【技术实现步骤摘要】
基于物联网DDoS攻击的移动目标防御方法
本专利技术涉及一种物联网防御方法,具体的说是一种基于物联网DDoS攻击的移动目标防御方法,属于物联网设备DDoS攻击防御
技术介绍
随着5G时代的到来,物联网设备的种类和使用数量也日益增多,比如智能摄像头,智能家电等。但物联网设备设计时在安全方面考虑得不够充分,所以经常会被黑客控制从而形成僵尸网络。这些物联网设备在便捷人们生活的同时,也给网络环境的安全性带来了威胁。其中,一种简单而又低廉的攻击手段常常被黑客借助物联网设备所利用,分布式拒绝服务——DDoS攻击。如:2016年在美国发生了一起黑客利用大量物联网设备构成僵尸网络对Dyn核心网络服务公司的事件,此次事件持续了6个小时左右,造成了数以万计的损失;又如在美国一所大学中,黑客操纵校园里的自动售货机对DNS服务器发动攻击致使服务器宕机。随着非传统物联网设备的引入,DDoS攻击变得越来越危险,黑客可以通过劫持的物联网设备并使用它们来攻击任意目标服务器或网络。究其原因,在于物联网设备设计时在安全方面考虑的不够充分,并且传统的安全扫描解决方案很难防御物联网设备的安全,我们长期以来用于发现传统计算机、评估和管理相关漏洞和风险、检测和应对潜在攻击的解决方案,并没有考虑到这些安全性能较低的物联网设备。黑客们非常清楚,企业物联网设备的保护水平无法与传统设备和软件相提并论。
技术实现思路
本专利技术的目的是提供一种基于物联网DDoS攻击的移动目标防御方法,针对物联网的DDoS攻击防御问题,阻止黑客利用物 ...
【技术保护点】
1.一种基于物联网DDoS攻击的移动目标防御方法,其特征在于,包括以下步骤:/n步骤1)在应用服务器之前构建两层代理节点,第一层代理节点有M个,为身份认证节点,第二层节点有N个,为中继转发节点,此外,还构建一个IPv6地址池供代理节点切换地址使用;/n步骤2)代理节点执行DDoS检测功能,用户A开始准备访问应用服务器内的资源,域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点,并且此后用户A的每次访问都由该节点进行身份验证;/n步骤3)若身份认证通过,即无DDoS攻击的情境下,则将N个中继转发节点中的任意一节点 ƒ 分配给该合法用户,该节点执行跳转协议,桥接合法用户与应用服务器,使用户可以正常访问服务器内资源,并且该用户后续的所有请求将无需经过身份验证,可直连N中的中继转发节点与服务器交互;/n步骤4)若请求者为非法用户,则无法获得身份许可,直接拒绝其访问请求,此时,若检测出了DDoS攻击,则立即启用IPv6地址池切换身份认证节点的IPv6地址,并将加密后的地址写入域名解析服务器;/n步骤5)身份认证节点开始执行特定的身份认证方法,利用用户名 ...
【技术特征摘要】
1.一种基于物联网DDoS攻击的移动目标防御方法,其特征在于,包括以下步骤:
步骤1)在应用服务器之前构建两层代理节点,第一层代理节点有M个,为身份认证节点,第二层节点有N个,为中继转发节点,此外,还构建一个IPv6地址池供代理节点切换地址使用;
步骤2)代理节点执行DDoS检测功能,用户A开始准备访问应用服务器内的资源,域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点,并且此后用户A的每次访问都由该节点进行身份验证;
步骤3)若身份认证通过,即无DDoS攻击的情境下,则将N个中继转发节点中的任意一节点ƒ分配给该合法用户,该节点执行跳转协议,桥接合法用户与应用服务器,使用户可以正常访问服务器内资源,并且该用户后续的所有请求将无需经过身份验证,可直连N中的中继转发节点与服务器交互;
步骤4)若请求者为非法用户,则无法获得身份许可,直接拒绝其访问请求,此时,若检测出了DDoS攻击,则立即启用IPv6地址池切换身份认证节点的IPv6地址,并将加密后的地址写入域名解析服务器;
步骤5)身份认证节点开始执行特定的身份认证方法,利用用户名、密码等,同时采用一些特殊的验证方法,来区分物联网设备和正常的客户端,排除物联网设备;
步骤6)黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证,获得一个接入转发节点的IP地址,此时将记录可疑人员的相关信息,经过多次登陆信息的交集,便可以锁定攻击者的真实身份,从而对其真实身份进行防御。
2.根据权利要求1所述的基于物联网DDoS攻击的移动目标防御方法,其特征在于,步骤1)中的IPv6地址池分配情况具体如下:IPv6地址池中共有n个IPv6地址,从n个IPv6地址里选取N个分配给N个隐藏的中继转发节点,余下的(n-N)个IPv6地址构成一个地址池,每次从中随机选取M个分配给M个身份认证节点。
3.根据权利要求1或2所述的基于物联网DDoS攻击的移动目标防御方法,其特征在于,步骤1)在应用服务器端构建的M个身份认证节点,认证过程具体为:
步骤1-1)用户向身份认证节点发出请求,要求进行身份认证;
步骤1-2)身份认证节点从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理,若是,则进入下一步;
步骤1-3)身份认证节点内部产生一个随机数œ,作为"挑战",发送给用户;
步骤1-4)用户将名字和随机数œ合并,使用Hash函数生成一个字节串µ作为应答;
步骤1-5)身份认证节点将应答串µ与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败;
步骤1...
【专利技术属性】
技术研发人员:何高峰,司勇瑞,魏千峰,肖咸财,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。