Skip to main content
SUPERVISOR
Ali Fanian
علی فانیان (استاد راهنما)
 
STUDENT
Amir Alipour
امیر علی پوررودبارسرا

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1396
In recent years, the Internet has become an inseparable part of human life, and many services have emerged on it. This rapid growth has created many security issues for users and organizations. For example, sometimes intruders attack the computer networks and causing a great deal of damage. In order to prevent further consequences of the attacks, it is important to identify them as quickly as possible and take appropriate action to stop them. On the other hand, availability is one of the most important requirements for almost all the organization. To ensure this requirement is met, the systems must be designed to prevent attacks that endanger this security requirement. In order to prevent these attacks, known as the DDoS attacks, anti DDoS systems have been developed. There are different ways to identify and prevent DDoS attacks, but each of them has serious challenges to prevent. One of the approaches that has attracted researchers and operators today introduced as a hybrid anti DDoS architecture. This new architecture composed of two principles includes detection and mitigation components. The consequence of this architecture is that, we can examine packets at the protected organization and mitigating the occurred attack on high-speed links. In this thesis a new design based on this architecture is presented wherein the input packets are labeled to separate malicious packets form normal ones. The proposed method can be easily deployed in the Internet infrastructure without any change to network equipment and protocols. This method easily resists against various DDoS attacks including different types of reflection attacks, and also eliminates unauthorized traffic with insignificant overhead. Moreover, in order to better use of this architecture, a fast algorithm for membership query is presented. The proposed algorithm improves memory access in comparison to the best algorithms presented yet. The results of this algorithm shows that memory access has improved up to ten fold for network related applications. Keywords: DDoS defense, traffic filtering, multiset membership query, collaborative defense.
در سال‌های اخیر اینترنت به عنوان جزئی جداناپذیر از زندگی بشر درآمده و سرویس‌های فراوانی روی بستر اینترنت به وجود آمده است. این رشد سریع باعث به وجود آمدن مخاطراتی شده است که امنیت کاربران را به خطر می‌اندازد. برای مثال نفوذگران به طور پیوسته به شبکه‌های کامپیوتری حمله می‌کنند و موجب خسارات و صدمات فراوانی می‌شوند. برای جلوگیری از پیامدهای بیشتر حملات، تشخیص هر چه سریع‌تر و اقدام مناسب برای متوقف کردن این حملات ضروری و مهم است. یکی از ارکان مهم امنیت که امروزه نیاز مبرم بیشتر سازمان‌ها است دسترس‌پذیری است. برای تضمین برآورده شدن این نیاز باید سامانه‌هایی طراحی شوند که بتوانند از حملاتی که این مؤلفه‌ی امنیت را به خطر می‌اندازند، جلوگیری کنند. برای جلوگیری از این حملات که با نام منع خدمت شناخته می‌شوند، سیستم‌های جلوگیری از حمله‌های منع خدمت توسعه یافته‌اند. برای تشخیص حملات شناخته‌شده و جلوگیری از آن‌ها راه‌کارهای متفاوتی ارائه شده است اما هر کدام از این راه‌کارها با چالش‌هایی جدی برای جلوگیری از این حملات مواجه هستند. یکی از گزینه‌هایی که امروزه توجه محققین و اپراتورها را جلب کرده است ارائه‌ی معماری ترکیبی برای سامانه‌های جلوگیری از حملات منع خدمت است. این معماری جدید بخش تشخیص سامانه را از بخش جلوگیری از حمله جدا می‌کند. در نتیجه‌ی این معماری جدید امکان بررسی بسته‌ها در سطح سازمان‌ها و جلوگیری از حملات در خطوط با سرعت بسیار بالا فراهم می‌شود. در این پایان‌نامه طرحی بر اساس این معماری ارائه شده است که با برچسب‌گذاری بسته‌ها امکان تفکیک ترافیک مجاز از ترافیک غیر مجاز را فراهم می‌کند. روش ارائه شده به راحتی در زیرساخت اینترنت قابل پیاده‌سازی است و نیاز به تغییر تجهیزات و یا پروتکل‌ها ندارد. این روش در برابر حملات مختلف از جمله انواع حملات بازتابی به راحتی مقاومت می‌کند و با سربار ناچیزی ترافیک غیرمجاز را حذف می‌کند. با توجه به اهمیت سرعت در جلوگیری از حملات منع خدمت، الگوریتمی سریع برای جستجوی گروه ارائه شده است که دسترسی به حافظه را نسبت به بهترین الگوریتم‌های ارائه شده بهبود چشم‌گیری می‌دهد. این الگوریتم باعث می‌شود تا تصمیم‌گیری درباره‌‌ی بسته‌های ورودی با سرعت بیشتری قابل انجام باشد. نتایج به‌دست آمده از این الگوریتم نشان می‌دهد که دسترسی به حافظه‌ی آن در کاربرد‌های مرتبط با شبکه تا ده برابر بهبود داشته است. واژگان کلیدی: جلوگیری از حملات منع خدمت، فیلتر کردن ترافیک، دفاع مبتنی بر همکاری، جستجوی گروه یک کلید

ارتقاء امنیت وب با وف بومی