一种基于Handle系统的恶意标识防御方法及系统技术方案

本发明专利技术公开一种基于Handle系统的恶意标识防御方法及系统，针对递归节点现有Handle原生系统在面临大规模分部署拒绝服务攻击的条件下无法正常响应用户请求的问题进行改进。通过在原生Handle系统入口处添加标识防御系统，将恶意访问标识提前识别，从而达到可以防御恶意标识攻击，正常响应用户的请求，提高解析服务质量的目的。

A defense method and system of malicious identification based on handle system

【技术实现步骤摘要】
一种基于Handle系统的恶意标识防御方法及系统
本专利技术涉及一种基于Handle系统的恶意标识防御方法及系统，涉及通信

技术介绍
Handle标识解析系统由TCP/IP的联合专利技术人、有“互联网之父”之称的RobertKahn博士专利技术，核心系统由美国国家创新研究所(CNRI)开发。标识可以理解为用于识别不同物品、实体、物联网对象的名称标记，可以是由数字、字母、符号、文字等以一定的规则组成的字符串。标识的本质是用于识别对象的技术(包含实体对象、虚拟数字对象等)，以便各类信息处理系统、资源管理系统、网络管理系统对目标对象进行相关管理和控制。Handle系统具有分布式的双层服务结构，如图1所示。上层为全局Handle注册(GlobalHandleRigestry，GHR)，下层为本地Handle服务(LocalHandleService，LHS)；GHR和LHS均由多个站点(Site)组成，且不同Site之间实现数据同步；服务器(Server)是Site的物理承担者，一台或多台Server共同完成Site的功能。对于标识技术，Handle系统将标识分为前缀(prefi10)和后缀(suffi10)，中间用“/”符号隔开；前缀由GHR管理，具有全局唯一性，GHR负责维护前缀拥有者的身份信息、LHS接入IP地址等；后缀由LHS管理，具有本地唯一性，LHS负责提供本地标识的解析服务。每个标识对应的数字对象由多条信息(Value)构成，从解析流程出发，客户端向本身存储的GHR地址发送Handle解析请求，GHR根据Handle前缀向客户端返回LHS地址，客户端再向该LHS地址发送解析请求，LHS解析Handle后缀并向客户端返回信息集合。随着国内工业互联网面向多行业的迅猛发展，各级节点的查询需求量越来越大，保障大量标识解析查询请求服务将是Handle标识解析系统稳定运行的重要指标。为了缩短解析时延，根据工业互联网整体架构定义，当客户端发起查询请求的时候，可以由递归节点代替客户端，分别访问国家节点/二级节点/企业节点，然后将查询的结果返回给客户端，并且同步将查询结果保存在递归节点本地缓存，从而达到快速响应客户查询的目的，递归节点的处理流程如图2所示。由于递归节点使用的Handle原生态系统处理效率不高，防御攻击能力不足，容易成为黑客攻击的目标，放大攻击目前是最主要的攻击方式，攻击者利用递归节点的开放性，发动分布式拒绝服务攻击(DDOS)，攻击者控制僵尸网络，对递归节点发起海量查询请求，抢占递归节点给正常用户服务的时间，影响正常用户的查询请求，造成大面积的解析失败，从而导致整个工业互联网面临瘫痪的风险。因此，针对递归节点，有必要研究一种可防御大规模分布式拒绝服务攻击的方法。
技术实现思路
为了克服上述问题，本专利技术提出了一种基于Handle系统的恶意标识防御方法，针对递归节点现有Handle系统在面临大规模分部署拒绝服务攻击的条件下无法正常响应用户请求的问题进行改进。为了达到上述目的，本专利技术提供了如下技术方案：一种基于Handle系统的恶意标识防御方法，通过在原生Handle系统入口处添加标识防御系统，将恶意访问标识提前识别并且过滤，从而使得递归节点服务器可以响应正常用户的请求，提高解析质量的目的。标识防御系统包括：标识提取模块、标识检测模块、标识清洗模块、标识样本库模块。所述标识提取，用于从入口查询的请求报文中分别提取IP段、传输段和标识字段的源IP地址、目的IP地址、源端口号、目的端口号、以及handle查询标识前缀编码并且将提取出来的关键信息存储之后分别传递给标识检测模块和标识清洗模块；所述标识检测，用于接收标识提取的关键字段：源IP地址、目的IP地址、源端口号、目的端口号以及handle查询标识前缀编码，按照忙时和闲时、工作日和节假日4个维度，经过监控学习统计出相应的阈值(包括均值和峰值)。所述标识样本库，用于定期同步Handle前缀第一段/第二段/第三段存储信息、获取Handle系统对于客户端请求的应答信息(包括解析成功量和失败量)，并且将获取信息分别写入黑白名单库。所述标识清洗，是整个防御系统的核心，接收标识检测的阈值告警信息以及标识样本库的黑白名单信息。主要分两个处理单元(标识过滤处理单元和标识限速处理单元)：对于不符合Handle前缀第一段/第二段/第三段字符规则以及IP处于黑名单库中的标识请求给予过滤处理，对于QPS访问量以及Handle系统解析失败在整个解析量占比超过阈值的标识请求给予限速处理，通过标识过滤和标识限速，将极大的降低恶意攻击的影响，保障了正常用户的标识请求。有益效果：本专利技术针对递归节点现有Handle原生系统在面临大规模分部署拒绝服务攻击的条件下无法正常响应用户请求的问题进行改进，通过在原生Handle系统入口处添加标识防御系统，将恶意访问标识提前识别，从而达到可以防御恶意标识攻击，正常响应用户的请求，提高解析服务质量的目的。附图说明图1为Handle系统双层服务结构示意图；图2为递归节点处理标识请求流程示意图；图3为本专利技术实施例添加标识防御系统示意图；图4为本专利技术实施例标识提取模块流程示意图；图5为本专利技术实施例标识检测模块流程示意图；图6为本专利技术实施例标识样本库模块流程示意图；图7为本专利技术实施例标识清洗模块流程示意图；图8为本专利技术实施例标识防御系统整体示意图；图9为本专利技术实施例标识过滤系统处理分布式拒绝服务攻击效果图。具体实施方式下面将结合本专利技术实施例的附图，对本专利技术中实施例的技术方案进行描述。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。实施例1本专利技术提出了一种基于Handle系统的恶意标识防御方法，针对递归节点在现有Handle系统在面临大规模分部署拒绝服务攻击的条件下无法正常响应用户请求的问题进行改进。图3为本专利技术实施例添加标识防御系统示意图，在原有Handle系统模块基础上添加标识防御系统，原有用户(包括正常用户和恶意攻击用户)发起的标识解析请求首先全部需要经过标识防御系统，标识防御系统通过标识提取、标识检测、标识清洗等模块，将恶意攻击的标识请求直接丢弃或者限速，将正常的用户请求报文查询发送给Handle系统，大大减轻了Handle系统原本用于处理海量的恶意请求负荷，从而集中处理真正客户的标识请求。图4为本专利技术实施例标识提取模块流程示意图，用于从入口查询的请求报文中提取关键信息存储之后分别传递给标识检测模块和标识清洗模块。由于本防御系统区分Handle正常请求包跟攻击包的主要依据是对数据包选取的关键特征信息进行分析，考虑到一个请求报文主要分三段：IP段、传输段和标识字段，因此在本方案中分别对这三层信息中的关本文档来自技高网...

【技术保护点】
1.一种基于Handle系统的恶意标识防御系统，其特征在于，所述/n标识防御系统包括：标识提取模块、标识检测模块、标识清洗模块、标识样本库模块；/n所述标识提取模块，用于从入口查询的请求报文中分别提取IP段、传输段和标识字段的源IP地址、目的IP地址、源端口号、目的端口号、以及handle查询标识前缀编码并且将提取出来的关键信息存储之后分别传递给标识检测模块和标识清洗模块；/n所述标识检测模块，用于接收标识提取的关键字段：源IP地址、目的IP地址、源端口号、目的端口号以及handle查询标识前缀编码，按照忙时和闲时、工作日和节假日4个维度，经过监控学习统计出相应的阈值；/n所述标识样本库模块，用于定期同步Handle前缀第一段/第二段/第三段存储信息、获取Handle系统对于客户端请求的应答信息，并且将获取信息分别写入黑白名单库；/n所述标识清洗模块，接收标识检测的阈值告警信息以及标识样本库的黑白名单信息，对不同的请求给予过滤处理或给予限速处理。/n

【技术特征摘要】
1.一种基于Handle系统的恶意标识防御系统，其特征在于，所述
标识防御系统包括：标识提取模块、标识检测模块、标识清洗模块、标识样本库模块；
所述标识提取模块，用于从入口查询的请求报文中分别提取IP段、传输段和标识字段的源IP地址、目的IP地址、源端口号、目的端口号、以及handle查询标识前缀编码并且将提取出来的关键信息存储之后分别传递给标识检测模块和标识清洗模块；
所述标识检测模块，用于接收标识提取的关键字段：源IP地址、目的IP地址、源端口号、目的端口号以及handle查询标识前缀编码，按照忙时和闲时、工作日和节假日4个维度，经过监控学习统计出相应的阈值；
所述标识样本库模块，用于定期同步Handle前缀第一段/第二段/第三段存储信息、获取Handle系统对于客户端请求的应答信息，并且将获取信息分别写入黑白名单库；
所述标识清洗模块，接收标识检测的阈值告警信息以及标识样本库的黑白名单信息，对不同的请求给予过滤处理或给予限速处理。


2.根据权利要求1所述的一种基于Handle系统的恶意标识防御系统，其特征在于，所述标识清洗模块包括两个处理单元：标识过滤处理单元和标识限速处理单元；
对于不符合Handle前缀第一段/第二段/第三段字符规则以及IP处于黑名单库中的标识请求给予过滤处理，对于QPS访问量以及Handle系统解析失败量在整个解析量占比超过阈值的标识请求给予限速处理。


3.一种基于Handle系统的恶意标识防御方法，其特征在于，所述方法包括以下步骤：
步骤一，标识提取模块系统从入口查询的请求报文中提取关键特征信息，对关键特征信息进行分析，通知标识检测模块以及标识清洗模块；
步骤二，所述标识检测模块获取关键特征信息后，解析QPS访问量是否超过阈值，如果超出阈值给出告警提示，并且发送给标识清洗模块；
步骤三，所述标识清洗模块包括标识过滤处理单元和标识限速处理单元，所述标识清洗模块结合步骤二中的解析结果以及标识样本库模块中的数据，对不同的请求给予过滤处理或给予限速处理。


4.根据权利要求3所述的一种基于Handle系统的恶意标识防御方法，其特征在于，所述步骤一包括以下内容：
步骤1.1：在入口处对每一个从请求的数据报文进行抓包处理；
步骤1.2：对抓取的每一个数据包获取对应IP段的源IP地址、目的IP地址，传输段的源端口号、目的端口号，标识字段的Handle前缀三段编码7个关键字数据；
步骤1.3：将提取出的7个关键字段进行存储；
步骤1.4：发消息通知标识检测模块以及标识清洗模块。


5.根据权利要求3所述的一种基于Handle系统的恶意标识防御方法，其特征在于，所述步骤二包括以下内容：
步骤2.1：读取所述关键字段，分别按照忙时、闲时、工作日、节假日进行统计；
步骤2.2：针对忙时、闲时、工作日和节假日4个维度，通过统计模块分别计算出对应的均值和峰值，记录为Ave-sIP1/2/3/4、Ave-dIP1/2/3/4、Ave-sPort1/2/3/4、Ave-dPort1/2/3/4、Ave-HandleF1/2/3/4、Ave-HandleS1/2/3/4、Ave-HandleT1/2/3/4、Peak-sIP1/2/3/4、Peak-dIP1/2/3/4、Peak-sPort1/2/3/4、Peak-dPort1/2...

【专利技术属性】
技术研发人员：霍如，彭开来，曾诗钦，王晓康，黄韬，谢人超，汪硕，
申请(专利权)人：网络通信与安全紫金山实验室，
类型：发明
国别省市：江苏;32