一种基于交换机轮换的分布式拒绝服务攻击防御方法技术

本发明专利技术公开了一种基于交换机轮换的分布式拒绝服务攻击防御方法，克服了现有技术中，分布式拒绝服务攻击攻击者隔离能力的不足的问题。该发明专利技术含有1）代理层交换机接收到网络数据包，判断网络流量是否产生异常；2）未产生异常，则根据数据包头部中的下一条地址由隐藏层交换机进行转发；产生异常，则执行“3）”；3）代理层交换机启动交换机轮换引擎处理所有网络流量；4）根据“用户‑交换机”连接情况进行攻击者数目似然估计；5）通过交换机轮换过程进行攻击者筛选；6）如果攻击者已被完全筛选隔离出，则轮换过程结束；否则继续执行“5）”。该技术用贪心算法实现“用户‑交换机”连接的动态映射，通过多轮轮换隔离出攻击者。

【技术实现步骤摘要】

本专利技术涉及一种网络攻击防御方法，尤其是涉及一种基于交换机轮换的分布式拒绝服务攻击防御方法。
技术介绍
分布式拒绝服务攻击是一种由拒绝服务攻击衍生出的攻击技术。攻击者借助大量受控主机向目标发起攻击，将拒绝服务攻击的一对一攻击方式扩展为多对一，因此危害更大且更难防范。传统网络中DDoS攻击难以消除的根源在其设计缺陷：网络设计的初衷是保证端到端的通信，关注的是通过发送端和接收端来实现QoS(QualityofService)、稳定传输、安全保证等，导致网络两端很复杂，而网络本身相对简单，仅仅负责数据转发。因此，网络两端的任何一端出现恶意行为，都会给对方造成损害，网络本身不具备流量管理的任务和能力。具体表现在以下四个方面：(1)网络安全高度依赖性。网络中网元之间安全性高度依赖，因此即使提升受害者系统，但是由于网络中仍然存在其它脆弱节点，DDoS攻击仍然能够成功。解决这个问题，需要建立全网的安全体系，消除“木桶短板”。(2)网络资源的有限性。网络中的实体，如主机、服务器、带宽等资源均有上限，这也为DDoS攻击提供了攻击基础。(3)信息和资源的不对等性。传统网络中仅在端节点存储网络的信息、本文档来自技高网...

【技术保护点】
一种基于交换机轮换的分布式拒绝服务攻击防御方法，其特征是：包括下述步骤：步骤1)代理层交换机接收到网络数据包，判断网络流量是否产生异常；步骤2)如果产生未产生异常，则根据数据包头部中的下一条地址由隐藏层交换机进行转发；如果流量产生异常，则执行“步骤3)”；步骤3)代理层交换机启动交换机轮换引擎，将所有网络流量导入交换机轮换引擎处理；步骤4)交换机轮换引擎根据“用户‑交换机”连接情况进行攻击者数目似然估计；步骤5)交换机轮换引擎通过交换机轮换过程进行攻击者筛选；步骤6)如果攻击者已被完全筛选隔离出，则轮换过程结束；如果未被完全筛选出，则继续执行“步骤5)”，直至攻击者完全被筛选隔离出。

【技术特征摘要】
1.一种基于交换机轮换的分布式拒绝服务攻击防御方法，其特征是：包括下述步骤：步骤1)代理层交换机接收到网络数据包，判断网络流量是否产生异常；步骤2)如果产生未产生异常，则根据数据包头部中的下一条地址由隐藏层交换机进行转发；如果流量产生异常，则执行“步骤3)”；步骤3)代理层交换机启动交换机轮换引擎，将所有网络流量导入交换机轮换引擎处理；步骤4)交换机轮换引擎根据“用户-交换机”连接情况进行攻击者数目似然估计；步骤5)交换机轮换引擎通过交换机轮换过程进行攻击者筛选；步骤6)如果攻击者已被完全筛选隔离出，则轮换过程结束；如果未被完全筛选出，则继续执行“步骤5)”，直至攻击者完全被筛选隔离出。2.根据权利要求1所述的基于交换机轮换的分布式拒绝服务攻击防御方法，其特征是，所述步骤1)中，代理层交换机负责网络攻击流量检测和交换机轮换过程的执行，改造开源OpenFlow交换机完成代理交换机功能；通过在代理交换机上部署流量检测器来检测瞬时流量的变化，如果瞬时流量变化超过预设的值，则认为网络流量产生了异常。3.根据权利要求1所述的基于交换机轮换的分布式拒绝服务攻击防御方法，其特征是，所述步骤2)中，隐藏层交...

【专利技术属性】
技术研发人员：武泽慧，麻荣宽，魏强，柳晓龙，曹琰，张连成，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南;41