jié)點(diǎn)從白名單中剔除。步驟2會(huì)延長(zhǎng)相應(yīng)目標(biāo)節(jié)點(diǎn)的有效期,但為了避免惡意節(jié)點(diǎn)假授權(quán),有效期被延長(zhǎng)的次數(shù)是有限制的,超過(guò)上限則將該節(jié)點(diǎn)從白名單中剔除,需要再進(jìn)行一次授權(quán)申請(qǐng)。白名單的結(jié)構(gòu)如下:字段名目標(biāo)節(jié)點(diǎn)IP地址目標(biāo)節(jié)點(diǎn)端口號(hào)有效期已延長(zhǎng)次數(shù)數(shù)據(jù)類型Char(15 Int time Int(

15、3黑名單操作方法1當(dāng)目標(biāo)節(jié)點(diǎn)不在白名單中時(shí),觸發(fā)黑名單管理機(jī)制。2將目標(biāo)節(jié)點(diǎn)與黑名單進(jìn)行比對(duì),如果目標(biāo)節(jié)點(diǎn)在黑名單中,則將數(shù)據(jù)包丟棄,同時(shí)將黑名單中該節(jié)點(diǎn)的黑名單有效期延長(zhǎng)。3如果目標(biāo)節(jié)點(diǎn)不在黑名單中,則觸發(fā)授權(quán)程序。如果授權(quán)申請(qǐng)失敗,則將目標(biāo)節(jié)點(diǎn)加入黑名單,同時(shí)設(shè)置黑名單的有效期。黑名單中有效期的運(yùn)行機(jī)制與白名單類似,但黑名單有效期根據(jù)不響應(yīng)次數(shù)呈指數(shù)遞增,只要目標(biāo)節(jié)點(diǎn)響應(yīng)一次,則立即將該目標(biāo)節(jié)點(diǎn)的不響應(yīng)次數(shù)清空,同時(shí)將該目標(biāo)節(jié)點(diǎn)從黑名單移至白名單。黑名單結(jié)構(gòu)如下:字段名目標(biāo)節(jié)點(diǎn)IP地址目標(biāo)節(jié)點(diǎn)端口號(hào)有效期不響應(yīng)次數(shù)數(shù)據(jù)類型Char(15 Int time Int由于異常數(shù)據(jù)包所占比例較小,

16、所有的節(jié)點(diǎn)都進(jìn)行發(fā)送授權(quán)申請(qǐng)開(kāi)銷過(guò)大,影響P2P軟件的工作效率,因此該機(jī)制只對(duì)發(fā)送數(shù)據(jù)包超過(guò)設(shè)定閾值的目標(biāo)節(jié)點(diǎn)進(jìn)行授權(quán)驗(yàn)證。離被攻擊節(jié)點(diǎn)越近的節(jié)點(diǎn),發(fā)向被攻擊節(jié)點(diǎn)的數(shù)據(jù)包就越多,被攻擊節(jié)點(diǎn)就越容易進(jìn)入到黑名單中,這樣P2P節(jié)點(diǎn)就不會(huì)再向被攻擊節(jié)點(diǎn)發(fā)送數(shù)據(jù),從而瓦解攻擊。4 實(shí)驗(yàn)分析為了測(cè)試該模型的有效性及對(duì)P2P平臺(tái)正常數(shù)據(jù)傳輸運(yùn)行的影響,使用文獻(xiàn)4-5中的方法,在P2PSim平臺(tái)下進(jìn)行了仿真實(shí)驗(yàn)。通過(guò)P2PSim 構(gòu)造了一個(gè)類似Gnutella協(xié)議的P2P網(wǎng)絡(luò)。網(wǎng)絡(luò)中有一個(gè)10 000個(gè)節(jié)點(diǎn)的邏輯拓?fù)?每個(gè)節(jié)點(diǎn)有3個(gè)8個(gè)鄰居節(jié)點(diǎn),平均每個(gè)節(jié)點(diǎn)有 5個(gè)鄰居節(jié)點(diǎn),其 中攻擊節(jié)點(diǎn)128 個(gè),目標(biāo)節(jié)

17、點(diǎn)1 個(gè)。查詢消息是以洪泛方式進(jìn)行,網(wǎng)絡(luò)中各節(jié)點(diǎn)地位平等,無(wú)超級(jí)節(jié)點(diǎn)。信息文件數(shù)設(shè) 為1 000 個(gè),消息的生存時(shí)間設(shè)為4,其他參數(shù)按照一般 P2P 軟件的默認(rèn)參數(shù)設(shè)置。根據(jù)文獻(xiàn)9中得出的P2P平臺(tái)上的流量特點(diǎn),設(shè)定普通節(jié)點(diǎn)每分鐘隨機(jī)發(fā)送3個(gè)10個(gè)數(shù)據(jù)請(qǐng)求,每個(gè)節(jié)點(diǎn)在同一分鐘內(nèi)向任一鄰居節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包不大于2個(gè)。攻擊節(jié)點(diǎn)每分鐘發(fā)送0個(gè)查詢請(qǐng)求開(kāi)始,每10 min遞增20個(gè),直至200。目標(biāo)節(jié)點(diǎn)在收到授權(quán)申請(qǐng)時(shí)全部拒絕,其他節(jié)點(diǎn)每分鐘發(fā)送的數(shù)據(jù)包低于200時(shí)進(jìn)行批準(zhǔn)操作,超過(guò)200時(shí)對(duì)收到的授權(quán)申請(qǐng)進(jìn)行拒絕操作。因?yàn)槊總€(gè)正常節(jié)點(diǎn)每分鐘向任一鄰居節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包不大于2個(gè),所以在攻擊節(jié)點(diǎn)發(fā)送數(shù)據(jù)

18、前授權(quán)機(jī)制沒(méi)有啟動(dòng),數(shù)據(jù)傳輸正常。隨著攻擊節(jié)點(diǎn)發(fā)送數(shù)據(jù)的增加,正常節(jié)點(diǎn)數(shù)據(jù)發(fā)送受到很大影響,但同時(shí)各節(jié)點(diǎn)的授權(quán)機(jī)制陸續(xù)被觸發(fā),正常數(shù)據(jù)的傳輸?shù)玫搅艘欢ɑ謴?fù),同時(shí)目標(biāo)節(jié)點(diǎn)收到的攻擊數(shù)據(jù)基本消失。目標(biāo)節(jié)點(diǎn)收到數(shù)據(jù)包的情況如圖3所示。第38卷第15期107 孟凡立,張慰,王華:基于P2P網(wǎng)絡(luò)的DDoS攻擊防御方法仍可正常進(jìn)行。 圖4 正常數(shù)據(jù)正常數(shù)據(jù)丟包率丟包率由實(shí)驗(yàn)結(jié)果可知,本文方法具有以下優(yōu)點(diǎn):(1根據(jù)發(fā)起DDoS攻擊的原理,通過(guò)在應(yīng)用層部署相鄰節(jié)點(diǎn)間數(shù)據(jù)傳輸授權(quán)機(jī)制,杜絕在應(yīng)用層發(fā)起DDoS攻擊的可能,誤報(bào)率低,防御效果好。(2根據(jù)P2P網(wǎng)絡(luò)中DDoS攻擊的特點(diǎn),僅對(duì)流量可疑的鄰居節(jié)點(diǎn)進(jìn)行數(shù)據(jù)

19、傳輸授權(quán)管理,對(duì)P2P平臺(tái)性能造成的影響小。(3僅根據(jù)下一跳鄰居節(jié)點(diǎn)反饋信息進(jìn)行數(shù)據(jù)傳輸授權(quán),算法簡(jiǎn)單,對(duì)正常的數(shù)據(jù)傳輸影響小。(4根據(jù)數(shù)據(jù)傳輸過(guò)程中產(chǎn)生的數(shù)據(jù)進(jìn)行授權(quán),對(duì)P2P軟件現(xiàn)有工作機(jī)制和工作效率影響小。5 結(jié)束語(yǔ)本文根據(jù)P2P平臺(tái)中DDoS攻擊的特點(diǎn)及原理,在現(xiàn)有防御機(jī)制及工具的基礎(chǔ)上,通過(guò)增加對(duì)相鄰節(jié)點(diǎn)響應(yīng)狀態(tài)的檢測(cè)環(huán)節(jié),提出一個(gè)數(shù)據(jù)包發(fā)送管理模型,并建立了一套在P2P平臺(tái)下的數(shù)據(jù)傳輸授權(quán)機(jī)制。仿真結(jié)果表明,該模型能夠迅速、準(zhǔn)確地抑制利用P2P平臺(tái)發(fā)起的DDoS攻擊。在后續(xù)的工作中,將進(jìn)一步細(xì)化該模型的各項(xiàng)功能,減小其對(duì)正常P2P數(shù)據(jù)傳輸?shù)挠绊憽⒖嘉墨I(xiàn)1Wagner A, Pla

20、ttner B. Peer-to-Peer Systems as Attack Platform forDistributed Denial-of-ServiceEB/OL. (2002-12-10. http:/www.tik.ee.ethz.ch/ddosvax/publications/papers/sact2002.pdf.2劉曉娟. 基于P2P網(wǎng)絡(luò)的DDoS攻擊防御研究D. 北京: 北京郵電大學(xué), 2009.3吳敏, 王汝傳, 王治平. 基于支持向量機(jī)的P2P網(wǎng)絡(luò)DoS攻擊檢測(cè)J. 計(jì)算機(jī)技術(shù)與發(fā)展, 2009, 19(11: 151-154.4劉丹, 李毅超, 余三超, 等. 面向

21、P2P網(wǎng)絡(luò)的DDoS攻擊抑制方法J. 電子科技大學(xué)學(xué)報(bào), 2011, 40(1: 85-89.5耿技, 馬新新. 基于P2P泛洪DDoS攻擊的防范研究J. 計(jì)算機(jī)應(yīng)用研究, 2009, 26(6: 2116-2118.6李俊青, 潘全科, 王文宏, 等. 蟻群優(yōu)化在P2P網(wǎng)絡(luò)防范DDoS攻擊中的應(yīng)用研究J. 計(jì)算機(jī)應(yīng)用研究, 2009, 26(1: 339-341.7劉敏霞, 余杰, 李強(qiáng). 基于P2P系統(tǒng)的DDoS攻擊及其防御技術(shù)研究綜述J. 計(jì)算機(jī)應(yīng)用研究, 2011, 28(5: 1609-1613. 8Sun Xin, Torres R, Rao Sanjay. Preventing

22、DDoS Attacks onInternet Servers Exploiting P2P SystemsJ. Computer Networks, 2010, 54(15: 2756-2774.9李鑫, 劉東林. 基于統(tǒng)計(jì)特征的P2P流量檢測(cè)方法J. 計(jì)算機(jī)工程, 2010, 36(5: 114-115.編輯張帆 (上接第99頁(yè)4 結(jié)束語(yǔ)仿真結(jié)果表明,BQM_Sat算法能夠有效地區(qū)分?jǐn)?shù)據(jù)丟失原因,并采取有效的錯(cuò)誤控制機(jī)制,滿足傳輸系統(tǒng)對(duì)于發(fā)送速率或抗噪性能的要求,明顯提高衛(wèi)星網(wǎng)絡(luò)的吞吐量。特別是在誤碼率較高時(shí),BQM_Sat算法采用調(diào)制方式的跨層自適應(yīng)技術(shù)降低了發(fā)送速率,減少了誤碼造成的數(shù)據(jù)丟失,顯著提高了鏈路帶寬資源的利用率。此外,BQM