基于IP与拓扑混淆的新型DDOS攻击防御系统及方法技术方案

本发明专利技术公开了一种基于IP与拓扑混淆的新型DDOS攻击防御系统及方法，主要解决现有方法对于新型DDOS攻击的防御强度不够的问题，方案包括：代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元；首先通过代理服务器IP混淆单元延长攻击者收集代理服务器通信IP的时间；其次拓扑混淆单元向响应攻击者跟踪流的路径信息中加入冗余路径，防止攻击者区别出虚拟路径和真实通信路径，且由于生成的虚拟路径长度和真实通信路径长度不同，从而阻止攻击者通过分析长度信息区分出真实通信路径；最后通过在网络拥塞初期调用基于强化学习的重路由算法，实现恢复网络通信质量的目的。本发明专利技术能够有效保护网络免受新型DDOS攻击，同时保证通信质量。质量。质量。

【技术实现步骤摘要】
基于IP与拓扑混淆的新型DDOS攻击防御系统及方法


[0001]本专利技术属于信息安全
，进一步涉及新型分布式拒绝服务DDOS(Distributed Denial of Service)攻击主动防御技术，具体为一种基于IP与拓扑混淆的新型DDOS攻击防御系统及方法，可用于保护网络不受新型DDOS攻击入侵。

技术介绍

[0002]新型的DDOS攻击通过组织许多僵尸网络对目标服务器周围的代理服务器发送大量低速流量，从而阻塞正常用户到目标服务器的关键链路。一般来说新型DDOS攻击主要包括以下四个步骤：第一步攻击者利用NMAP等扫描工具收集目标服务器周围代理服务器的IP信息。第二步攻击者利用跟踪工具指示所控制的僵尸网络向目标服务器与代理服务器发送traceroute数据包推断网络拓扑，构建从僵尸网络到服务器的链路图。第三步攻击者分析获得的链路图识别关键链路。第四步，攻击者指挥僵尸网络向代理服务器发送攻击数据包。与传统DDOS攻击相比，新型DDOS攻击破坏性及危害更强，更加难以检测和防范。研究表明，Internet是无标度网络，其链路连接具有严重的不均匀性，少数关键链路对无标度网络的运行起着主导的作用，一旦这些关键链路被破坏，整个网络的连通性将不能得到保证。因此，如何设计一种能够防御新型DDOS攻击的方案对网络的运行至关重要。
[0003]Jinwoo Kim等人2022年在Proceedings of the USENIX NDSS公布了一种基于拓扑混淆的新型DDOS攻击主动防御方案，但由于该拓扑混淆技术仅局限于用真实通信路径和与真实通信路径长度相同的虚拟路径回应攻击者的traceroute数据包，因此存在以下的弊端，一方面，由于只有真实通信路径和虚拟路径，因此若某台交换机泄露自己的真实IP，那么攻击者很容易推断出哪条是真实通信路径，从而得到网络的整体拓扑结构最终分析出关键链路；另一方面，由于虚拟路径上的节点与真实通信路径上的节点一一对应，因此攻击者很容易将Traceroute数据包响应的路由信息根据路径长度信息划分，进而将泄露网络拓扑，威胁网络安全；最后，该方案由于缺乏网络拥塞后的处理方案因此无法抵抗盲的新型DDOS攻击，盲的新型DDOS攻击是指攻击者基于现有得到的网络信息，在未推测出关键链路确切信息时，直接向目标服务器周围的代理服务器发起攻击，阻塞网络。
[0004]专利技术方案
[0005]本专利技术的目的在于克服上述技术存在的缺陷，提出了一种基于IP与拓扑混淆的新型DDOS攻击防御系统。该系统包括：代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元。首先通过代理服务器IP混淆单元延长攻击者收集代理服务器通信IP的时间，降低攻击者的攻击意图；其次，如果网络中出现了大量的Traceroute数据包，表示攻击者已经收集到足够的代理服务器通信IP，那么系统启动拓扑混淆单元，拓扑混淆单元可以让攻击者无法通过分析Traceroute响应流来区分网络关键链路，由于本方案在拓扑混淆单元的虚拟拓扑生成模块中生成的虚拟拓扑中添加了冗余路径，因此可以克服由于某台交换机泄露自己真实IP产生的弊端；此外，本专利技术虚拟路径上的节点并非和真实通信路径上的节点一一对应，而是在真实通信路径上的节点上创建出虚拟网络，从而可以阻止攻击者将
Traceroute响应的路由信息根据路径长度信息划分；最后，本专利技术通过在网络拥塞初期调用基于强化学习的重路由算法保护网络免受盲的新型DDOS攻击。
[0006]为实现上述目的，本专利技术采取的技术方案为：
[0007]一种基于IP与拓扑混淆的新型DDOS攻击防御系统，包括：代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元；
[0008]所述代理服务器IP混淆单元，包括IP分配模块和IP混淆模块；其中IP分配模块为网络内所有代理服务器分配长期IP和短期IP，将长期IP记为LIP、短期IP记为SIP，并将分配情况作为IP混淆模块的输入；IP混淆模块用于实现主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求；
[0009]所述拓扑混淆单元，由原始拓扑获得模块、虚拟拓扑生成模块和虚拟拓扑部署模块构成，用于实现让攻击者无法通过分析Traceroute响应流来区分网络关键链路的目的；其中原始拓扑获得模块利用SDN控制器网络拓扑发现原理获得网络拓扑，记作原始拓扑，并将原始拓扑作为虚拟拓扑生成模块的输入；虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑，再将虚拟拓扑作为虚拟拓扑部署模块的输入，虚拟拓扑部署模块用于根据输入的虚拟拓扑部署网络；
[0010]所述通信质量维持单元，由链路监测模块结合基于强化学习的重路由算法组成；其中链路监测模块用于实时监测网络通信质量，并在通信质量小于预先设定的阈值时，调用基于强化学习的重路由算法为数据包重新选择通信路径恢复网络通信。
[0011]进一步，上述IP分配模块为网络内所有代理服务器分配长期IP和短期IP，具体是：为具有N台代理服务器的网络内指定数量K的代理服务器分配一个LIP和一个SIP，其余N
‑
K个代理服务器分配LIP；所述IP混淆模块通过SDN控制器修改SDN交换机的流表以满足主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求，用于增加攻击者收集代理服务器IP信息的困难性。
[0012]进一步，上述虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑，实现如下：
[0013]将原始拓扑中每个交换机看作一个节点，所有交换机组成的节点集合记作{N1,N2,...，Nn}，其中n表示节点总数；为原始拓扑中的所有SDN交换机分别创建x个虚拟网络，其中任意一个虚拟网络上的节点数目均不固定，得到虚拟网络集合：其中表示为第n个节点Nn创建的第x个虚拟网络；假设任意两个节点Ni和Nj在原始拓扑中存在链接，其中i,j∈1,2,..n,且i≠j，为x对虚拟网络之间创建一对一虚拟链接，得到x个虚拟链接；对于任意两个节点Ni和Nj，虚拟拓扑生成模块随机选取原始拓扑中从Ni到Nj的y条冗余路径；将从Ni到Nj在原始拓扑的真实通信路径记作原始路径；将为原始路径上的节点创建的虚拟网络之间的虚拟链接组成的路径称为虚拟路径，将原始路径、Ni到Nj创建的x条虚拟路径，和随机选取的y条冗余路径称作Ni到Nj的虚拟拓扑。
[0014]进一步，上述虚拟拓扑部署模块通过同时修改traceroute数据包TTL值和响应包的IP地址或者将数据包重路由到冗余路径，实现将虚拟拓扑部署到网络中的目的；所述链路监测模块运行在系统运行全生命周期中，通过Iperf工具实时监测网络通信质量，监测内
容至少包括链路延迟、链路利用率和端口速率。
[0015]一种基于IP与拓扑混淆的新型DDOS攻击防御方法，包括以下步骤：
[0016](1)在具有N台代理服务器的网络内，根据防御者的防御能力选定数量为K的代理服务器为指定代理服务器；
[0017](2)利用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IP与拓扑混淆的新型DDOS攻击防御系统，其特征在于，包括：代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元；所述代理服务器IP混淆单元，包括IP分配模块和IP混淆模块；其中IP分配模块为网络内所有代理服务器分配长期IP和短期IP，将长期IP记为LIP、短期IP记为SIP，并将分配情况作为IP混淆模块的输入；IP混淆模块用于实现主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求；所述拓扑混淆单元，由原始拓扑获得模块、虚拟拓扑生成模块和虚拟拓扑部署模块构成，用于实现让攻击者无法通过分析Traceroute响应流来区分网络关键链路的目的；其中原始拓扑获得模块利用SDN控制器网络拓扑发现原理获得网络拓扑，记作原始拓扑，并将原始拓扑作为虚拟拓扑生成模块的输入；虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑，再将虚拟拓扑作为虚拟拓扑部署模块的输入，虚拟拓扑部署模块用于根据输入的虚拟拓扑部署网络；所述通信质量维持单元，由链路监测模块结合基于强化学习的重路由算法组成；其中链路监测模块用于实时监控网络通信质量，并在通信质量小于预先设定的阈值时，调用基于强化学习的重路由算法为数据包重新选择通信路径恢复网络通信。2.根据权利要求1所述的系统，其特征在于：所述IP分配模块为网络内所有代理服务器分配长期IP和短期IP，具体是：为具有N台代理服务器的网络内指定数量K的代理服务器分配一个LIP和一个SIP，其余N
‑
K个代理服务器分配LIP；所述IP混淆模块通过SDN控制器修改SDN交换机的流表以满足主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求，用于增加攻击者收集代理服务器IP信息的困难性。3.根据权利要求1所述的系统，其特征在于：虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑，实现如下：将原始拓扑中每个交换机看作一个节点，所有交换机组成的节点集合记作{N1,N2,...，Nn}，其中n表示节点总数；为原始拓扑中的所有SDN交换机分别创建x个虚拟网络，其中任意一个虚拟网络上的节点数目均不固定，得到虚拟网络集合：其中表示为第n个节点Nn创建的第x个虚拟网络；假设任意两个节点Ni和Nj在原始拓扑中存在链接，其中i,j∈1,2,..n,且i≠j，为x对虚拟网络之间创建一对一虚拟链接，得到x个虚拟链接；对于任意两个节点Ni和Nj，虚拟拓扑生成模块随机选取原始拓扑中从Ni到Nj的y条冗余路径；将从Ni到Nj在原始拓扑的真实通信路径记作原始路径；将为原始路径上的节点创建的虚拟网络之间的虚拟链接组成的路径称为虚拟路径，将原始路径、Ni到Nj创建的x条虚拟路径，和随机选取的y条冗余路径称作Ni到Nj的虚拟拓扑。4.根据权利要求1所述的系统，其特征在于：所述虚拟拓扑部署模块通过同时修改traceroute数据包TTL值和响应包的IP地址或者将数据包重路由到冗余路径，实现将虚拟拓扑部署到网络中的目的；所述链路监测模块运行在系统运行全生命周期中，通过Iperf工具实时监测网络通信质量，监测内容至少包括链路延迟、链路利用率和端口速率。5.一种根据权利要求1所述系统实现防御的方法，其特征在于，包括以下步骤：(1)在具有N台代理服务器的网络内，根据防御者的防御能力选定数量为K的代理服务
器为指定代理服务器；(2)利用IP分配模块为指定代理服务器分配一个长期IP和一个短期IP，记长期IP为LIP、短期IP为SIP，为其余代理服务器只分配LIP；LIP长期不变，系统给定一个参数t，每隔t重新为指定代理服务器分配SIP；将一个代理服务器的LIP作为该代理服务器的通信IP，并将分配结果输入给IP混淆模块；(3)IP混淆模块通过SDN控制器修改SDN交换机的流表，使数据包通过匹配修改后的流表在网络中各个SDN交换机之间转发，实现如下：(3.1)当一个IP数据包从外部用户发送给代理服务器时，首先该IP数据包被发送到与外部用户相连的SDN交换机中，其中与外部用户相连的SDN交换机记为入口交换机，与代理服务器相连的SDN交换机记为出口交换机；入口交换机将IP数据包发送给SDN控制器，SDN控制器判断该IP数据包目的IP地址是否属于某台代理服务器的LIP，如果属于，按照未部署代理服务器IP混淆单元SDN控制器所采取的流表下发规则向入口交换机和出口交换机下发流表，如果不属于转到步骤(3.2)；(3.2)SDN控制器判断该目的地址是否属于某台指定代理服务器当前的SIP，如果属于，将这台代理服务器称作命中服务器并转到步骤(3.3)，如果不属于，按照未部署代理服务器IP混淆单元SDN控制器所采取的流表下发规则向入口交换机和出口交换机下发流表；(3.3)SDN控制器...

【专利技术属性】
技术研发人员：李腾，孙小敏，孔甜甜，林泽健，韩志峰，何彦武，卢知雨，马卓，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：