劉 云

(貴陽學(xué)院數(shù)學(xué)與信息科學(xué)學(xué)院 貴州 貴陽 550005)

?

基于輕量級檢測和混合連接策略的SYN Flood防御方法

劉 云

(貴陽學(xué)院數(shù)學(xué)與信息科學(xué)學(xué)院 貴州 貴陽 550005)

為了有效防御分布式SYN Flood 攻擊，提出一種基于輕量級檢測和混合連接策略的防御模型。該防御模型使用客戶端IP地址和TCP端口的熵、SYN和ACK報文的徑向基進行SYN Flood攻擊檢測，并根據(jù)檢測結(jié)果選擇標(biāo)準(zhǔn)TCP連接模式和基于防火墻代理的連接模式?；诜阑饓Υ淼倪B接模式能夠避免SYN Proxy防御模型中頻繁修改TCP報文序列號、確認號的操作。實驗結(jié)果表明，該防御模型能夠有效降低防火墻的資源消耗，具有更好的防御效果。

SYN Flood攻擊 熵 徑向基函數(shù) 防火墻代理

0 引 言

SYN Flood攻擊是DDoS攻擊的主要方式，也是最嚴重的資源匱乏型攻擊。它通過向目標(biāo)服務(wù)器發(fā)送大量含偽造IP地址的SYN報文，使目標(biāo)服務(wù)器的TCP半連接隊列被迅速占滿而不能及時釋放，造成無法建立正常的TCP連接，從而導(dǎo)致拒絕服務(wù)。目前，針對SYN Flood攻擊的研究主要包括SYN Flood攻擊檢測技術(shù)和SYN Flood防御技術(shù)兩個方面[1,2]。

完整的TCP連接包括連接的建立和終止兩個過程。在這些過程中，SYN報文、ACK報文、SYN/ACK報文、FIN報文、RST報文的數(shù)量具有一定對稱性。當(dāng)網(wǎng)絡(luò)中存在SYN Flood攻擊時，這種對稱性會被破壞。文獻[1-4]通過各種算法判斷這些特性是否被破壞，以判斷網(wǎng)絡(luò)中是否存在SYN Flood攻擊。另外，文獻[5]根據(jù)正常網(wǎng)絡(luò)流量符合重尾分布的特性，檢測網(wǎng)絡(luò)中是否存在SYN Flood攻擊。

從SYN Flood攻擊原理可以看出，它主要利用TCP協(xié)議三次握手缺陷，通過在第一次握手后建立大量半連接，耗盡服務(wù)器資源。因此，所有SYN Flood防御策略最終目的都是保護服務(wù)器用于創(chuàng)建TCP半連接的資源，不因惡意客戶端發(fā)送的大量非法SYN報文而耗盡。據(jù)此，可以將現(xiàn)有的防御SYN Flood的策略分為以下兩種：其一，在第一次握手時減少服務(wù)器半連接狀態(tài)的資源消耗。例如文獻[4]提出利用攜帶數(shù)據(jù)的TCP報文建立連接；文獻[6]提出將SYN Flood防御轉(zhuǎn)換為一個最優(yōu)化問題，以減少連接占用的資源；文獻[7]提出基于SYN Cookie的防御模型，當(dāng)服務(wù)器收到SYN報文時計算一個Cookie值，填充到SYN/ACK報文中發(fā)送給客戶端，當(dāng)收到ACK報文時進行有效性驗證后再建立連接[4,6,7]。其二，由代理服務(wù)器、路由器、防火墻等預(yù)先與客戶端完成三次握手，再由代理設(shè)備與服務(wù)器建立連接。例如文獻[8,9]提出的SYN Gateway防御模型，文獻[10]提出的SYN Proxy防御模型[8-10]。

針對分布式SYN Flood攻擊的嚴重破壞力，以及呈幾何級增長的攻擊規(guī)模，信息安全防護人員需要從新角度看待SYN Flood攻擊，并尋找更有效的解決方案，以降低防火墻和服務(wù)器工作壓力。本文提出一種基于輕量級檢測和混合連接策略的防御模型。該防御模型使用客戶端IP地址和TCP端口的熵、SYN和ACK報文的徑向基進行SYN Flood攻擊檢測，并根據(jù)檢測結(jié)果在基于標(biāo)準(zhǔn)SYN報文的連接和基于防火墻代理的連接之間進行靈活切換。基于防火墻代理的連接能夠避免SYN Proxy防御模型中修改TCP報文序列號和確認號的操作，從而降低防火墻的壓力，提高防御SYN Flood的效果。

1 檢測方法和防御策略

目前，所有針對SYN Flood 攻擊的研究都是在攻擊的流量沒有超過服務(wù)器接入網(wǎng)絡(luò)帶寬的前提下，以減少服務(wù)器資源消耗并保證服務(wù)器能夠正常提供服務(wù)為目的。本文提出的防御技術(shù)也是在攻擊流量沒有超過網(wǎng)絡(luò)帶寬的前提下，提高檢測的準(zhǔn)確性，提升防御效果。

SYN Flood攻擊具有以下兩個特點：其一，在網(wǎng)絡(luò)層對IP地址偽造，在傳輸層對端口偽造；其二，利用TCP三次握手協(xié)議缺陷，向服務(wù)器傳輸大量SYN報文。針對SYN Flood攻擊以上兩個特點，本文在SYN Flood攻擊檢測和防御兩個方面提出針對性的改進。

1.1 基于熵函數(shù)和徑向基函數(shù)的檢測方法

大量的研究已表明，正常網(wǎng)絡(luò)行為產(chǎn)生的流量是相對穩(wěn)定的，流量的統(tǒng)計特征在一個有限的范圍內(nèi)平穩(wěn)波動，而當(dāng)網(wǎng)絡(luò)中存在攻擊時會使這些統(tǒng)計特征出現(xiàn)異常波動[4]。當(dāng)網(wǎng)絡(luò)中存在SYN Flood攻擊時，網(wǎng)絡(luò)層IP地址和傳輸層端口號會相對集中，傳輸層SYN報文急劇增加。據(jù)此，本文選取網(wǎng)絡(luò)層IP地址、傳輸層端口號、SYN報文和ACK報文作為統(tǒng)計參數(shù)，根據(jù)它們的統(tǒng)計特征判斷網(wǎng)絡(luò)中是否存在SYN Flood攻擊，其判斷流程如圖1所示。

圖1 基于熵函數(shù)和徑向基函數(shù)的SYN Flood檢測方法

獲取指定時間間隔t內(nèi)防火墻收到的所有客戶端發(fā)送的TCP報文，分別提取網(wǎng)絡(luò)層和傳輸層信息，其信息集合Info(t)表示為如下形式：

Info(t)={infot,1,infot,2,…,infot,n}

(1)

在式(1)中，infot,i表示在時間間隔t內(nèi)，第i個報文的信息；n表示在時間間隔t內(nèi)，收到客戶端發(fā)送TCP報文的總數(shù)。

infot,i={ ipt,i, Tcpt,i} 1≤i≤n

(2)

在式(2)中，ipt,i表示在時間間隔t內(nèi)，第i個報文的網(wǎng)絡(luò)層IP地址；Tcpt,i表示在時間間隔t內(nèi)，第i個報文傳輸層信息。

Tcpt,i={synt,i, ackt,i, interfacet,i} 1≤i≤n

(3)

在式(3)中，synt,i表示在時間間隔t內(nèi)，第i個報文傳輸層SYN標(biāo)志位的值；ackt,i表示在時間間隔t內(nèi)，第i個報文傳輸層ACK標(biāo)志位的值；interfacet,i表示在時間間隔t內(nèi)，第i個報文的網(wǎng)絡(luò)層端口號。

1) 基于熵函數(shù)的SYN Flood檢測(1) 計算網(wǎng)絡(luò)層IP地址熵

如果網(wǎng)絡(luò)中存在大規(guī)模SYN Flood攻擊，將導(dǎo)致網(wǎng)絡(luò)層IP地址相對集中，使得IP地址熵偏離正常范圍，據(jù)此可以判斷網(wǎng)絡(luò)中是否存在網(wǎng)絡(luò)攻擊。

從信息集合Info(t)提取客戶端IP地址集合IP(t)，表示為如下形式：

IP(t) ={ipt,1, ipt,2,…,ipt,l} l≤n

(4)

在式(4)中，ipt,j表示在時間間隔t內(nèi)，出現(xiàn)的第j個非重復(fù)IP地址(1≤j≤l)；l表示在時間間隔t內(nèi)，網(wǎng)絡(luò)層出現(xiàn)的非重復(fù)IP地址個數(shù)。再從信息集合Info(t)提取每個客戶端IP地址的出現(xiàn)次數(shù)，表示為如下形式：

Countip(t) ={ countt,1,countt,2,…,countt,l}

(5)

在式(5)中，countt,j表示在時間間隔t內(nèi)，第j個IP地址出現(xiàn)的次數(shù)(1≤j≤l)。IP地址熵的計算如下：

(6)

其中：

(7)

(2) 計算傳輸層端口號熵

與網(wǎng)絡(luò)層IP地址的統(tǒng)計類似，本文還對客戶端傳輸層端口進行統(tǒng)計分析。首先，從信息集合Info(t)提取客戶端傳輸層端口號集合Interface(t)，表示為如下形式：

Interface(t) ={interfacet,1,interfacet,2,…,interfacet,f} f≤n

(8)

在式(8)中，interfacet,k表示在時間間隔t內(nèi)，第k個非重復(fù)客戶端的端口號(1≤k≤f)；f表示在時間間隔t內(nèi)，傳輸層出現(xiàn)的非重復(fù)端口號的個數(shù)。再從信息集合Info(t)提取每個客戶端端口號的出現(xiàn)次數(shù)，表示為如下形式：

Countinterface(t) ={ countt,1, countt,2,…,countt,f} f≤n

(9)

在式(9)中，countt,k表示在時間間隔t內(nèi)，第k個客戶端端口號的出現(xiàn)次數(shù)。與網(wǎng)絡(luò)層IP地址的熵函數(shù)計算形式類似，傳輸層端口號的熵計算如下：

(10)

其中：

(11)

通過對正常網(wǎng)絡(luò)中報文進行統(tǒng)計分析可以獲得客戶端IP地址、端口號熵的閾值Eip、Einterface。

2) 基于徑向基函數(shù)的SYN Flood檢測

從信息集合Info(t)統(tǒng)計以下數(shù)據(jù)：

(1) 從客戶端發(fā)給服務(wù)器的標(biāo)志位SYN=1，ACK=0報文的總數(shù)packetsyn=1,ack=0(t)；

(2) 從客戶端發(fā)送給服務(wù)器的標(biāo)志位SYN=0，ACK=1報文總數(shù)packetsyn=0,ack=1(t)。

計算網(wǎng)絡(luò)中SYN報文和ACK報文的差值βt：

βt=packetsyn=1,ack=0(t)-packetsyn=0,ack=1(t)

(12)

在大量采集數(shù)據(jù)的前提下，在時間間隔t內(nèi)，βt值基本滿足高斯分布，這一結(jié)論在文獻[11]中已經(jīng)得到驗證。徑向基函數(shù)是一個取值只依賴于離中心點距離的實值函數(shù)，一般距離選擇歐式距離。因此，可以選擇高斯函數(shù)作為徑向基函數(shù)，表示如下：

(13)

(14)

1.2 基于混合連接策略的防御技術(shù)

根據(jù)上一節(jié)SYN Flood攻擊檢測結(jié)果，采用不同的SYN Flood攻擊防御策略。當(dāng)網(wǎng)絡(luò)中不存在SYN Flood攻擊時，采用基于標(biāo)準(zhǔn)SYN報文的連接策略，如圖2(a)所示；當(dāng)網(wǎng)絡(luò)中存在SYN Flood攻擊時，采用本文提出的基于防火墻代理的連接策略，如圖2(b)所示。

圖2 SYN Flood攻擊防御策略

在基于標(biāo)準(zhǔn)SYN報文的連接策略中，防火墻對TCP的三次握手不進行任何干預(yù)，嚴格按照標(biāo)準(zhǔn)TCP三次握手建立連接?；诜阑饓Υ淼倪B接策略是對SYN Proxy機制的一種改進，該策略能夠避免防火墻頻繁修改報文的序列號和確認號，從而大幅降低防火墻壓力，提高防御效果。

1) 基于防火墻代理的連接原理

基于防火墻代理的連接策略工作流程：

(1) 客戶端與防火墻通過標(biāo)準(zhǔn)三次握手建立TCP連接；

(2) 防火墻根據(jù)TCP連接信息構(gòu)建TCP Create報文，并將其推送到服務(wù)器；

(3) 服務(wù)器根據(jù)TCP Create報文創(chuàng)建與客戶端的TCP連接。

至此，客戶端與服務(wù)器之間的TCP連接建立完成，其他數(shù)據(jù)傳輸、連接斷開與標(biāo)準(zhǔn)TCP協(xié)議相同。

2) 基于防火墻代理的連接實現(xiàn)

基于防火墻代理的連接，一方面要求防火墻支持自定義的TCP Create報文，另一方面要求服務(wù)器同時支持標(biāo)準(zhǔn)三次握手和TCP Create報文創(chuàng)建TCP連接。因此，本文選擇基于開源Linux 操作系統(tǒng)的防火墻和服務(wù)器實現(xiàn)基于防火墻代理的連接。

為了與TCP協(xié)議的其他類型報文進行區(qū)分，本文將TCP Create報文首部的16位保留bit全部填充1。另外，TCP Create報文有效負載的結(jié)構(gòu)體如下：

typedef struct _TcpLinkPackage

{

__u32 cip;

//客戶端IP地址

__u16 cport;

//客戶端傳輸層端口號

__u16 sport;

//服務(wù)器端口號

__u32 seq;

//客戶端的序列號

__u32 ack;

//客戶端發(fā)送給服務(wù)器的確認號

__u32 *pdata;

//客戶端ACK報文攜帶的數(shù)據(jù)

__u32 size;

//客戶端ACK報文的大小

} TcpLinkPackage;

由客戶端發(fā)送給服務(wù)器的ACK報文可能攜帶應(yīng)用層數(shù)據(jù)，而這些數(shù)據(jù)大多是應(yīng)用層協(xié)議的很多特征信息，這些數(shù)據(jù)的丟失將導(dǎo)致應(yīng)用層的處理失敗。為了防止服務(wù)器丟失這些數(shù)據(jù)和方便服務(wù)器生成ACK報文的確認號，在TCP Create報文里增加了ACK報文攜帶的數(shù)據(jù)和ACK報文大小信息。

Netfilter是從Linux 2.4版本之后提供的一個通用防火墻框架，該框架在報文流經(jīng)的幾個關(guān)鍵點定義了大量HOOK，以方便用戶注冊鉤子函數(shù)，實現(xiàn)對報文的自定義處理[12,13]。本文在Netfilter防火墻中實現(xiàn)對TCP Create報文的創(chuàng)建，并推送到服務(wù)器。NF_IP_LOCAL_IN是Netfilter在報文流入防火墻網(wǎng)絡(luò)層處定義的HOOK。在NF_IP_LOCAL_IN處可以增加鉤子函數(shù)，實現(xiàn)對報文自定義處理。本文在NF_IP_LOCAL_IN處增加以下處理過程：如果是傳輸層ACK報文，則返回NF_ACCEPT，同時本地進程根據(jù)連接信息構(gòu)造TCP Create報文并發(fā)送給服務(wù)器；否則按照標(biāo)準(zhǔn)TCP/IP協(xié)議處理該報文。

為了使服務(wù)器同時支持標(biāo)準(zhǔn)三次握手和TCP Create報文創(chuàng)建TCP連接，需要對Linux系統(tǒng)的TCP/IP協(xié)議棧進行修改。在Linux操作系統(tǒng)TCP/IP協(xié)議棧中，icsk_accept_queue是用于保存TCP全連接的隊列，tcp_v4_do_rcv()是TCP模塊接受報文的入口函數(shù)，tcp_check_req()用于創(chuàng)建socket[12,13]。在tcp_v4_do_rcv()函數(shù)中，增加對接收報文類型的判斷。若是TCP Create報文，則調(diào)用tcp_conn_hand()方法獲取TCP Create報文中的相關(guān)信息；然后調(diào)用tcp_check_req()生成socket，并將其置為TCP_ESTABLISHED狀態(tài)；最后存入icsk_accept_queue隊列。

2 實驗環(huán)境

為了最大程度模仿分布式SYN Flood攻擊場景，實驗選擇貴陽學(xué)院實驗大樓3樓312網(wǎng)絡(luò)實驗室。該實驗室除50臺計算機外，還有大量交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備，使用這些設(shè)備足以模似分布式SYN Flood攻擊網(wǎng)絡(luò)。實驗中搭建的分布式攻擊網(wǎng)絡(luò)如圖3所示，主要分為攻擊者、主控端、代理端3層。分別在主控端和代理端安裝后門程序和攻擊程序，它們在攻擊者的統(tǒng)一調(diào)遣下對服務(wù)器發(fā)動SYN Flood攻擊。

圖3 分布式SYN Flood攻擊網(wǎng)絡(luò)

在實驗中，將內(nèi)網(wǎng)地址192.168.1.*劃分為8個子網(wǎng)絡(luò)，如表1所示，包括一個服務(wù)器子網(wǎng)絡(luò)，7個客戶端子網(wǎng)絡(luò)。服務(wù)器的操作系統(tǒng)為Linux，IP地址為192.168.1.2，向外提供Web服務(wù)，端口號為80。攻擊者的計算機操作系統(tǒng)為Windows，IP地址為192.168.1.33；其他6個子網(wǎng)絡(luò)均包含1個主控端計算機、7個代理端計算機，其操作系統(tǒng)全部為Windows。測試本文提出的SYN Flood檢測技術(shù)和防御策略在不同攻擊強度下檢測的準(zhǔn)確性和防御的有效性。

表1 網(wǎng)絡(luò)劃分和主機分布情況表

3 實驗結(jié)果與分析

1) 檢測技術(shù)的實驗結(jié)果

為了評價檢測方法的有效性，本文選擇檢測的誤報率和漏報率作為評價標(biāo)準(zhǔn)，并與文獻[3]提出基于TCP分組比例的檢測方法、文獻[4]提出基于TCP緩存的檢測方法、文獻[5]提出基于重尾特性的檢測方法進行對比[3-5]。在實驗中，攻擊者通過控制主控端和代理端向服務(wù)器發(fā)動不同強度的SYN Flood攻擊，統(tǒng)計各種方法的誤報率和漏報率，其結(jié)果如表2所示。

表2 SYN Flood攻擊的檢測效果

通過表2可以看出，本文檢測方法相對于文獻[3]、文獻[4]、文獻[5]無論是在誤報率還是在漏報率方面均有不同程度的降低。通過以上實驗結(jié)果可以看出，本文提出的檢測方法相對于已有的SYN Flood攻擊檢測方法具有更好的檢測效果。

2) 防御策略的實驗結(jié)果

在實驗中，攻擊者通過控制主控端和代理端向服務(wù)器發(fā)動不同強度的SYN Flood攻擊，統(tǒng)計防火墻的CPU、內(nèi)存消耗情況。同時，為了說明本文方法的有效性，選擇與文獻[8]提出的SYN Gateway防御模型、文獻[10]提出的SYN Proxy防御模型及其未防御的情形進行對比分析，結(jié)果如表3和表4所示。

表3 防火墻CPU利用率

表4 防火墻內(nèi)存利用率

由表3和表4中數(shù)據(jù)可以看出，在未開啟任何防御功能時，防火墻只負責(zé)對報文進行轉(zhuǎn)發(fā)，CPU和內(nèi)存資源消耗不大；在SYN Gateway防御模型中，防火墻存儲服務(wù)器TCP空連接的相關(guān)信息，并實時遍歷超時的空連接，消耗了較多的CPU和內(nèi)存資源；在SYN Proxy防御模型，防火墻負責(zé)抵御SYN Flood攻擊，并對TCP報文的序列號和確認號進行修改，同樣消耗了較多的CPU和內(nèi)存資源；在本文防御模型中，省略了防火墻與服務(wù)器之間的三次握手過程，避免了修改TCP報文序列號和確認號的操作。因此，本文模型防火墻資源消耗較之SYN 網(wǎng)關(guān)和SYN Proxy明顯減少。

防御效果可以通過在SYN Flood攻擊情況下服務(wù)器成功創(chuàng)建的TCP連接數(shù)與正?？蛻舳税l(fā)起連接的請求數(shù)比例來反映。為了評估本文防御模型對服務(wù)器的保護效果，在實驗中統(tǒng)計在不同攻擊強度下服務(wù)器成功創(chuàng)建的TCP連接數(shù)與正?？蛻舳诉B接請求數(shù)的比例，其結(jié)果如表5所示。

表5 防御效果

由表5可以看出，在SYN Gateway和SYN Proxy防御模型下，防御效果比未防御時有顯著提高，但在攻擊強度超過10×103時防御效果迅速減弱；而本文提出的防御模型防御效果明顯好于SYN Gateway和SYN Proxy防御模型。根據(jù)以上數(shù)據(jù)可以看出，在攻擊強度超過15×103時，相對于SYN Gateway和SYN Proxy防御模型，本文防御模型能夠成功創(chuàng)建的TCP連接數(shù)分別提高了15.4%和18.1%。

通過上述統(tǒng)計數(shù)據(jù)的分析可以看出，相對于現(xiàn)有SYN Gateway和SYN Proxy防御模型，本文提出的防御模型能夠大幅降低防火墻的資源消耗，同時具有更好的防御效果。

4 結(jié) 語

為了有效防御分布式SYN Flood 攻擊，本文提出一種輕量級檢測和混合連接策略的防御模型。該防御模型分別使用IP地址和TCP端口號的熵、SYN和ACK報文的徑向基進行SYN Flood攻擊檢測，并根據(jù)檢測結(jié)果在標(biāo)準(zhǔn)TCP三次握手建立連接模式和基于防火墻代理的連接模式之間進行靈活切換。實驗結(jié)果表明，該防御模型能夠有效降低防火墻的資源消耗，提升服務(wù)器的防御效果。

[1] Ming Yu.An adaptive method for source-end detection of pulsing Dos attacks[J].International Journal of Security and Its Applications,2013,7(5):279-288.

[2] Bogdanoski M,Shuminoski T,Risteski A.Analysis of the syn flood Dos attack[J].International Journal of Computer Network and Information Security,2013,8:1-11.

[3] 陶建喜,周立,周舟,等.非對稱路由環(huán)境下SYN flood攻擊防御方法[J].通信學(xué)報,2013,34(S1):285-291.

[4] 胡鴻,袁津生,郭敏哲.基于TCP緩存的DDoS攻擊檢測算法[J].計算機工程,2009,35(16):112-114.

[5] 許曉東,楊海亮,朱士瑞.基于重尾特征的SYN洪流檢測方法[J].計算機工程,2008,34(22):179-181.

[6] Shahram J,Vahid S.Defense against syn flooding attacks:a particle swarm optimization approach[J].Computer and Electrical Engineering,2014,40(6):2013-2025.

[7] Hang B,Hu R M,Shi W.An enhanced SYN cookie defence method for TCP DDoS attack[J].Journal of Networks,2011,6(8):1206-1213.

[8] 趙廣利,江楊.Linux平臺下防御SYN Flood攻擊策略的研究[J].計算機工程與設(shè)計,2009,30(10):2394-2397.

[9] 曾小薈,冷明,劉冬生,等.一個新的SYN Flood攻擊防御模型的研究[J].計算機工程與科學(xué),2011,33(4):35-39.

[10] 龍恒.SYN代理防御syn-flood攻擊的原理及實現(xiàn)[J].計算機系統(tǒng)應(yīng)用,2011,20(3):214-217.

[11] Kavisankar L,Chellappan C,Sivasankar P,et al.A pionner scheme in the detection and defense of DrDos attack involving spoofed flooding packets[J].KSII Transactions on Internet and Information Systems,2014,8(5):1726-1743.

[12] Behrouz A Forouzan.TCP/IP protocol suite[M].4th ed.Beijing:Tsinghua University Press,2013.

[13] Gary R Wright,W Richard Stevens.TCP/IP ILLustrated volume 2:the implementation[M].2nd ed.Beijing:China Machine Press,2013.

SYN FLOOD DEFENSE METHOD BASED ON LIGHT-WEIGHT DETECTION AND MIXED CONNECTION STRATEGY

Liu Yun

(College of Mathematics and Information Science,Guiyang University,Guiyang 550005,Guizhou,China)

To effectively defense distributed SYN flood attacks, we proposed a defense model, which is based on light-weight detection and mixed connection strategy. The defense model uses client IP address entropy, TCP port entropy and the radial basis of SYN packet and ACK packet to detect SYN Flood attack, and selects either the standard TCP connection mode or firewall proxy-based connection mode according to detection result. The firewall proxy-based connection mode can avoid the operations of frequently modifying the sequence number and acknowledgement number of TCP packets in SYN Proxy defense model. Experimental results showed that the defense model can effectively reduce resources consumption of the firewall and has better defense effect.

SYN flood attack Entropy Radial basis function Firewall proxy

2015-05-27。貴州省科學(xué)技術(shù)基金項目(黔科合J字LKG[2013]51號)。劉云，副教授，主研領(lǐng)域：信息安全。

TP393.08

A

10.3969/j.issn.1000-386x.2016.11.070