本发明专利技术提出一种基于轻量级虚拟化的LDDoS仿真方法,所述基于轻量级虚拟化的LDDoS仿真方法涉及网络仿真与网络安全领域,本方法能快速灵活地进行目标网络拓扑自动化部署与协议配置,可用于大规模LDDoS的攻防策略研究与效果评估。所述方法包括如下步骤:轻量级虚拟化路由镜像的制作;LDDoS攻击镜像的制作;基于轻量级虚拟化构建网络拓扑;攻击参数设置与协同攻击;链路数据实时采集与评估;攻击效果数据可视化展示。本发明专利技术能以较少资源提供大规模、高逼真的仿真环境,既可用于LDDoS攻防策略研究,也可进一步用于其他网络安全事件的评估。
【技术实现步骤摘要】
一种基于轻量级虚拟化的LDDoS仿真方法
本专利技术涉及网络仿真与网络安全领域,是一种基于轻量级虚拟化的LDDoS(低速率分布式拒绝服务攻击)仿真方法。
技术介绍
随着Internet网络规模的日益扩大,针对Internet网络的各种非法安全事件层出不穷,LDDoS正成为互联网安全的重大威胁之一。DoS(拒绝服务攻击)最早出现于1999年8月,攻击原理是攻击者向攻击目标发送恶意流量,消耗目标的网络带宽与计算资源,阻止目标为合法用户提供服务。DDoS(分布式拒绝服务攻击)在DoS上进一步发展,攻击者控制大量傀儡机对目标进行DoS攻击,攻击流量得以集中,且攻击者难以受到监控系统的追踪。LDoS(低速率拒绝服务攻击)不需要维持高频、高速率攻击流,而是利用TCP/IP超时重传机制的漏洞,发送周期性的短脉冲攻击波,用更小代价达到相同攻击效果。此外,LDoS攻击的平均流量近似于普通用户正常的数据流,因此许多针对传统DoS攻击的检测方法不再有效。LDDoS将DDoS与LDoS结合,与传统攻击相比,攻击目标更加精确,攻击效率显著提高,并能有效地躲避检测和防御,具有极大危害性。可以预测在今后若干年内,随着物联网设备的广泛应用,利用脆弱物联网设备发起的LDDoS攻击将更具有破坏力,相关检测与防御工作将更为复杂。目前,针对LDDoS攻击的防御检测策略的研究仍处于起步阶段。因此,有必要构建一种基于轻量级虚拟化的LDDoS仿真方法,用于大规模LDDoS的攻防策略研究与效果评估。在大规模网络仿真方面,主要包括模型模拟和虚拟化两种方法。在模型模拟方面,代表性工作有基于并行离散事件的网络模拟器NS3,尽管能实现超大规模网络的构建,但难以保证网络节点的逼真度以及用户行为复制的逼真度。因此,以虚拟化为基础的网络仿真成为了主流。在轻量级节点虚拟化方面,最具有代表性的是Docker容器,这是一种基于LinuxContainer(LXC)的技术,一个容器就相当于一个功能齐全的虚拟机,开发者可以在上层容器内操作而不会影响到整个下层系统。本方法正是基于Docker容器作为节点来构建目标网络拓扑,能快速灵活地进行自动化部署与协议配置,以较少资源提供大规模、高逼真的仿真环境,用以大规模LDDoS的攻防策略研究与效果评估。
技术实现思路
本专利技术目的在于解决传统网络仿真所遇到的逼真度低、资源需求高、部署复杂的问题,同时专门针对LDDoS攻防策略研究与效果评估,提出以Docker容器作为节点的仿真方案,能够实现目标网络拓扑自动化部署与BGP协议自动化配置,并提供易用的系统配置界面和数据可视化窗口。本方法能快速灵活地进行目标网络拓扑自动化部署与协议配置,可用于大规模LDDoS的攻防策略研究与效果评估。根据本专利技术提供的技术方案,一种基于轻量级虚拟化的LDDoS仿真方法,包括以下步骤:S1:轻量级虚拟化路由器镜像的制作;在Docker基础镜像中,安装路由配置软件,并内置自动化路由配置程序,使其可以自动化构建基于边际网关BGP协议的网络拓扑。S2:低速率分布式拒绝服务攻击LDDoS攻击镜像的制作;在虚拟化路由器镜像的基础上,内置流量生成程序和流量监控程序;所述流量生成程序能够利用多线程发送不同帧长、不同速率、不同时间间隔的方波流量;所述流量监控程序能够侦测网卡的实时吞吐量;以及LDDoS协同攻击程序,可接受控制主机的攻击程序指令与参数,调用流量生成程序进行LDDoS协同攻击。S3:构建基于轻量级虚拟化的网络拓扑,具体步骤如下:S310:宿主机内程序读取目标网络拓扑的链路配置文件,获取链路信息,所述链路配置文件中的一条链路的信息表示为:Link=(name1,name2,nic1,nic2,ip1,ip2,AS1,AS2,type1,type2),其中name1和name2表示节点名称,nic1和nic2表示网卡名称,ip1和ip2表示此网卡的ip地址,AS1和AS2表示自治域号,type1和type2表示节点属性,包括边界节点和非边界节点。S320:根据链路信息,为每个节点生成对应的邻接节点数据集,每个节点的邻接节点数据集表示为Neighbor=(bgptype,nic,ip,AS),其中bgptype表示邻接节点属性,包括边界节点和非边界节点,nic表示邻接网卡名称,ip表示对应网卡的ip地址,AS表示邻接节点的自治域号。S330:为每个节点启动一个Docker实例,将与所述节点对应的邻接节点数据集复制到Docker内的指定目录中。S340:调用网络配置模块,为每条链路两端的Docker生成虚拟网卡对vethpair,并设置所述虚拟网卡对的ip地址。S350:调用每个节点内置的路由配置程序,所述配置程序能够读取先前复制的邻接节点数据集,自动生成路由配置命令,并与路由配置软件终端进行交互,最终为整个拓扑配置好路由协议。S4:攻击参数设置与协同攻击;首先需要选取目标拓扑;接着选择攻击集合Attack={attack1…,attacki…,attackI},其中attacki表示第i个攻击节点,目标集合Object={object1…,objectj…,objectJ},其中,objectj表示第j个目标节点;然后设置链路的带宽数据集:BandWidth={(docker11,docker12,bandwidth1),…(dockeri1,dockeri2,bandwidthi),如果链路(dockerj1,dockerj2)∉BandWidth,则不限制其带宽;最后设置攻击流量的大小F与攻击时间T;在所有攻击参数设置完成后,进行协同攻击。S5:链路数据实时采集与评估;本步骤包括链路流量和链路BGP报文实时采集;采集模块与系统协同工作,通过对系统运行状态的检测实现协同控制;拓扑中待采集网卡集合记为Nic,采集模块采集某一时刻t流过nici的流量大小nici_flowt,以及nici的BGP报文数量(open,notification,updatet,keepalive),其中open表示打开消息报文,notification表示通知报文,updatet表示更新报文,keepalive表示保活报文,其中nici∈Nic,采集完成后将数据存入数据库。对采集的实时流量及BGP报文数量进行分析,确定目标链路的连通情况;若在攻击过程中的某个时间间隔[t,t+Δt]内,若链路的流量大小flowt接近其带宽,而flowt+Δt<Flowmi,所述Flowmin为给定的最小流量阈值,则显示链路流量显著减小;且对于BGP报文数量,若updatet<updatet+Δt且notificationt<notificationt+Δt,则显示此链路上的BGP协议断开并尝试重连;若链路流量显著减小并且BGP协议断开尝试重连,则能够判定在时间间隔[t,t+Δt]内,当前链路产生断开,攻击成功。进一步地,S1中所述的轻量级虚拟化路由器镜像的制作过程和S2中所述低速率分布式拒绝服务攻击LDDoS攻击镜像的制作过程成包括以下步骤:首先制作基于Docker的轻量级虚拟化路由器镜像,使之具有BGP协议自动化配置的功能;在此基础上,内置流量生成程序、流量监控程本文档来自技高网...
【技术保护点】
1.一种基于轻量级虚拟化的LDDoS仿真方法,其特征在于,包括以下步骤:S1:轻量级虚拟化路由器镜像的制作;在Docker基础镜像中,安装路由配置软件,并内置自动化路由配置程序,使其可以自动化构建基于边际网关BGP协议的网络拓扑;S2:低速率分布式拒绝服务攻击LDDoS攻击镜像的制作;在虚拟化路由器镜像的基础上,内置流量生成程序和流量监控程序;所述流量生成程序能够利用多线程发送不同帧长、不同速率、不同时间间隔的方波流量;所述流量监控程序能够侦测网卡的实时吞吐量;以及LDDoS协同攻击程序,可接受控制主机的攻击程序指令与参数,调用流量生成程序进行LDDoS协同攻击;S3:构建基于轻量级虚拟化的网络拓扑,具体步骤如下:S310:宿主机内程序读取目标网络拓扑的链路配置文件,获取链路信息,所述链路配置文件中的一条链路的信息表示为:Link=(name1,name2,nic1,nic2,ip1,ip2,AS1,AS2,type1,type2),其中name1和name2表示节点名称,nic1和nic2表示网卡名称,ip1和ip2表示此网卡的ip地址,AS1和AS2表示自治域号,type1和type2表示节点属性,包括边界节点和非边界节点;S320:根据链路信息,为每个节点生成对应的邻接节点数据集,每个节点的邻接节点数据集表示为Neighbor=(bgptype,nic,ip,AS),其中bgptype表示邻接节点属性,包括边界节点和非边界节点,nic表示邻接网卡名称,ip表示对应网卡的ip地址,AS表示邻接节点的自治域号;S330:为每个节点启动一个Docker实例,将与所述节点对应的邻接节点数据集复制到Docker内的指定目录中;S340:调用网络配置模块,为每条链路两端的Docker生成虚拟网卡对veth pair,并设置所述虚拟网卡对的ip地址;S350:调用每个节点内置的路由配置程序,所述配置程序能够读取先前复制的邻接节点数据集,自动生成路由配置命令,并与路由配置软件终端进行交互,最终为整个拓扑配置好路由协议;S4:攻击参数设置与协同攻击;首先需要选取目标拓扑;接着选择攻击集合Attack={attack1…, attacki…,attackI},其中attacki表示第i个攻击节点,目标集合Object={object1…,objectj…,objectJ},其中,objectj表示第j个目标节点;然后设置链路的带宽数据集:BandWidth={(docker11,docker12,bandwidth1),…(dockeri1,dockeri2, bandwidthi),如果链路(dockerj1,dockerj2)∉BandWidth,则不限制其带宽;最后设置攻击流量的大小F与攻击时间T;在所有攻击参数设置完成后,进行协同攻击;S5:链路数据实时采集与评估;本步骤包括链路流量和链路BGP报文实时采集;采集模块与系统协同工作,通过对系统运行状态的检测实现协同控制;拓扑中待采集网卡集合记为Nic,采集模块采集某一时刻t流过nici的流量大小nici_flowt,以及nici的BGP报文数量(open, notification,updatet,keepalive),其中,open表示打开消息报文,notification表示通知报文,updatet表示更新报文,keepalive表示保活报文,nici∈Nic,采集完成后将数据存入数据库;对采集的实时流量及BGP报文数量进行分析,确定目标链路的连通情况;若在攻击过程中的某个时间间隔[t,t+Δt]内,若链路的流量大小flow t接近其带宽,而flow t+Δt...
【技术特征摘要】
1.一种基于轻量级虚拟化的LDDoS仿真方法,其特征在于,包括以下步骤:S1:轻量级虚拟化路由器镜像的制作;在Docker基础镜像中,安装路由配置软件,并内置自动化路由配置程序,使其可以自动化构建基于边际网关BGP协议的网络拓扑;S2:低速率分布式拒绝服务攻击LDDoS攻击镜像的制作;在虚拟化路由器镜像的基础上,内置流量生成程序和流量监控程序;所述流量生成程序能够利用多线程发送不同帧长、不同速率、不同时间间隔的方波流量;所述流量监控程序能够侦测网卡的实时吞吐量;以及LDDoS协同攻击程序,可接受控制主机的攻击程序指令与参数,调用流量生成程序进行LDDoS协同攻击;S3:构建基于轻量级虚拟化的网络拓扑,具体步骤如下:S310:宿主机内程序读取目标网络拓扑的链路配置文件,获取链路信息,所述链路配置文件中的一条链路的信息表示为:Link=(name1,name2,nic1,nic2,ip1,ip2,AS1,AS2,type1,type2),其中name1和name2表示节点名称,nic1和nic2表示网卡名称,ip1和ip2表示此网卡的ip地址,AS1和AS2表示自治域号,type1和type2表示节点属性,包括边界节点和非边界节点;S320:根据链路信息,为每个节点生成对应的邻接节点数据集,每个节点的邻接节点数据集表示为Neighbor=(bgptype,nic,ip,AS),其中bgptype表示邻接节点属性,包括边界节点和非边界节点,nic表示邻接网卡名称,ip表示对应网卡的ip地址,AS表示邻接节点的自治域号;S330:为每个节点启动一个Docker实例,将与所述节点对应的邻接节点数据集复制到Docker内的指定目录中;S340:调用网络配置模块,为每条链路两端的Docker生成虚拟网卡对vethpair,并设置所述虚拟网卡对的ip地址;S350:调用每个节点内置的路由配置程序,所述配置程序能够读取先前复制的邻接节点数据集,自动生成路由配置命令,并与路由配置软件终端进行交互,最终为整个拓扑配置好路由协议;S4:攻击参数设置与协同攻击;首先需要选取目标拓扑;接着选择攻击集合Attack={attack1…,attacki…,attackI},其中attacki表示第i个攻击节点,目标集合Object={object1…,objectj…,objectJ},其中,objectj表示第j个目标节点;然后设置链路的带宽数据集:BandWidth={(docker11,docker12,bandwidth1),…(dockeri1,dockeri2,bandwidthi),如果链路(dockerj1,dockerj2)∉BandWidth,则不限制其带宽;最后设置攻击流量的大小F与攻击时间T;在所有攻击参数设置完成后,进行协同攻击;S5:链路数据实时采集与评估;本步骤包括链路流量和链路BGP报文实时采集;采集模块与系统协同工作,通过对系统运行状态的检测实现协同控制;拓扑中待采集网卡集合记为Nic,采集模块采集某一时刻t流过n...
【专利技术属性】
技术研发人员:张钱宇,刘昊鑫,王晓锋,秦浩瀚,罗茜,
申请(专利权)人:江南大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。