基于物联网DDoS攻击的移动目标防御方法技术

本发明专利技术提供了一种基于物联网DDoS攻击的移动目标防御方法，包括如下步骤：1）部署代理节点，包括身份认证节点和中继转发节点；2）在代理节点处部署运行DDoS检测功能；3）无DDoS攻击情形下，当用户客户端发出访问请求时，进行用户合法性的验证，若通过，执行跳转协议，将网络连接跳转至中继转发节点处，完成用户对服务器的访问；4）若检测出DDoS攻击，加密切换所有代理节点的IPv6地址，并将加密后的身份认证节点IPv6地址写入域名解析系统；5）身份认证节点执行特定身份认证方法，排除物联网设备；6）通过多次登录信息的交集，确定攻击者真实身份，本发明专利技术不仅可以抵御物联网DDoS攻击，而且能够确定攻击者的真实身份。

【技术实现步骤摘要】
基于物联网DDoS攻击的移动目标防御方法
本专利技术涉及一种物联网防御方法，具体的说是一种基于物联网DDoS攻击的移动目标防御方法，属于物联网设备DDoS攻击防御

技术介绍
随着5G时代的到来，物联网设备的种类和使用数量也日益增多，比如智能摄像头，智能家电等。但物联网设备设计时在安全方面考虑得不够充分，所以经常会被黑客控制从而形成僵尸网络。这些物联网设备在便捷人们生活的同时，也给网络环境的安全性带来了威胁。其中，一种简单而又低廉的攻击手段常常被黑客借助物联网设备所利用，分布式拒绝服务——DDoS攻击。如：2016年在美国发生了一起黑客利用大量物联网设备构成僵尸网络对Dyn核心网络服务公司的事件，此次事件持续了6个小时左右，造成了数以万计的损失；又如在美国一所大学中，黑客操纵校园里的自动售货机对DNS服务器发动攻击致使服务器宕机。随着非传统物联网设备的引入，DDoS攻击变得越来越危险，黑客可以通过劫持的物联网设备并使用它们来攻击任意目标服务器或网络。究其原因，在于物联网设备设计时在安全方面考虑的不够充分，并且传统的安全扫描解决方案很难防御物联网设备的安全，我们长期以来用于发现传统计算机、评估和管理相关漏洞和风险、检测和应对潜在攻击的解决方案，并没有考虑到这些安全性能较低的物联网设备。黑客们非常清楚，企业物联网设备的保护水平无法与传统设备和软件相提并论。
技术实现思路
本专利技术的目的是提供一种基于物联网DDoS攻击的移动目标防御方法，针对物联网的DDoS攻击防御问题，阻止黑客利用物联网设备对目标服务器发动DDoS攻击。本专利技术的目的是这样实现的：一种基于物联网DDoS攻击的移动目标防御方法，包括以下步骤：步骤1）在应用服务器之前构建两层代理节点，第一层代理节点有M个，为身份认证节点，第二层节点有N个，为中继转发节点，此外，还构建一个IPv6地址池供代理节点切换地址使用；步骤2）代理节点执行DDoS检测功能，用户A开始准备访问应用服务器内的资源，域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点，并且此后用户A的每次访问都由该节点进行身份验证；步骤3）若身份认证通过，即无DDoS攻击的情境下，则将N个中继转发节点中的任意一节点ƒ分配给该合法用户，该节点执行跳转协议，桥接合法用户与应用服务器，使用户可以正常访问服务器内资源，并且该用户后续的所有请求将无需经过身份验证，可直连N中的中继转发节点与服务器交互；步骤4）若请求者为非法用户，则无法获得身份许可，直接拒绝其访问请求，此时，若检测出了DDoS攻击，则立即启用IPv6地址池切换身份认证节点的IPv6地址，并将加密后的地址写入域名解析服务器；步骤5）身份认证节点开始执行特定的身份认证方法，利用用户名、密码等，同时采用一些特殊的验证方法，来区分物联网设备和正常的客户端，排除物联网设备；步骤6）黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证，获得一个接入转发节点的IP地址，此时将记录可疑人员的相关信息，经过多次登陆信息的交集，便可以锁定攻击者的真实身份，从而对其真实身份进行防御。作为本专利技术的进一步限定，步骤1）中的IPv6地址池分配情况具体如下：IPv6地址池中共有n个IPv6地址，从n个IPv6地址里选取N个分配给N个隐藏的中继转发节点，余下的（n-N）个IPv6地址构成一个地址池，每次从中随机选取M个分配给M个身份认证节点。作为本专利技术的进一步限定，步骤1）在应用服务器端构建的M个身份认证节点，认证过程具体为：步骤1-1）用户向身份认证节点发出请求，要求进行身份认证；步骤1-2）身份认证节点从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理，若是，则进入下一步；步骤1-3）身份认证节点内部产生一个随机数œ，作为"挑战"，发送给用户；步骤1-4）用户将名字和随机数œ合并，使用Hash函数生成一个字节串µ作为应答；步骤1-5）身份认证节点将应答串µ与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；步骤1-6）身份认证节点通知客户认证成功或失败；步骤1-7）其他的用户重复执行步骤1-1）至步骤1-6）。在应用服务器端构建的M个身份认证节点，这些节点主要采用了动态口令中的“挑战—应答”机制来完成对用户的合法性认证，“挑战—应答”认证机制中，访问用户携带一个相应的“挑战—应答”令牌，令牌内置种子密钥和加密算法。用户在访问系统时，服务器随机生成一个挑战数并将挑战数发送给用户，用户将收到的挑战数输入到“挑战—应答”令牌中，“挑战—应答”令牌利用内置的种子密钥和加密算法计算出相应的应答数，将应答数上传给身份认证节点，节点根据存储的种子密钥副本和加密算法计算出相应的验证数，和用户上传的应答数进行比较来实施认证，如此进一步提高本专利技术的可靠性。作为本专利技术的进一步限定，同一节点定为40~60s进行一次认证，且身份认证节点的IP地址全部都是随机配置。两次认证的时间的间隔不能太短，否则就给网络、客户和认证服务器带来太大的开销；也不能太长，否则用户IP地址被黑客盗用的可能性就会增高，如此限定认证时间间隔，可确保本专利技术更加可靠。作为本专利技术的进一步限定，步骤2）将DDoS检测算法部署在每一个身份认证节点上，当有流量流入身份认证节点时，身份认证节点开始工作，具体检测步骤如下：步骤2-1）身份认证节点先对网络中的路由器以时间△t对网络F进行采样；步骤2-2）然后分别计算出源地址、目的地址、目的端口均相同的数据包的时间序列；步骤2-3）当时间间隔满足要求时，计算自相关系数，采用基于中间网络的检测技术公式计算，当计算得到自相关系数不为0时，表示当前网络流量与DDoS攻击呈线性相关关系，可以认为发生了DDoS攻击。此算法只需进行少量的计算便可以检测出疑似攻击的发生。此外，经验丰富的攻击者会试图通过建模手段模仿正常流量去破坏此算法并且通过推断、渗透等手段捕获系统的采样频率并调整攻击流量去与系统匹配，但在系统中每个身份认证节点都具备相同的检测功能并且采样间隔都不同，故此算法可以大大提升黑客发动攻击所产生的开销。作为本专利技术的进一步限定，步骤3）给用户分配给代理节点采用半随机分配方式，该方式采用了贪婪算法，分配开始前，所有代理节点都处于待活跃状态，所有访问的用户都将根据自身的网络号由域名解析服务器指派一个特定的节点进行身份验证，且每个客户端只能分配到一个代理节点，假设有ç个代理节点在初始分配后受到攻击，这ç个代理将被标记为待切换IP代理，其他代理则不做标记。这样做有助于在减小系统开销的同时加快IP切换的速度和提高对攻击源身份锁定的精确度。简单说明如下：在身份认证节点中可引入boolean标志位，默认状态下为“0”表示正常，在检测到DDoS攻击后将标志位置为“1”表异常，切换地址时只需检查身份认证节点中的标志位状态，提升切换的效率。此外，在锁定攻击源方面，也只需记录标本文档来自技高网...

【技术保护点】
1.一种基于物联网DDoS攻击的移动目标防御方法，其特征在于，包括以下步骤：/n步骤1）在应用服务器之前构建两层代理节点，第一层代理节点有M个，为身份认证节点，第二层节点有N个，为中继转发节点，此外，还构建一个IPv6地址池供代理节点切换地址使用；/n步骤2）代理节点执行DDoS检测功能，用户A开始准备访问应用服务器内的资源，域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点，并且此后用户A的每次访问都由该节点进行身份验证；/n步骤3）若身份认证通过，即无DDoS攻击的情境下，则将N个中继转发节点中的任意一节点 ƒ 分配给该合法用户，该节点执行跳转协议，桥接合法用户与应用服务器，使用户可以正常访问服务器内资源，并且该用户后续的所有请求将无需经过身份验证，可直连N中的中继转发节点与服务器交互；/n步骤4）若请求者为非法用户，则无法获得身份许可，直接拒绝其访问请求，此时，若检测出了DDoS攻击，则立即启用IPv6地址池切换身份认证节点的IPv6地址，并将加密后的地址写入域名解析服务器；/n步骤5）身份认证节点开始执行特定的身份认证方法，利用用户名、密码等，同时采用一些特殊的验证方法，来区分物联网设备和正常的客户端，排除物联网设备；/n步骤6）黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证，获得一个接入转发节点的IP地址，此时将记录可疑人员的相关信息，经过多次登陆信息的交集，便可以锁定攻击者的真实身份，从而对其真实身份进行防御。/n...

【技术特征摘要】
1.一种基于物联网DDoS攻击的移动目标防御方法，其特征在于，包括以下步骤：
步骤1）在应用服务器之前构建两层代理节点，第一层代理节点有M个，为身份认证节点，第二层节点有N个，为中继转发节点，此外，还构建一个IPv6地址池供代理节点切换地址使用；
步骤2）代理节点执行DDoS检测功能，用户A开始准备访问应用服务器内的资源，域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点，并且此后用户A的每次访问都由该节点进行身份验证；
步骤3）若身份认证通过，即无DDoS攻击的情境下，则将N个中继转发节点中的任意一节点ƒ分配给该合法用户，该节点执行跳转协议，桥接合法用户与应用服务器，使用户可以正常访问服务器内资源，并且该用户后续的所有请求将无需经过身份验证，可直连N中的中继转发节点与服务器交互；
步骤4）若请求者为非法用户，则无法获得身份许可，直接拒绝其访问请求，此时，若检测出了DDoS攻击，则立即启用IPv6地址池切换身份认证节点的IPv6地址，并将加密后的地址写入域名解析服务器；
步骤5）身份认证节点开始执行特定的身份认证方法，利用用户名、密码等，同时采用一些特殊的验证方法，来区分物联网设备和正常的客户端，排除物联网设备；
步骤6）黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证，获得一个接入转发节点的IP地址，此时将记录可疑人员的相关信息，经过多次登陆信息的交集，便可以锁定攻击者的真实身份，从而对其真实身份进行防御。


2.根据权利要求1所述的基于物联网DDoS攻击的移动目标防御方法，其特征在于，步骤1）中的IPv6地址池分配情况具体如下：IPv6地址池中共有n个IPv6地址，从n个IPv6地址里选取N个分配给N个隐藏的中继转发节点，余下的（n-N）个IPv6地址构成一个地址池，每次从中随机选取M个分配给M个身份认证节点。


3.根据权利要求1或2所述的基于物联网DDoS攻击的移动目标防御方法，其特征在于，步骤1）在应用服务器端构建的M个身份认证节点，认证过程具体为：
步骤1-1）用户向身份认证节点发出请求，要求进行身份认证；
步骤1-2）身份认证节点从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理，若是，则进入下一步；
步骤1-3）身份认证节点内部产生一个随机数œ，作为"挑战"，发送给用户；
步骤1-4）用户将名字和随机数œ合并，使用Hash函数生成一个字节串µ作为应答；
步骤1-5）身份认证节点将应答串µ与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；
步骤1...

【专利技术属性】
技术研发人员：何高峰，司勇瑞，魏千峰，肖咸财，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏;32