本发明专利技术涉及一种基于图灵测试的DDoS防御方法,包括以下步骤:一、接收用户请求数据;二、与用户进行基于模拟问答或图形识别的交互,交互过程包括:向用户提出模拟问答或图形识别问题的步骤;接收用户回执数据的步骤;根据用户回执数据甄别用户是否为正常人类用户,若是则允许访问,若不是则拒绝访问的步骤。本发明专利技术通过使用图灵测试,判定对象的发出者是正常的人类用户,还是由机器或软件模拟正常用户对服务器发出的请求,以此来掐断非法请求的来源,从而使攻击者处于被动局面,使DDoS防御掌握了局势的主动权,并且无需随着攻击方式的更新变化而不断更新。
【技术实现步骤摘要】
本专利技术涉及一种网络攻击的防御方法,特别涉及ー种DDoS防御方法。
技术介绍
伴随着信息技术的高度发展,互联网承载着越来越多重要的交互服务,作为ー个开放式的网络,保证这些服务的正常运转显得尤为重要。然而,当今的网络安全环境日益恶化,僵尸网络规模逐渐扩大,分布式 拒绝服务攻击已经成为互联网健康发展的最大威胁。分布式拒绝服务攻击,亦称作DDoS(即“Distributed Denial of Service”的缩写),是利用网络上已被攻陷的电脑向某一特定的目标电脑发动密集式的“拒绝服务”要求,用以把目标电脑的网络资源及系统资源耗尽,或使之造成拥塞,无法向真正正常请求的用户提供服务。根据Arbor Networks公司2005-2010年度安全报告,DDoS呈现出明显的加速增长趋势,到2010年达到lOOGbps,已经成为网络安全的最大威胁。并且,基于应用层的攻击日益复杂,成为目前DDoS的主要方式。目前,针对分布式拒绝服务攻击,采用的防御措施是使用访问控制列表,拦截特定用户的通信请求数据。而所拦截的用户依赖于攻击检测技木。现有的常用攻击检测技术基于贝叶斯推导。贝叶斯网络最早是由Pearl提出的,它模拟人的认知思维推理模式,用ー组条件概率函数以有向无环图形式表示因果推理模型。基于贝叶斯的DDoS攻击检测技术采用分治理论的贝叶斯分类器算法,把分治理论的思想和贝叶斯网络分类器有机结合起来,既保留了贝叶斯网络分类器模型的结构简单、复杂度低的优点,又降低了传统贝叶斯分类器时间复杂度的问题。将通过大量数据进行贝叶斯网络训练得到的检测结果作为DDoS攻击检测的依据,具有误检率低的优点。但是,现有攻击检测技术检测的是用户的行为,也就是根据用户对服务器的通信数据,来推断该用户是否对服务器发动了攻击,较为被动。而且攻击者的攻击方式会随着时间的推移不断更新变化,传统的攻击检测技术面临需要不断升级以应对的风险。针对基于人机交互的网站服务的特点,存在这样ー个明显的结论由人类发出的请求应当是被判定为合法的,应予以受理的;而由机器发出的请求,则应当被视为可疑的,待检测的。因此,可以通过图灵测试鉴别和区分请求的来源,从而有效防御针对人机交互网站主要的拥塞型和资源耗尽型DDoS攻击。同时,虽然攻击者的攻击方式会随着时间的推移不断更新变化,但是攻击源是受控的主机却不会变化,图灵测试检测攻击源而不是检测攻击方式,规避了需要更新升级的被动局面。因此,基于图灵测试的DDoS防御方法逐渐被广泛采用。例如,网站普遍采用要求用户输入验证码的方式验证发出请求的是人还是机器或程序。但是,基于图灵测试的DDoS防御方法的发展还处于比较初级的阶段。传统的验证码仅仅包括数字或字符,逐渐能被机器所识别。人们希望使用改进的基于图灵测试的验证方法,能够检测请求来源的文字识别能力,图形识别能力,语义识别能力,逻辑分析能力,图形处理能力和自我意识,对请求发出主体的真实身份做出严格判断。
技术实现思路
本专利技术的目的在于提供一种改进的基于图灵测试的DDoS防御方法,能够有效的主动甄别正常用户和攻击源。本专利技术的目的是通过以下技术方案实现的ー种基于图灵测试的DDoS 防御方法,包括以下步骤一、接收用户请求数据;ニ、与用户进行基于模拟问答或图形识别的交互,交互过程包括(I)向用户提出模拟问答或图形识别问题;(2)接收用户回执数据;(3)根据用户回执数据甄别用户是否为正常人类用户,若是则允许访问,若不是则拒绝访问。有益效果本专利技术通过使用改进的图灵测试,有效判定对象的发出者是正常的人类用户,还是由机器或软件模拟正常用户对服务器发出的请求,以此来掐断非法请求的来源,从而使攻击者处于被动局面,并且无需随着攻击方式的更新变化而不断更新。附图说明图I为实施例采用的身份认证方法流程图。具体实施例方式下面结合附图,具体说明本专利技术的优选实施方式。本实施例为ー种基于图灵测试的DDoS防御方法,包括以下步骤一、截获用户请求数据本实施例通过NDIS (Network Driver Interface Specif ication,即网络驱动接ロ规范)中间层驱动,拦截所有进入服务器的请求数据,并决定是否对数据进行放行处理。使用NDIS中间层驱动截获用户请求数据不依赖于具体的网络实现方案,可以实现跨平台、跨语言种类的用户请求数据拦截和处理。ニ、用户身份判定如附图1,用户身份判定步骤为(I)通过与用户数据库交互,获取当前请求源IP和MAC所对应的受信等级,若其受信等级高于当前网络安全临界阈值,则接受此请求数据包;(2)若缺乏当前请求源IP和MAC记录信息,或者其受信等级低于当前网络安全临界阈值,但是在警告范围之内,则需要判断请求数据中是否带有认证数据,即是否包含上次系统图灵测试中用户的回执,若有,则判断此认证数据是否为合法数据,若认证数据合法,则提升用户受信等级,并根据新的受信等级进行身份判定,若认证数据不合法,则降低用户受信等级,并继续进行图灵测试;若请求数据中不包含认证数据,则判断用户是否为待验证用户,若是则直接进行图灵测试,若不是则直接拒绝请求;(3)若其受信等级低于当前网络安全临界阈值,且低于警告范围的阈值,则拒绝其请求数据包。三、图灵测试图灵测试系统根据检测请求来源的文字识别能力,图形识别能力,语义识别能力,逻辑分析能力,图形处理能力和自我意识,对用户的真实身份做出严格判断。例如,可以采用以下一种或多种图灵测试的方式I)模拟问答 根据请求数据中带有的可利用数据,如当前时间,用户IP等,推断出用户的地理位置、用户使用的操作系统、浏览器、使用的语言文字,结合网站自身信息、特征,模拟交互场景,使用已有智能语言库,生成问题,请用户选择答案,每个答案自带不同的数据信息,根据用户选择的不同答案返回不同的数据信息,检验此数据信息,判断用户是否选择了正确的答案,从而判断用户的文字、语言识别能力、信息处理能力和问题分析能力。2)图形识别向用户提供多种简单图形,如星星、月亮、长城等,请用户选择系统指定的图形,每个图形自带不同的数据信息,根据用户选择的不同图形返回不同的数据信息,检验此数据信息,判断用户是否选择了正确的图形。此方法用于验证用户的图形识别能力,较传统的验证码机制而言,有无穷的可扩展性,在验证码逐渐能被机器所识别的技术水平下,由于简单图形的无限扩展,基于模式匹配的验证识别技术难以跟上图形更新的脚步,从而使攻击者处于以被动局面,使得DDoS防御首次在一定程度上掌握了局势的主动权。作为ー种改进,将数据信息顺序分为多个部分,向用户提供的每个图形后各带有一部分数据信息,请用户按照指定的顺序选择图形,若用户选择的顺序正确,则返回服务器的是正确的数据,否则将是错误的。此方法改进了普通的图像识别方法中可能被随机选中的缺陷,将图形识别,文字识别,语义分析融为一身,使图灵检测方法更为严谨。作为另ー种改进,向用户提供ー张2X2拆分后的图片,每张图片后各带有一部分数据信息,请用户按照正确的顺序排列此图形,若用户选择的顺序正确,则返回服务器的是正确的数据,否则将是错误的。也可以附上原图。此方法更深刻的考察用户的图形分析能力,需要用户拥有一定的常识储备和整体判断组合分析能力,并且不乏乐趣,也使用户能易于接受,使验证过程生动而快本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.ー种基于图灵测试的DDoS防御方法,其特征在于,包括以下步骤 一、接收用户请求数据; ニ、与用户进行基于模拟问答或图形识别的交互,交互过程包括 (1)向用户提出模拟问答或图形识别问题; (2)接收用户回执数据; (3)根据用户回执数据甄别用户是否为正常人类用户,若是则允许访问,若不是则拒绝访问。2.根据权利要求I所述的ー种基于图灵测试的DDoS防御方法,其特征在于,步骤ニ中的与用户进行基于模拟问答的交互过程为根据请求数据中带有的可利用数据,推断出用户的地理位置、用户使用的操作系统、浏览器、使用的语言文字,结合网站自身信息、特征,模拟交互场景,使用已有智能语言库,生成问题,请用户选择答案,每个答案自带不同的数据信息,根据用户选择的不同答案返回不同的数据信息,检验此数据信息,判断用户是否选择了正确的答案。3.根据权利要求I所述的ー种基于图灵测试的DDoS防御方法,其特征在于,步骤ニ中的与用户进行基于图形识别的交互过程为向用户提供多种简单图形,请用户选择系统指定的图形,每个图形自带不同的数据信息,根据用户选择的不同图形返回不同的数据信息,检验此数据信息,判断用户是否选择了正确的图形。4.根据权利要求I所述的ー种基于图灵测试的D...
【专利技术属性】
技术研发人员:陈杰浩,钟鸣,马辰,何平凡,陈博,梁汉,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。