本发明专利技术公开了一种抗网络拓扑探测防火墙,涉及抗网络拓扑测量技术领域,用以抵抗攻击者获取目标网络内的拓扑结构。本发明专利技术所述防火墙包括包过滤模块、包延迟控制模块、拓扑欺骗模块、可信探测认证模块、配置生成模块、中枢控制模块、可视化人机交互模块;其中包过滤模块使用位图加速技术,快速过滤数据包;包延迟控制模块负责控制数据包的延迟;拓扑欺骗模块负责识别探测包,并生成响应的伪造应答包,欺骗攻击者;可信探测认证模块负责认证可信的探测者;配置生成模块负责根据真实拓扑和虚拟拓扑生成包延迟控制模块和拓扑欺骗模块所需配置。本发明专利技术可有效抵抗攻击者获取目标网络内的拓扑结构,并向攻击者展示虚拟拓扑,同时保证延迟一致性。迟一致性。迟一致性。
【技术实现步骤摘要】
一种抗网络拓扑探测防火墙
[0001]本专利技术涉及抗网络拓扑测量
,具体涉及一种抗网络拓扑探测防火墙。
技术介绍
[0002]2022年上半年,中国电信、中国移动和中国联通总计监测发现分布式拒绝服务(英文简称DDoS)攻击316,542起,工业和信息化部网络安全威胁和漏洞信息共享平台总计接报网络安全事件7,415,654件
[1],看似平静无波的互联网实则暗潮涌动。Internet是一个开放的、无结构的网络,任何人都可以轻易的接入网络,使得网络空间安全态势错综复杂。
[0003]大量研究表明,网络攻击前会进行网络侦查。研究统计70%的攻击活动前都进行了网络侦察
[2],在一次网络攻击中平均45%的时间花费在了在网络侦查
[3]。在侦察阶段,攻击者可以获取目标网络的特征和漏洞,如IP地址空间、网络拓扑和易受攻击的服务器等。
[0004]其中,网络拓扑是极为重要的网络资源。根据目标网络的拓扑结构,分布式拒绝服务(DDoS)攻击,链接泛洪攻击(LFA)可以通过控制多个端点向网络中注入大量低速率的合法流量,仅破坏少量的关键节点或关键链接,即可对目标网络的连通性产生严重影响。Meier等人的研究表明
[4]:攻击者需要了解目标网络的拓扑结构和转发行为来执行LFA。如果没有这些信息,攻击者只能“猜测”哪些流共享一个公共链接,这大大降低了攻击的效率。模拟实验表明,在不知道拓扑的情况下堵塞任意链接需要多出5倍的流量,而堵塞特定链接的难度则要大上至少一个数量级。
[0005]为了应对网络侦察,有学者提出了多种不同的主动防御解决方案,包括移动目标防御
[5]、拟态防御
[6]、欺骗防御
[7]等。其中欺骗防御利用攻击者依赖收集到信息制定攻击计划的特点,通过给攻击者提供错误信息,降低目标受到攻击的影响。从博弈论的角度也可证明在侦察阶段对攻击者实施欺骗比发现侦察后阻断侦察的收益更高
[8]。
[0006]链路泛洪攻击中比较成熟的攻击理论主要有Coremelt
[9]攻击和Crossfire
[10]攻击。Coremelt通过控制大量机器人节点相互发送流量,淹没关键链路,从而降低目标网络与外部网络的连通性,证明了攻击的可行性;进一步,Crossfire通过控制大量机器人节点,向目标网络附近的公共服务器发送大量低速率合法流量,攻击行为更加隐蔽,攻击流与典型的“流量风暴”(Flash crowds)的流量模式难以区分。Crossfire攻击的详细攻击流程如下:(1)构建链路图,分析持久链路。攻击者控制机器人运行traceroute获取通往目标区域附近的公共服务器和诱饵服务器的路由器级拓扑。探测结果为路由器接口IP地址的序列,链路由两个相邻的接口IP标识。网络中可能存在负载均衡设施,对这些负载均衡链路实施泛洪攻击会增加攻击的复杂性。通过多次traceroute探测,就可以在很大概率上排除这些“暂时性”的链路(在6次探测中都存在的链路,其为暂时性链路的概率仅为(1/2)^6,得到持久链路,用作攻击链路候选集。(2)计算流量密度,选择目标链路。一个持久链路的流量密度被定义为机器人与公共服务器或诱饵服务器之间可以通过该链路创建的流的数量。流量密度在链路图遵循幂律分布,这使得攻击者能够轻易地发现一组高流密度的链路。通过贪婪算法,选择对目标区域影响最大的多组不相交目标链路集。(3)分配攻击流量,淹没目标链路。在
保证攻击流量不可辨别性的同时将目标链路所需的总攻击流量相对平均地分配给多个机器人,使得目标链路的总流量略高于链路带宽。攻击者指挥机器人生成攻击流,慢慢增加攻击流的发送速率,直到指定速率。除此之外,机器人可以根据目标链路的状态动态地调整其流量强度。如果目标链路的实际带宽小于分配的攻击带宽,一旦目标链路被淹没,机器人会停止增加攻击流量的发送速率。(4)滚动式攻击。对同一组目标链路进行连续的淹没可能会激活路由器的故障检测机制,导致网络路由的改变。攻击者通过动态改变目标链路集,进一步延长攻击时间,并提高攻击不可检测性。
[0007]现有的防御措施很难抵御链路泛洪攻击攻击。在链路泛洪攻击中,僵尸网络中的机器人都拥有合法的IP地址,很难将其与合法用户区分;攻击流没有直接发往目标网络,目标网络的入侵检测系统也鞭长莫及;敌手的攻击成本很低,其产生攻击流量的带宽成本比骨干链路带宽成本低几个数量级
[11]。
[0008]一般来说,网络拓扑推断主要有两种方式:基于traceroute的网络拓扑推断技术和网络断层扫描技术(tomography
‑
based topology inference)。基于traceroute的网络拓扑推断技术利用路由跟踪工具探测目标网络,该工具利用IP头部的TTL字段,通过递减TTL并触发中间路由器的ICMP超时报文,来发现从源到目标的路径上的IP级节点和链路。这种方法比较简单,在有内部节点的配合的情况下(网络管理员没有禁用ICMP数据包),很容易获取目标网络拓扑。网络断层扫描技术主要利用端到端的测量信息,如丢包率
[12]、时延
[13]等指标,来推断目标网络的拓扑结构。这种技术的特点在于,发送端和接受端位于目标网络的外部,而流量穿过目标网络。相较于基于Traceroute的网络拓扑推断,这种方法虽然比较复杂,但不需要内部节点的配合。
[0009]实现抗网络拓扑探测,需要解决两个关键问题,分别是在如何设计虚拟拓扑,以及如何欺骗敌手,使其探测并相信虚拟拓扑。在设计虚拟拓扑方面,主要有两种观点:一种是生成随机拓扑,另一种是根据真实拓扑生成虚拟拓扑。第一种观点比较容易实现,由于其与真实拓扑完全独立,敌手根据随机拓扑发起的攻击很难对真实拓扑同样有效。第二种观点认为:完全随机的虚拟拓扑会被攻击者识别,攻击者进而采取其他的网络侦察手段或直接发动攻击。因此,需要在生成虚拟拓扑的同时,保证虚拟拓扑与真实拓扑相似,同时保护真实拓扑中的关键节点或链路。为了实现这一目标可分为两步。第一步是判定瓶颈节点或链接,判定的指标可以分为静态指标和动态指标
[14]。静态指标有:介数中心性(Betweenness Centrality)、亲密度中心性(Closeness Centrality)、最小切中心性(Mincut Centrality)、度中心性(Degree Centrality)等。动态指标有:链路负载、链路可用带宽、链路延迟等。根据上面的指标可以制定出一套计算瓶颈链接或节点的方法。第二步是如何设计能够保护真实拓扑的虚拟拓扑。这一步往往使用第一步的指标,将问题转换成优化问题进行求解。
[0010]在欺骗方面,可以按照防御位置分成两大类,一种是网络边界防御,一种是网络内部防御。网络边界防御比较有代表性的有Trassare等人提出的智能路由器
[15]、ProTO
[16]、AntiTomo
[17]。Trassare等人在边界基于Linux构建了一个智能路由器。其关本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种抗网络拓扑探测防火墙,其特征在于,包括包过滤模块、包延迟控制模块、拓扑欺骗模块、可信探测认证模块、配置生成模块、中枢控制模块、可视化人机交互模块;其中:包过滤模块用于快速过滤数据包;包延迟控制模块用于控制数据包的延迟;拓扑欺骗模块用于识别探测包,并生成响应的伪造应答包;可信探测认证模块用于认证可信的探测者,保留系统网络调试功能;配置生成模块用于根据真实拓扑和虚拟拓扑生成包延迟控制模块和拓扑欺骗模块所需配置;中枢控制模块用于接收用户命令,并将命令统一下发给各个模块;可视化人机交互模块用于向用户展示数据,并向中枢控制模块下发用户命令。2.根据权利要求1所述的一种抗网络拓扑探测防火墙,其特征在于,所述包过滤模块使用基于位图加速的规则匹配算法,快速过滤数据包;所述包过滤模块分包括入包过滤单元和出包过滤单元,入包过滤单元用于过滤进入内网的数据包,出包过滤单元用于过滤发出外网的数据包。3.根据权利要求2所述的一种抗网络拓扑探测防火墙,其特征在于,所述包过滤模块中所述基于位图加速的规则匹配算法使用键值对的形式存储规则,使用index作为键的一部分以扩展规则数量,拥有Accept、Drop、SrcIP、DstIP、SrcPort、DstPort、TypeWithCode、Protocol8个Map;为了支持子网匹配,在收到数据包后,将源IP和目的IP分别依次使用32、24、16、8、0进行掩码操作,掩码得到的结果作为键的一部分和index一起查询得到5个值,将得到的5个值做或操作,作为源IP项和目的IP项的最终结果;为了支持端口的通配,在查询源端口时,使用源端口和通配源端口分别与index一起查询得到2个值,将结果做或操作得到最终源端口的值;目的端口同理;其余字段只需要配合index查询各自Map即可;将除了Accept和Drop项的查询结果做与操作后,分别与Accept和Drop项进行与操作;如果与Accept项与操作的结果大于与Drop项与操作的结果,则为接...
【专利技术属性】
技术研发人员:张宇,王斌,史建焘,朱国普,张伟哲,
申请(专利权)人:哈尔滨工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。