【技术实现步骤摘要】
基于IP与拓扑混淆的新型DDOS攻击防御系统及方法
[0001]本专利技术属于信息安全
,进一步涉及新型分布式拒绝服务DDOS(Distributed Denial of Service)攻击主动防御技术,具体为一种基于IP与拓扑混淆的新型DDOS攻击防御系统及方法,可用于保护网络不受新型DDOS攻击入侵。
技术介绍
[0002]新型的DDOS攻击通过组织许多僵尸网络对目标服务器周围的代理服务器发送大量低速流量,从而阻塞正常用户到目标服务器的关键链路。一般来说新型DDOS攻击主要包括以下四个步骤:第一步攻击者利用NMAP等扫描工具收集目标服务器周围代理服务器的IP信息。第二步攻击者利用跟踪工具指示所控制的僵尸网络向目标服务器与代理服务器发送traceroute数据包推断网络拓扑,构建从僵尸网络到服务器的链路图。第三步攻击者分析获得的链路图识别关键链路。第四步,攻击者指挥僵尸网络向代理服务器发送攻击数据包。与传统DDOS攻击相比,新型DDOS攻击破坏性及危害更强,更加难以检测和防范。研究表明,Internet是无标度网络,其链路连接具有严重的不均匀性,少数关键链路对无标度网络的运行起着主导的作用,一旦这些关键链路被破坏,整个网络的连通性将不能得到保证。因此,如何设计一种能够防御新型DDOS攻击的方案对网络的运行至关重要。
[0003]Jinwoo Kim等人2022年在Proceedings of the USENIX NDSS公布了一种基于拓扑混淆的新型DDOS攻击主动防御方案,但由于该拓扑混淆技术仅局 ...
【技术保护点】
【技术特征摘要】
1.一种基于IP与拓扑混淆的新型DDOS攻击防御系统,其特征在于,包括:代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元;所述代理服务器IP混淆单元,包括IP分配模块和IP混淆模块;其中IP分配模块为网络内所有代理服务器分配长期IP和短期IP,将长期IP记为LIP、短期IP记为SIP,并将分配情况作为IP混淆模块的输入;IP混淆模块用于实现主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求;所述拓扑混淆单元,由原始拓扑获得模块、虚拟拓扑生成模块和虚拟拓扑部署模块构成,用于实现让攻击者无法通过分析Traceroute响应流来区分网络关键链路的目的;其中原始拓扑获得模块利用SDN控制器网络拓扑发现原理获得网络拓扑,记作原始拓扑,并将原始拓扑作为虚拟拓扑生成模块的输入;虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑,再将虚拟拓扑作为虚拟拓扑部署模块的输入,虚拟拓扑部署模块用于根据输入的虚拟拓扑部署网络;所述通信质量维持单元,由链路监测模块结合基于强化学习的重路由算法组成;其中链路监测模块用于实时监控网络通信质量,并在通信质量小于预先设定的阈值时,调用基于强化学习的重路由算法为数据包重新选择通信路径恢复网络通信。2.根据权利要求1所述的系统,其特征在于:所述IP分配模块为网络内所有代理服务器分配长期IP和短期IP,具体是:为具有N台代理服务器的网络内指定数量K的代理服务器分配一个LIP和一个SIP,其余N
‑
K个代理服务器分配LIP;所述IP混淆模块通过SDN控制器修改SDN交换机的流表以满足主机与代理服务器之间使用IP分配模块分配的LIP和SIP通信的需求,用于增加攻击者收集代理服务器IP信息的困难性。3.根据权利要求1所述的系统,其特征在于:虚拟拓扑生成模块根据给定参数集合{x,y}为输入的原始拓扑生成虚拟拓扑,实现如下:将原始拓扑中每个交换机看作一个节点,所有交换机组成的节点集合记作{N1,N2,...,Nn},其中n表示节点总数;为原始拓扑中的所有SDN交换机分别创建x个虚拟网络,其中任意一个虚拟网络上的节点数目均不固定,得到虚拟网络集合:其中表示为第n个节点Nn创建的第x个虚拟网络;假设任意两个节点Ni和Nj在原始拓扑中存在链接,其中i,j∈1,2,..n,且i≠j,为x对虚拟网络之间创建一对一虚拟链接,得到x个虚拟链接;对于任意两个节点Ni和Nj,虚拟拓扑生成模块随机选取原始拓扑中从Ni到Nj的y条冗余路径;将从Ni到Nj在原始拓扑的真实通信路径记作原始路径;将为原始路径上的节点创建的虚拟网络之间的虚拟链接组成的路径称为虚拟路径,将原始路径、Ni到Nj创建的x条虚拟路径,和随机选取的y条冗余路径称作Ni到Nj的虚拟拓扑。4.根据权利要求1所述的系统,其特征在于:所述虚拟拓扑部署模块通过同时修改traceroute数据包TTL值和响应包的IP地址或者将数据包重路由到冗余路径,实现将虚拟拓扑部署到网络中的目的;所述链路监测模块运行在系统运行全生命周期中,通过Iperf工具实时监测网络通信质量,监测内容至少包括链路延迟、链路利用率和端口速率。5.一种根据权利要求1所述系统实现防御的方法,其特征在于,包括以下步骤:(1)在具有N台代理服务器的网络内,根据防御者的防御能力选定数量为K的代理服务
器为指定代理服务器;(2)利用IP分配模块为指定代理服务器分配一个长期IP和一个短期IP,记长期IP为LIP、短期IP为SIP,为其余代理服务器只分配LIP;LIP长期不变,系统给定一个参数t,每隔t重新为指定代理服务器分配SIP;将一个代理服务器的LIP作为该代理服务器的通信IP,并将分配结果输入给IP混淆模块;(3)IP混淆模块通过SDN控制器修改SDN交换机的流表,使数据包通过匹配修改后的流表在网络中各个SDN交换机之间转发,实现如下:(3.1)当一个IP数据包从外部用户发送给代理服务器时,首先该IP数据包被发送到与外部用户相连的SDN交换机中,其中与外部用户相连的SDN交换机记为入口交换机,与代理服务器相连的SDN交换机记为出口交换机;入口交换机将IP数据包发送给SDN控制器,SDN控制器判断该IP数据包目的IP地址是否属于某台代理服务器的LIP,如果属于,按照未部署代理服务器IP混淆单元SDN控制器所采取的流表下发规则向入口交换机和出口交换机下发流表,如果不属于转到步骤(3.2);(3.2)SDN控制器判断该目的地址是否属于某台指定代理服务器当前的SIP,如果属于,将这台代理服务器称作命中服务器并转到步骤(3.3),如果不属于,按照未部署代理服务器IP混淆单元SDN控制器所采取的流表下发规则向入口交换机和出口交换机下发流表;(3.3)SDN控制器...
【专利技术属性】
技术研发人员:李腾,孙小敏,孔甜甜,林泽健,韩志峰,何彦武,卢知雨,马卓,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。