本发明专利技术公开了一种基于交换机轮换的分布式拒绝服务攻击防御方法,克服了现有技术中,分布式拒绝服务攻击攻击者隔离能力的不足的问题。该发明专利技术含有1)代理层交换机接收到网络数据包,判断网络流量是否产生异常;2)未产生异常,则根据数据包头部中的下一条地址由隐藏层交换机进行转发;产生异常,则执行“3)”;3)代理层交换机启动交换机轮换引擎处理所有网络流量;4)根据“用户‑交换机”连接情况进行攻击者数目似然估计;5)通过交换机轮换过程进行攻击者筛选;6)如果攻击者已被完全筛选隔离出,则轮换过程结束;否则继续执行“5)”。该技术用贪心算法实现“用户‑交换机”连接的动态映射,通过多轮轮换隔离出攻击者。
【技术实现步骤摘要】
本专利技术涉及一种网络攻击防御方法,尤其是涉及一种基于交换机轮换的分布式拒绝服务攻击防御方法。
技术介绍
分布式拒绝服务攻击是一种由拒绝服务攻击衍生出的攻击技术。攻击者借助大量受控主机向目标发起攻击,将拒绝服务攻击的一对一攻击方式扩展为多对一,因此危害更大且更难防范。传统网络中DDoS攻击难以消除的根源在其设计缺陷:网络设计的初衷是保证端到端的通信,关注的是通过发送端和接收端来实现QoS(QualityofService)、稳定传输、安全保证等,导致网络两端很复杂,而网络本身相对简单,仅仅负责数据转发。因此,网络两端的任何一端出现恶意行为,都会给对方造成损害,网络本身不具备流量管理的任务和能力。具体表现在以下四个方面:(1)网络安全高度依赖性。网络中网元之间安全性高度依赖,因此即使提升受害者系统,但是由于网络中仍然存在其它脆弱节点,DDoS攻击仍然能够成功。解决这个问题,需要建立全网的安全体系,消除“木桶短板”。(2)网络资源的有限性。网络中的实体,如主机、服务器、带宽等资源均有上限,这也为DDoS攻击提供了攻击基础。(3)信息和资源的不对等性。传统网络中仅在端节点存储网络的信息、服务等资源,网络本身所获取的信息有限,如局部拓扑等。在这种资源不对等的情形下,攻击者可以在网络“非感知”的前提下,对端节点发送恶意数据包。(4)责任无法定性。如IPSpoofing攻击使得攻击者可以歪曲攻击行为,无法对该类行为定性,类似的也有反射攻击,如smurf等。(4)管理的分散性。传统网络的结构、需求等差异使得网络采用分布式管理的方法管控整个网络,网络的行为均受限于局部网络策略,管理分散,无法实现有效的防御。基于以上四个方面的缺陷,研究人员做了多方面的努力以解决分布式拒绝服务攻击的难题,先后提出不同的防御方法。主要可以分为流量过滤、能力管控、负载迁移三种类型。基于流量过滤的防御方法在网络中布置大量的过滤器,通过流量过滤阻塞的方式对抗攻击行为。但是该方法是在假设攻击流量与正常流量有明显的区别前提下实现的,在当前普遍利用僵尸网络发动分布式拒绝服务攻击的环境下已经不再适用。基于能力管控的防御方法改进上述流量过滤的被动性,要求发送方在发送数据之前需要获取接收者的许可,并且不同的发送方会被接收者赋予不同的优先级。这种通过限制接收方访问资源的方法是一种主动防御的方法,但是该方法一方面面临许可伪造的难题,另一方面依赖于网络中路由器的处理能力,受限于底层物理设施的性能。为突破物理设施的限制,安全人员使用第三方安全转发网络,如Tor和SDN,完成流量检测、过滤以及重定向功能,同时引入冗余服务器降低攻击负载。该方法的核心是通过负载迁移来降低攻击的影响,但是面临更大流量的攻击时,负载迁移能力会出现瓶颈。上述流量过滤面临误报和漏报不稳定的难题,能力管控也仅仅是将攻击目标迁移到认证服务器上,并未正面解决分布式拒绝服务攻击的问题,而负载迁移存在流量瓶颈。此外,上述方法均未改变防御的静态性,对攻击者而言,静态的防御方法总是可突破或者可绕过的。为解决上述静态防御的缺陷,研究人员提出了隐藏中间层的防御方法,通过在攻击者和目标之间部署可动态变化的隐藏层来转发攻击流。Wang提出了一种隐藏代理的方法对抗分布式拒绝服务攻击。但是由于隐藏代理的IP地址是固定的,攻击者可以通过刺探等方法获取隐藏代理的地址,使得防御方法失效。并且隐藏层的方法需要对现有网络设备进行第三方升级,开销成本较大。
技术实现思路
本专利技术克服了现有技术中,分布式拒绝服务攻击攻击者隔离能力的不足的问题,提供一种利用软件定义网络网络集中控制和动态管理的特性构建OpenFlow交换机轮换模型的基于交换机轮换的分布式拒绝服务攻击防御方法。本专利技术的技术解决方案是,提供一种具有以下步骤的基于交换机轮换的分布式拒绝服务攻击防御方法:包括下述步骤:步骤1)代理层交换机接收到网络数据包,判断网络流量是否产生异常;步骤2)如果产生未产生异常,则根据数据包头部中的下一条地址由隐藏层交换机进行转发;如果流量产生异常,则执行“步骤3)”;步骤3)代理层交换机启动交换机轮换引擎,将所有网络流量导入交换机轮换引擎处理;步骤4)交换机轮换引擎根据“用户-交换机”连接情况进行攻击者数目似然估计;步骤5)交换机轮换引擎通过交换机轮换过程进行攻击者筛选;步骤6)如果攻击者已被完全筛选隔离出,则轮换过程结束;如果未被完全筛选出,则继续执行“步骤5)”,直至攻击者完全被筛选隔离出。所述步骤1)中,代理层交换机负责网络攻击流量检测和交换机轮换过程的执行,改造开源OpenFlow交换机完成代理交换机功能;通过在代理交换机上部署流量检测器来检测瞬时流量的变化,如果瞬时流量变化超过预设的值,则认为网络流量产生了异常。所述步骤2)中,隐藏层交换机负责合法数据包的转发,隐藏层交换机的IP地址是非公开的,防止攻击者将攻击流定向发送到该交换机中;隐藏层交换机为传统网络或者SDN网络中负责数据转发的路由器或者交换机。所述步骤3)中,交换机轮换引擎由步骤1)中的代理层交换机组成的交换机池,由SDN控制器根据轮换算法负责调度。所述步骤4)中,攻击者似然估计是理论估计值,攻击者数目似然估计是根据公式完成的,其中Nsum为当前网络中的所有用户数,NA为攻击者总数,S为代理层交换机总数,Sj为交换机j负责转发的用户数,假设所有代理层交换机中未被攻击的交换机数目为X,在攻击产生时,X=m,在一次具体的攻击中,X的值通过代理交换机中部署的流量检测器得知。所述步骤5)中,交换机轮换过程调用的轮换算法是优化后的贪心轮换算法,其子过程的时间复杂度为常数;交换机轮换引擎通过交换机轮换过程,调用交换机轮换算法完成攻击者的筛选隔离。与现有技术相比,本专利技术基于交换机轮换的分布式拒绝服务攻击防御方法具有以下优点:1、提出一种基于交换机轮换的动态防御方法,利用软件定义网络网络集中控制和动态管理的特性构建OpenFlow交换机轮换模型,使用贪心算法实现“用户-交换机”连接的动态映射,通过多轮轮换隔离出攻击者,同时对合法用户提供低延迟不间断服务。2、本专利技术提出一种OpenFlow交换机的轮换模型,可以实现分布式拒绝服务攻击的防御和定位,可以解决当前方法存在的如下两点不足:(1)当前针对DDoS的防御方法中,普遍采用静态过滤、配置等方法,一方面负载过高,另一方面灵活性较差,面对新型的分布式拒绝服务攻击往往需要全网络和基础硬件的升级;(2)当前的基于包逆向的攻击定位方法无法在防御过程中实现攻击者的定位,并且面临采用僵尸网络发动的攻击时,定位效率太低。3、本专利技术基于软件定义网络集中控制和动态管理的特性提出一种服务不间断的分布式拒绝服务攻击防御方法。当前的防御方法在对抗攻击时往往对合法访问造成影响,延迟访问者的网络访问时间,甚至导致服务器重启直接断掉所有访问者的访问。本专利技术使用控制器控制交换机轮换提供服务,可以实现在被攻击环境下对从攻击流中分离出的合法访问者继续提供服务。附图说明图1是本专利技术基于交换机轮换的分布式拒绝服务攻击防御方法的流程图;图2是本专利技术基于交换机轮换的分布式拒绝服务攻击防御方法中交换机轮换引擎工作过程示意图;图3是本专利技术基于交换机轮换的分布式拒绝服务攻击防御方法的交换本文档来自技高网...
【技术保护点】
一种基于交换机轮换的分布式拒绝服务攻击防御方法,其特征是:包括下述步骤:步骤1)代理层交换机接收到网络数据包,判断网络流量是否产生异常;步骤2)如果产生未产生异常,则根据数据包头部中的下一条地址由隐藏层交换机进行转发;如果流量产生异常,则执行“步骤3)”;步骤3)代理层交换机启动交换机轮换引擎,将所有网络流量导入交换机轮换引擎处理;步骤4)交换机轮换引擎根据“用户‑交换机”连接情况进行攻击者数目似然估计;步骤5)交换机轮换引擎通过交换机轮换过程进行攻击者筛选;步骤6)如果攻击者已被完全筛选隔离出,则轮换过程结束;如果未被完全筛选出,则继续执行“步骤5)”,直至攻击者完全被筛选隔离出。
【技术特征摘要】
1.一种基于交换机轮换的分布式拒绝服务攻击防御方法,其特征是:包括下述步骤:步骤1)代理层交换机接收到网络数据包,判断网络流量是否产生异常;步骤2)如果产生未产生异常,则根据数据包头部中的下一条地址由隐藏层交换机进行转发;如果流量产生异常,则执行“步骤3)”;步骤3)代理层交换机启动交换机轮换引擎,将所有网络流量导入交换机轮换引擎处理;步骤4)交换机轮换引擎根据“用户-交换机”连接情况进行攻击者数目似然估计;步骤5)交换机轮换引擎通过交换机轮换过程进行攻击者筛选;步骤6)如果攻击者已被完全筛选隔离出,则轮换过程结束;如果未被完全筛选出,则继续执行“步骤5)”,直至攻击者完全被筛选隔离出。2.根据权利要求1所述的基于交换机轮换的分布式拒绝服务攻击防御方法,其特征是,所述步骤1)中,代理层交换机负责网络攻击流量检测和交换机轮换过程的执行,改造开源OpenFlow交换机完成代理交换机功能;通过在代理交换机上部署流量检测器来检测瞬时流量的变化,如果瞬时流量变化超过预设的值,则认为网络流量产生了异常。3.根据权利要求1所述的基于交换机轮换的分布式拒绝服务攻击防御方法,其特征是,所述步骤2)中,隐藏层交...
【专利技术属性】
技术研发人员:武泽慧,麻荣宽,魏强,柳晓龙,曹琰,张连成,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。