【技术实现步骤摘要】
一种基于区块链的LFA动态缓解方法
[0001]本专利技术涉及洪泛链路攻击缓解
,尤其涉及一种基于区块链的LFA动态缓解方法。
技术介绍
[0002]随着物联网设备和网络基础设施的增加,目前攻击者正在从传统分布式拒绝服务DDoS攻击转向复杂的DDoS攻击,进而攻击关键的互联网基础设施。DDoS攻击通过组成大规模的僵尸网络,制造大量的攻击流量,使被攻击服务器、网络链路等负载过高,耗尽系统资源,导致其无法响应正常的服务请求,一旦攻击者建立了攻击网络,就可以对一个或多个目标发动协调的大规模攻击。
[0003]专门针对网络主干链路的DDoS攻击就被称为洪泛链路攻击(Link flooding attack,简称LFA)。攻击者控制bots将低强度的流量定向发送到大量可公开访问的服务器上,这些流量集中在少量主干链路上,能在不直接接触攻击目标的情况下使这些链路堵塞,并通过多轮主动更换链路的方式,使目标区域服务器与Internet长时间断开连接。从链路被堵塞后的结果来看,与普通的网络拥塞并无差别,且拥塞链路和断开连接的区域也可能不在同一自治域,所以确认攻击的最终目标及攻击流来源也更具难度、更加耗时,因此迫切需要一种新的缓解方法,能够适应不断变化的滚动攻击,达到自适应、长时间跨域缓解洪泛链路攻击的目的,这就对缓解方法的自适应调整速度和成本都有了更高的要求。由于攻击和防御过程的对抗性和策略性,多名研究者使用博弈论进行LFA建模。2016年王一川等人为实现可变的攻防决策而提出了针对DDoS的动态化博弈防御方法,认为在动态过...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的LFA动态缓解方法,其特征在于,首先提出了一个LFA域间协作缓解架构,该缓解架构自底向上,分别为参数计算层、数据整合层、数据存储层;在参数计算层,抵达防火墙的流量将被及时监测,并进行行为试探和丢弃,然后由数据整合层中域控制器向数据存储层申请与网络状态相对应的缓解参数,没有则直接使用由计算节点进行计算得到的缓解参数则,在相应防火墙上使用对应参数,并由域控制器整合域内缓解参数、信誉值,最后通过数据存储层进行有效数据的存储和共享。2.根据权利要求1所述的一种基于区块链的LFA动态缓解方法,其特征在于,所述参数计算层,由自治域内所有路由器防火墙和计算节点构成,负责对网络链路进行实时监测以及对流量进行整形,并根据检测到的网络状态利用贝叶斯网络进行防火墙缓解参数计算,从数据流层面、会话层面分别进行拥塞控制,同时定义网络状态差异度,以表示不同时刻或者不同链路检测到的网络状态之间的差异,当网络状态差异度到达用户规定的特定比例,开始自适应调整缓解参数;所述数据整合层,由各个自治域的域控制器构成,负责整合各个自治域内防御数据及信誉值;然后在链路拥塞自治域进行缓解参数上传后,有评价资格的交互自治域对此数据进行协同评估,使用联盟链以“记账”的方式记录所有的防御数据请求和计算数据上传服务费用转账信息;利用区块链去中心化、不可篡改的优势将缓解参数共享过程公开化;由于域控制器上传的缓解参数为域内链路的防御信息,而不会告知其他自治域具体为哪一链路,同时保证该链路防御信息的隐私;所述数据存储层,用以存储LFA缓解参数及该数据应用网络状态的区块链,在数据整合层审核通过的防御信息将在数据存储层进行存储;为了适应动态的LFA攻击,引入时间衰减函数对自治域的连续异常行为作出惩罚,具备时间遗忘效果,惩罚随距离上次攻击时间点的增加而减少,而具体的缓解数据以二叉树的形式进行存储。3.根据权利要求1所述的一种基于区块链的LFA动态缓解方法,其特征在于,具体包括以下步骤:步骤1:通过参数计算层中的各自治域内路由器防火墙实时监测链路网络状态,得到链路网络状态S=<S[1],S[2],S[3],S[4]>,其中S[1]表示平均会话数量,S[2]表示平均会话速率,S[3]表示抵墙流量总量,S[4]表示可用带宽,历史链路网络状态用M=<M[1],M[2],M[3],M[4]>表示,将当前流量与历史流量的距离进行归一化处理计算网络状态差异度,则该链路网络状态差异度cS=|S[1]
‑
M[1]|/M[1]+|S[2]
‑
M[2]|/M[2]+|S[3]
‑
M[3]|/M[3]+|S[4]
‑
M[4]|/M[4];步骤2:域控制器根据防火墙检测到的当前网络状态S查找缓解参数,如果查找到则直接使用,没有查找到则需要计算缓解参数;为保证缓解参数计算的效率,建立LFA动态博弈模型,使用域内计算节点来计算拥塞链路前端防火墙缓解参数,具体包括:带宽分权队列、会话速度限制阈值、会话数量门限和是否启动流量丢弃;步骤3:对攻击者和防御者进行效用计算;步骤4:在数据整合层域控制整合自治域内各个主干链路的防御数据及计算得到的其他自治域LFA信誉评分并上传。4.根据权利要求1所述的一种基于区块链的LFA动态缓解方法,其特征在于,所述计算缓解参数的过程具体为:利用非完全信息动态博弈理论来进行LFA攻击和防御过程建模,攻
击者和防御者作为两个局中人,攻击者的决策空间为A=<A[1],A[2],A[3],A[4]>,其中A[1]表示攻击方使用的bot数量,A[2]表示攻击所选定诱饵服务器,A[3]表示分配给bot的流速;防御者的决策空间为D=<D[1],D[2],D[3],D[4]>,也称为缓解参数;其中D[1]表示当前防火墙决定启用的带宽分权队列方案,D[2]表示会话速度限制阈值,D[3]表示防火墙的会话数量门限,D[4]表示防火墙是否启动流量丢弃方案,防御者如果在拥塞时增加带宽,则使用带宽越高,成本也将越高;对于即将进入瓶颈链路的会话队列,防御者将根据防火墙功能设置三种策略,具体为:带宽分权、会话限速和会话数量限制。5.根据权利要求4所述的一种基于区块链的LFA动态缓解方法,其特征在于,所述带宽分权、会话限速和会话数量限制具体为:步骤S1:带宽分权;在博弈最初的时刻,攻击者和防御者均认为对方没有发生特殊改变,在LFA发生之后的每一轮,双方都按照贝叶斯决策网络的指导下,通过对比当前的效用,选择效用函数最大的决策空间来完成操作;此后的网络状态会根据双方的具体决策而发生改变;设置不同的队列来记录不同的IP地址:第一队列分配给非常重要的用户或服务器,其优先级最高,在拥塞情况下不拒绝该用户的服务请求,用户如果需要优先级最高的特殊服务,可支付相应的费用以得到更大的权重分配;设第一队列到达防火墙的总流量为f
1B
,其中每个IP支付费用分别为Q1,Q2,
…
,Qn1,那么其权重为:W11:W12:
…
:W1n1=Q1:Q2:
…
:Qn1第二队列分配给没有威胁且访问频率较高的n2个用户,设置为白名单,没有支付费用的安全用户将被记录在这一队列,默认第二队列权重相同;当拥塞发生时,除第一队列使用的带宽外,全力为第二队列分配;第三队列为访问频率较低的用户,权重也将平均分配,最后为其分配带宽,在拥塞情况下也将最先被拒绝服务;步骤S2:会话限速;遍历第一队列和第二队列的n个历史会话速率,将会话速率从小到大排序,求前r(0<r<1)的平均值作为速率下限V
min
,后r的平均值作为速率上限V
max
:n=n1+n
22
其中,r值的大小需要根据网络环境等因素进行设定,需要通过枚举找出防御者效用较高的r值;V
i
为n个会话速率中的第i个会话速率;步骤S3:会话数量限制;此时三个队列都已建立,当第一队列的付费用户发送流量过多,f
1B
≥B(B为链路限制带宽)时,防火墙将不会允许第二、三队列流量的进入,全力为第一队列用户提供服务,此时每个第一队列的IP可通过的流量为f1i,被丢弃的流量为f
1D
:f
1D
=f
1B
‑
B
由于付费用户为长期使用此链路用户,因此其常规使用下一般不会堵塞链路,即f
1B
<B,此时无带宽压力,防火墙将不进行第一队列的分权,直接将第一队列流量全部通过后,分配剩余带宽给第二队列源IP发送的流量f
2B
,将当前第二队列源IP数记作n2,此时剩余带宽记作B';当第二队列到达流量f
2B
>B'时,由于第二队列为普通的安全用户,防火墙将公平地对待每个源IP,如果检测到某个源IP发送的流量过多,导致了带宽不足,将按比例丢弃第二队列源IP发送的流量;由于目前第二队列有f
2B
流量抵墙,因...
【专利技术属性】
技术研发人员:鲁宁,尹珂玮,闫泽云,史闻博,马驰原,
申请(专利权)人:东北大学秦皇岛分校,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。