本发明专利技术提供了一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法。该方法包括:当智慧协同网络中数据包传输情况符合连接迁移条件时,将网络组件与资源适配解析服务器之间的连接迁移到缓存服务器,缓存服务器再连接到资源适配解析服务器;缓存服务器接收并缓存网络组件发送给资源适配解析服务器的服务请求包,根据服务请求包的特征元组使用决策树算法来检测资源适配解析服务器是否受到了DDoS攻击;检测出DDoS攻击后,使用基于权重优先级队列的防御策略区分化转发服务请求包。本发明专利技术使用决策树检测算法结合多个特征属性建立二叉树分支,对全网服务请求信息进行特征提取,能够更加准确地判断攻击状态,及时采取防御措施来减轻DDoS攻击带来的影响。
【技术实现步骤摘要】
智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法
本专利技术涉及网络安全
,尤其涉及一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法。
技术介绍
互联网自从过去几十年出现以来,对人类社会的发展产生了巨大的影响。然而,在互联网如此高速的发展下,传统互联网体系架构因为其静态和僵化的特征,逐渐暴露出可扩展性、移动性、安全性、可管可控、绿色节能等植根于原始设计思想的问题,导致其无法满足未来网络“高速”、“高效”、“智慧”、“节能”等通信需求。同时,传统互联网全分布式的架构特点,使得网络管理错综复杂,而这种复杂性也导致了网络的脆弱性,给传统网络带来了巨大的安全隐患,如前缀劫持攻击、IP欺骗攻击、DDoS攻击等。在这些攻击方式中,DDoS攻击的使用最为广泛,统计表明,近年来DDoS攻击的数量一直呈快速增长趋势。根据美国计算机应急响应中心的报告,到目前为止,还没有很好的办法真正解决分布式拒绝服务DDoS攻击问题。DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看是合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络淹没,导致合法用户无法正常访问服务器的网络资源,并且可能对受害者造成巨大损失。虽然软件定义网络(SDN,Software-DefinedNetworking)、命名数据网络(NDN,NamedDataNetworking)和智慧协同网络(SINET,SmartIdentiferNetwork)等新型互联网架构在改善互联网安全问题方面取得了一些成果,但攻击者同时也在分析这些新型网络架构的特点,从而找到新的攻击方法。智慧协同网络于2013年被提出。智慧协同网络创新地提出了以“三层”、“两域”为典型特征的体系结构模型,并建立了智慧服务层、资源适配层和网络组件层的基本理论,实现了服务的“资源与位置”分离、网络的“身份与位置”及数据的“控制与转发”分离。智慧协同网络的“三层、两域”总体系架构模型如图1所示。“三层”即:智慧服务层、资源适配层和网络组件层。“智慧服务层”主要负责服务的标识和描述,以及服务的智慧查找与动态匹配等;“资源适配层”通过感知服务需求与网络状态,动态地适配网络资源并构建网络族群,以充分满足服务需求进而提升用户体验,并提高网络资源利用率;“网络组件层”主要负责数据的存储与传输,以及网络组件的行为感知与聚类等。“两域”指实体域和行为域。实体域使用服务标识SID(ServiceID)来标记一次智慧服务,实现服务的“资源和位置分离”;使用族群标识FID(FamilyID)来标记一个族群功能模块,使用组件标识NID(NodeID)来标记一个网络组件设备,实现网络的“控制和数据分离”及“身份与位置分离”;行为域使用服务行为描述SBD(ServiceBehaviorDescription)、族群行为描述FBD(FamilyBehaviorDescription)和组件行为描述NBD(NodeBehaviorDescription)来分别描述实体域中服务标识、族群标识和组件标识的行为特征。在智慧协同网络中,资源适配解析服务器是网络族群资源模块间智慧协同工作的关键,它为未来互联网提供了一定的智慧特性。资源适配解析服务器是智慧协同网络的核心组件,起到了中心控制器的作用。通过控制信息交互及时感知网络状态,也为族群聚类提供了依据。资源适配解析服务器完成了资源的动态适配和智慧决策,为每个网络服务提供最优的转发路径,大大提高了网络的资源利用率,降低了时延,同时提升了用户体验。图2为智慧协同网络中的网络组件协同工作机理示意图,具体包括:首先,客户端A发起了服务请求,并将服务请求包发送到相邻的NSR1。NSR1收到服务请求包后,解析服务请求包包头,并将服务请求包包头与本地保存的转发表项进行匹配。由于NSR1第一次收到服务请求包,本地转发表项并没有匹配规则,因此NSR1向资源适配服务系统发送服务请求消息,询问针对此类服务的转发规则。资源适配服务系统通过感知到的网络拓扑状态信息以及组件资源信息,为该服务选择最优的组件资源集合,最终,客户端A接收到了服务应答与相应的服务资源。在智慧协同网络中,网络组件收到未知流量,需要向资源适配解析服务器发出服务请求包,请求资源适配解析服务器下发对于未知流量的处理策略。资源适配解析服务器收到服务请求包后,触发相应事件,并将服务请求包交由对相应事件添加了监听的模块来处理,然后下发处理策略,完成对未知流量的资源适配。从上述智慧协同网中未知流量的处理流程可以总结出针对资源适配解析服务器的DDoS攻击形式。图3为现有技术中的一种针对智慧协同网络中的资源适配解析服务器的DDoS攻击形式示意图,攻击者会首先获得网络中的部分傀儡主机的控制权,然后运用这些傀儡主机制造恶意的伪造流量。之所以称这些流量为伪造流量,是因为这些流量的源和目的可能都不是有效的网络主机,它们产生和传播的目的只是为了触发网络组件的服务请求包,从而对资源适配解析服务器产生大量无效请求。这些无效的请求大量地消耗资源适配解析服务器的各项资源,比如CPU资源、存储资源、描述符等。当这些无效请求到达一定的数量后,资源适配解析服务器可能无法为正常的请求进行服务,即造成了针对资源适配解析服务器的DDoS攻击。现有技术中的第一种智慧协同网络中资源适配解析服务器DDoS攻击检测方法为:基于流量特征的检测方法。在统计学方法中,流量自学习模型能较好地检测出攻击。流量自学习模型比较灵活,用户可以自定义流量学习周期,通过周期的统计和观测,系统可以获得某个流的具体特征,多个周期结合可以分析流量的具体分布,生成具有明显特征的流量模型。其中统计的参数也可以自定义,如源IP速率、特定IP地址的流量统计、协议种类、带宽占用情况、端口变化情况等。最终生成用户的流量对比基准线,作为异常流量的判断标准。在DDoS攻击的过程中,产生了大量未知流量,通过对这些未知流量特征的统计、监测和对比,如果发现流量特征不符合特征基线,即认为发生了DDoS攻击。Beitollahi和Deconinck通过统计连续时间内具有相同IP地址和端口号的数据包,计算出平均包速率作为参考基线,以此来作为异常流量的检测标准。上述现有技术中的第一种智慧协同网络中资源适配解析服务器DDoS攻击检测方法的缺点为:通过简单的流量特征模型很难应对不同的攻击方式,流量特征基线随着攻击方式的不同,也很难确定一个合适的值。单一的流量特征检测,很难检测多种攻击,同时,也容易发生误判。现有技术中的第二种智慧协同网络中资源适配解析服务器DDoS攻击防御方法为:基于虚拟源地址边缘验证的IP欺骗DDoS防御方法。该方法包括:通过控制器对源地址的验证,过滤掉攻击流。作者通过分析SDN流量的容量和动态更新流表的能力,预防了IP欺骗。当一个数据包到达交换机时,查看是否有匹配的流规则,如果没有,则将数据包转发至控制器进行源地址验证,被检测出是IP欺骗后,控制器将下发一条流规则过滤相同源地址的数据包。上述现有技术中的第二种智慧协同网络中资源适配解析服务器DDoS攻击防本文档来自技高网...
【技术保护点】
1.一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法,其特征在于,在智慧协同网络中设置缓存服务器,包括:当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时,将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器,同时所述缓存服务器再连接到所述资源适配解析服务器;所述缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包,根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击;所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后,使用基于权重优先级队列的防御策略区分化转发所述服务请求包。
【技术特征摘要】
1.一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法,其特征在于,在智慧协同网络中设置缓存服务器,包括:当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时,将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器,同时所述缓存服务器再连接到所述资源适配解析服务器;所述缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包,根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击;所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后,使用基于权重优先级队列的防御策略区分化转发所述服务请求包。2.根据权利要求1所述的方法,其特征在于,所述的当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时,将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器,同时所述缓存服务器再连接到所述资源适配解析服务器,包括:所述连接迁移条件包括:资源适配解析服务器的负载过重,接收服务请求包的速率高于预先设置的速率阈值;和/或,网络组件转发表空间不足,转发表占用空间高于预先设置的空间阈值,当所述连接迁移条件满足时将触发连接迁移操作,由智慧协同网络中的控制模块下发连接迁移命令到网络组件,网络组件断开其与资源适配解析服务器之间的连接、建立其与缓存服务器之间的连接,同时缓存服务器再连接到资源适配解析服务器。3.根据权利要求1所述的方法,其特征在于,所述的缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包,包括:所述缓存服务器在不进行服务请求包的DDoS攻击防御时,采用单队列模式,将接收到的所述网络组件发送过来的服务请求包进行缓存,不对缓存的服务请求包进行DDoS攻击检测和防御处理,转发缓存的服务请求包至资源适配解析服务器,并限制服务请求包的转发速率;当未检测出DDoS攻击时,由智慧控制模块下发连接回迁命令到网络组件,网络组件断开其与缓存服务器之间的连接、建立其与资源适配解析服务器之间的连接,网络组件直接向资源适配解析服务器发送服务请求包,同时,缓存服务器继...
【专利技术属性】
技术研发人员:刘颖,陈明虎,张宏科,支婷,
申请(专利权)人:北京交通大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。