專利名稱:利用mpls顯式路由實(shí)施流量控制和防御dos攻擊的制作方法
技術(shù)領(lǐng)域:
屬信息技術(shù)領(lǐng)域�。提出一種利用多協(xié)議標(biāo)記交換MPLS(Multi-Protocol LabelSwitch)的顯式路由機(jī)制進(jìn)行網(wǎng)絡(luò)流量控制和防御分布式“拒絕服務(wù)”DOS(Deny of Service)攻擊的新方法,該方法可用于網(wǎng)絡(luò)性能優(yōu)化和流量控制�,同時(shí)可有效防御分布式“拒絕服務(wù)”攻擊。
背景技術(shù):
多協(xié)議標(biāo)記交換MPLS1是一種數(shù)據(jù)包的高速轉(zhuǎn)發(fā)技術(shù)。與傳統(tǒng)IP逐跳轉(zhuǎn)發(fā)機(jī)制不同��,MPLS網(wǎng)絡(luò)中�,邊緣路由器LER(Label Edge Router)按照一定規(guī)則將數(shù)據(jù)包分類形成等效前傳類FEC(Forwarding Equivalence Class),然后按照事先指定或通過顯式路由計(jì)算得到的路徑(稱為顯式路由)進(jìn)行標(biāo)記分發(fā)����,形成一個(gè)從源端到目的端的標(biāo)記交換路徑LSP(Label Switch Path)。中間標(biāo)記交換路由器LSR(Label Switch Router)僅根據(jù)該標(biāo)記來轉(zhuǎn)發(fā)數(shù)據(jù)包�,不必進(jìn)行IP最長(zhǎng)匹配查找。利用顯式路由機(jī)制����,MPLS可以解決傳統(tǒng)IP網(wǎng)絡(luò)難以處理的諸多問題,如服務(wù)質(zhì)量QoS(Quality of Service)���、流量控制以及合理使用網(wǎng)絡(luò)資源��、避免擁塞等,這些有關(guān)網(wǎng)絡(luò)性能優(yōu)化的問題都可以歸入流量工程2問題之列���。
利用MPLS技術(shù)實(shí)施流量工程�,優(yōu)化網(wǎng)絡(luò)性能可以通過采用合適的顯式路由算法來實(shí)現(xiàn)��。傳統(tǒng)的內(nèi)部網(wǎng)關(guān)協(xié)議IGP(Internal Gateway Protocol)對(duì)網(wǎng)絡(luò)流量的控制能力不足�,容易導(dǎo)致最短路徑擁塞���。因此有效控制網(wǎng)絡(luò)流量,必須對(duì)路由協(xié)議和算法進(jìn)行改造�。可以利用路由算法和網(wǎng)管策略控制網(wǎng)絡(luò)資源使用和數(shù)據(jù)的流向�����,通過對(duì)流量和資源實(shí)施合理的控制���,使流量較均衡地分布在現(xiàn)有的網(wǎng)絡(luò)中��,從而優(yōu)化網(wǎng)絡(luò)的運(yùn)行性能�。
分布式“拒絕服務(wù)”攻擊是指攻擊者在較短時(shí)間內(nèi)�,向被攻擊主機(jī)及其所在網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包,導(dǎo)致被攻擊主機(jī)資源過載或網(wǎng)絡(luò)帶寬耗盡�,從而造成被攻擊主機(jī)或網(wǎng)絡(luò)“拒絕提供服務(wù)”。對(duì)分布式DOS攻擊的防御一般分為檢測(cè)攻擊和發(fā)現(xiàn)攻擊源兩個(gè)階段��。單純依靠檢測(cè)攻擊�����,即在近被攻擊端過濾有害流量,不能很好控制分布式DOS攻擊����,因?yàn)檫@同時(shí)會(huì)拒絕一些正常的流量。為有效控制分布式DOS攻擊�����,發(fā)現(xiàn)攻擊源非常重要��。攻擊流通常以匯聚流(Traffic Aggregate)的形式存在�,匯聚流是具有某種特征的流的聚合,如相同的源地址�����,端口號(hào)�����,目標(biāo)地址�����,目標(biāo)端口號(hào)的流的集合�。通過對(duì)匯聚流的檢測(cè),可能發(fā)現(xiàn)攻擊源通常是在被攻擊主機(jī)或近被攻擊端����,通過對(duì)流量的檢測(cè)、對(duì)比和分析����,發(fā)現(xiàn)異常的攻擊匯聚流;在發(fā)現(xiàn)可能的攻擊匯聚流后����,還必須采用某種機(jī)制(如pushback3)通告近攻擊端路由器,對(duì)該類流實(shí)施阻斷�,從而達(dá)到控制分布式DOS攻擊的目的。這種方法必須經(jīng)過檢測(cè)��、發(fā)現(xiàn)攻擊匯聚流�����、通告近攻擊端三個(gè)步驟才能有效實(shí)施對(duì)分布式DOS攻擊的防御�����。而且引入pushback等通告信息�,會(huì)消耗網(wǎng)絡(luò)帶寬����;同時(shí)�����,由于源地址不可信�����,為發(fā)現(xiàn)攻擊匯聚流的真實(shí)源地址��,還必須使用某種機(jī)制對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記����,因此整個(gè)過程實(shí)施起來非常復(fù)雜。而且發(fā)現(xiàn)攻擊源一般難度較大�,因?yàn)楣粽呖赡苁褂枚鄠€(gè)源地址偽裝的流進(jìn)行攻擊,因此其防御能力有限��。
現(xiàn)有網(wǎng)絡(luò)防御分布式DOS攻擊能力有限近被攻擊端的檢測(cè)和流量阻斷會(huì)造成現(xiàn)實(shí)意義上的拒絕服務(wù)���,因?yàn)檎5牧饕脖痪芙^了����;而近攻擊端的流阻斷機(jī)制實(shí)現(xiàn)起來極其復(fù)雜��,且效果有限?����,F(xiàn)有網(wǎng)絡(luò)抵御分布式DOS攻擊的脆弱性�,根本原因是它采用無連接機(jī)制,難以對(duì)數(shù)據(jù)流進(jìn)行控制和追蹤����。
發(fā)明內(nèi)容
提出一種利用MPLS的顯式路由機(jī)制進(jìn)行網(wǎng)絡(luò)流量控制和防御分布式“拒絕服務(wù)”攻擊的方法。其中�����,顯式路由機(jī)制采用基于策略和流量特征的顯式路由算法����,算法根據(jù)網(wǎng)絡(luò)流量特征和管理策略,對(duì)每類流實(shí)施帶寬預(yù)分配�。將對(duì)某類流帶寬預(yù)分配的結(jié)果作為該流的許可控制(Admission Control)的閥值,同時(shí)將其作為在線計(jì)算的可用帶寬的初始值����。以MPLS網(wǎng)絡(luò)作為應(yīng)用環(huán)境���,用該方法實(shí)施流量控制,使網(wǎng)絡(luò)流量按照網(wǎng)絡(luò)固有流量特征分布以及網(wǎng)絡(luò)管理需要合理分布在網(wǎng)絡(luò)中�;同時(shí),提出使用基于MPLS的顯式路由機(jī)制防御分布式DOS攻擊的新方法����。
基于特征和管理策略的顯式路由機(jī)制解決了資源和流分類、鏈路可用帶寬分配���、鏈路權(quán)值分配以及流量控制等問題����,可以在滿足流的帶寬需求的同時(shí)�����,將網(wǎng)絡(luò)流按照網(wǎng)絡(luò)固有特征合理地分布在網(wǎng)絡(luò)中��。同時(shí)��,通過引入許可控制機(jī)制��,該顯式路由機(jī)制可較為有效地防御分布式DOS攻擊這種顯式路由的控制方式避免使用傳統(tǒng)的DOS攻擊防御方法中檢測(cè)攻擊��、發(fā)現(xiàn)攻擊源,以及通告近攻擊端這一系列復(fù)雜的步驟�����;它直接在源端實(shí)施許可控制和流量控制�����,即從源端過濾掉有害的攻擊流�,從而保護(hù)被攻擊資源的有效性��,實(shí)施起來簡(jiǎn)單可行����,并且能較好地避免“拒絕服務(wù)”的發(fā)生。
使用本方法進(jìn)行流量控制的技術(shù)方案是1)根據(jù)網(wǎng)絡(luò)測(cè)量結(jié)果以及網(wǎng)絡(luò)管理的要求對(duì)網(wǎng)絡(luò)流量進(jìn)行分類�,確定流量特征矩陣,流量特征矩陣是一個(gè)四元組��,包括流標(biāo)識(shí)����、源端地址、目標(biāo)端地址���、帶寬需求�。
2)確定流的分類之后進(jìn)行離線計(jì)算根據(jù)流量矩陣生成鏈路權(quán)值,然后將流量矩陣值和鏈路權(quán)值作為多元商品流(multi commodity flow problem)問題的輸入條件�,計(jì)算多元商品流問題,得到每條鏈路上針對(duì)每類流的帶寬值��。
3)將該帶寬值作為每類流的帶寬預(yù)分配值��,在MPLS標(biāo)記邊緣路由器中進(jìn)行在線計(jì)算��,確定顯式路由��。
4)利用MPLS標(biāo)記轉(zhuǎn)發(fā)機(jī)制沿該顯式路由確定的標(biāo)記交換路徑進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)���,實(shí)施流量控制��。
使用該顯式路由機(jī)制防御分布式DOS攻擊的技術(shù)方案是在上述流量控制的基礎(chǔ)之上��,引入許可控制機(jī)制���。在標(biāo)記交換路由器中,增加許可控制模塊�����,將改進(jìn)的多元商品流問題的計(jì)算結(jié)果(即每條鏈路上針對(duì)某類流的帶寬值)作為每類流許可控制的檻值,一旦某類流的帶寬需求值超過該值時(shí)�����,則拒絕為該流分發(fā)標(biāo)記���,即拒絕該流進(jìn)入網(wǎng)絡(luò)����。
采用離線計(jì)算和在線計(jì)算相結(jié)合的方式計(jì)算顯式路由��,在線計(jì)算對(duì)多元商品流問題進(jìn)行改進(jìn)����,增加鏈路耗費(fèi)值�,可以在滿足流的帶寬需求的同時(shí),實(shí)施流量控制�����,優(yōu)化網(wǎng)絡(luò)資源的使用����。離線計(jì)算采用常規(guī)最短路徑算法����,其復(fù)雜度和常規(guī)路由算法相同����,沒有增加資源耗費(fèi)。
通過引入許可控制機(jī)制��,利用顯式路由機(jī)制和MPLS技術(shù)�����,可以在源端限制每類流的網(wǎng)絡(luò)資源(這里指帶寬)耗費(fèi)��,較為有效防御分布式DOS攻擊��。許可控制機(jī)制和基于流量特征的路由算法能從源端防御DOS攻擊���。通過網(wǎng)絡(luò)測(cè)量得出的流量特征矩陣定義了流的種類�、其進(jìn)節(jié)點(diǎn)�����、出節(jié)點(diǎn),以及流需求的值��。被分類的流可視為匯聚流����。離線計(jì)算根據(jù)正常的流量分布特征為匯聚流預(yù)先分配可用帶寬,許可控制機(jī)制保證在某類流的帶寬請(qǐng)求超過其預(yù)先設(shè)定的值時(shí)�,拒絕該匯聚流。當(dāng)網(wǎng)絡(luò)正常運(yùn)行時(shí)����,匯聚流基本符合流量特征分布,因此被拒絕的概率很低����。當(dāng)DOS攻擊發(fā)生時(shí)��,某類匯聚流(即攻擊流)的流量將會(huì)大大超過其正常值���,這時(shí)許可控制機(jī)制將會(huì)拒絕該類流進(jìn)入網(wǎng)絡(luò)����,而其它流可正常流入網(wǎng)絡(luò)�����,保證網(wǎng)絡(luò)提供正常的服務(wù),從而避免拒絕服務(wù)的發(fā)生����。這種機(jī)制無需進(jìn)行攻擊檢測(cè)以及攻擊源的發(fā)現(xiàn)和通告,實(shí)現(xiàn)起來簡(jiǎn)單可行����。仿真試驗(yàn)結(jié)果證實(shí)了該機(jī)制在防御DOS攻擊方面的有效性。
提出利用MPLS的顯式路由機(jī)制防御DOS攻擊的方法�,不局限于本文中提出的顯式路由算法,也可以采用其它的顯式路由算法��。通過MPLS的顯式路由和許可控制機(jī)制防御DOS攻擊�,是本文提出的新方法。
流量控制和DOS攻擊防御機(jī)制通過標(biāo)記邊緣路由器LER實(shí)施���。附圖中給出了支持該顯式路由算法的MPLS標(biāo)記交換路由器中的各模塊及其相互關(guān)系�����。其中��,許可控制����、顯式路由計(jì)算、信令和MPLS包轉(zhuǎn)發(fā)機(jī)制在標(biāo)記交換路由器中實(shí)現(xiàn)���,而離線計(jì)算和流分類由專門的服務(wù)器實(shí)施����。當(dāng)LSP請(qǐng)求到達(dá)標(biāo)記邊緣路由器LER時(shí)����,LER首先向服務(wù)器請(qǐng)求鏈路帶寬初始值,然后按照該值實(shí)施在線顯式路由計(jì)算����、標(biāo)記請(qǐng)求和分發(fā)、許可控制以及MPLS數(shù)據(jù)包轉(zhuǎn)發(fā)等��。
具體實(shí)施例方式
由于防御分布式DOS攻擊的實(shí)施方案是在流量控制基礎(chǔ)之上�����,因此它實(shí)際包括了流量控制機(jī)制部分����,并且加入了許可控制機(jī)制,因此這里僅敘述使用該機(jī)制防御DOS攻擊的實(shí)施方法�。
1對(duì)流量進(jìn)行分類給定網(wǎng)絡(luò)G=(V,E)�����,其中V和E分別為頂點(diǎn)和邊的集合���。規(guī)定對(duì)其邊e∈E�����,具有容量c(e)���。首先按照管理策略或測(cè)量結(jié)果,將網(wǎng)絡(luò)流進(jìn)行分類����,流類型記為t。定義網(wǎng)絡(luò)流量特征矩陣P(t�,si,di����,Bi)���,其中i=1,2�����,3...k�����;si�、di分別為第i類流(以下簡(jiǎn)稱流i)的進(jìn)、出節(jié)點(diǎn)����;Bi為流i的帶寬需求。流量特征大致反映網(wǎng)絡(luò)流的分類�����,分布和帶寬需求���,其值可由網(wǎng)絡(luò)測(cè)量和管理策略確定。對(duì)流進(jìn)行分類的結(jié)果就是得到流量特征矩陣�,目的是將流量矩陣作為輸入條件���,將每一類流作為一個(gè)單獨(dú)的商品流計(jì)算多元商品流問題。算法的目標(biāo)是將盡量多的不同商品流從源端向目的端運(yùn)送����,即在給定的網(wǎng)絡(luò)中尋求同時(shí)滿足各種流的帶寬需求的路徑。設(shè)xi(e)為流i分布在邊e上的流量����,s(e)為鏈路的耗費(fèi),則離線計(jì)算的目標(biāo)函數(shù)為min∑(s(e)∑i=1kxi(e))]]>約束條件①為∑i=1kxi(e)≤c(e)]]>��,它保證鏈路不過載��;對(duì)i(i=1���,2...k)����,流i的帶寬需求n(i)=Bi(2)����,為約束條件②,它滿足不同流的帶寬需求����。
輸出結(jié)果為xi(e)���,這一過程實(shí)際上是根據(jù)網(wǎng)絡(luò)流量特征信息將網(wǎng)絡(luò)帶寬預(yù)分配給不同類型的流。
對(duì)流量進(jìn)行分類����,得到流的類型,在后繼的顯式路由計(jì)算中�,即作為MPLS網(wǎng)絡(luò)的FEC,來進(jìn)行路由計(jì)算和流量控制����。同時(shí),不同類型的流也作為防御DOS攻擊中的匯聚流來處理���。當(dāng)某匯聚流的實(shí)際流量超過其流量特征矩陣定義的流量時(shí)�,路由器將對(duì)其實(shí)施阻斷�。
2離線計(jì)算利用改進(jìn)的多元商品流問題的輸出作為離線計(jì)算的結(jié)果,即對(duì)每個(gè)鏈路�,得到針對(duì)每類流的帶寬預(yù)分配值xi(e)。為合理使用網(wǎng)絡(luò)資源��,考慮多元商品流為每類流預(yù)分配帶寬時(shí),應(yīng)避免鏈路容量不滿足該類流要求的鏈路���,而取容量和該類流的需求之比c(e)/Bi較大的鏈路,因?yàn)檫@樣的鏈路更易滿足該類流的帶寬需求��。為此���,修正鏈路耗費(fèi)s(e)的值��,針對(duì)每類流i���,引入鏈路耗費(fèi)s(ei),并令它和Bi/c(e)成線形關(guān)系�,即s(ei)=kBic(e)+b.]]>規(guī)定當(dāng)鏈路帶寬c(e)小于某類流的帶寬需求Bi時(shí),對(duì)i類流���,該鏈路耗費(fèi)s(ei)=∞�����。改進(jìn)的多元商品流問題的目標(biāo)函數(shù)為min∑(∑i=1ks(ei)xi(e))]]>約束條件不變���,算法的輸出結(jié)果仍為xi(e)。分析可知,調(diào)整s(ei)的值�����,重新計(jì)算多元商品流問題���,其實(shí)質(zhì)是在流分類的同時(shí)�,對(duì)網(wǎng)絡(luò)資源(這里指網(wǎng)絡(luò)帶寬)進(jìn)行分類和整合�,使那些可用帶寬相對(duì)于某類流的帶寬需求比較富余的鏈路盡可能分配給該類流,即按照流量特征的要求��,合理分配網(wǎng)絡(luò)資源�。通過引進(jìn)鏈路耗費(fèi)s(e),基于流量特征的離線計(jì)算能更有效地平衡網(wǎng)絡(luò)資源����,為在線計(jì)算提供合理的帶寬分配方案,較大程度避免擁塞��。
3許可控制將離線計(jì)算得到的針對(duì)每類流i的帶寬值xi(e)作為標(biāo)記分發(fā)許可控制的檻值在每個(gè)標(biāo)記交換路由器LER中�,當(dāng)某類流的帶寬請(qǐng)求值超過其當(dāng)前可用帶寬值時(shí),LER的許可控制機(jī)制將拒絕該流通過����。
當(dāng)DOS攻擊發(fā)生時(shí)�����,某類流的帶寬需求值會(huì)超出正常的值xi(e)�,這時(shí)�,根據(jù)許可控制機(jī)制,該流將被邊緣路由器LER阻斷��,而其他流則可以正常通過����,從而較好避免“拒絕服務(wù)”的發(fā)生����。
4在線顯式路由計(jì)算網(wǎng)絡(luò)G=(V,E)中��,對(duì)其每條邊e��,定義針對(duì)每類流i的可用帶寬����,記為ri(e),其中i=1�,2,..k。在線計(jì)算的輸入條件是多元商品流問題的輸出值xi(e)�。ri(e)的初始值如下決定當(dāng)管理策略允許該類流通過該鏈路時(shí),令ri(e)=xi(e)�;否則,令ri(e)=0����。假設(shè)當(dāng)前流x的帶寬需求為b,并且x屬于第i類流���。在線計(jì)算步驟為1)從G中刪除可用帶寬ri(e)小于帶寬需求b的所有鏈路�;2)按照管理策略和資源分類的需要����,構(gòu)造符合管理策略和資源分類的殘余圖。
3)使用最短路徑算法在殘余加權(quán)圖中為流x計(jì)算最短路徑�����;4)從原可用帶寬值ri(e)中減去b��,更新可用帶寬�����。
5簡(jiǎn)單許可控制機(jī)制以上給出了完整的、利用MPLS的顯式路由來控制網(wǎng)絡(luò)流量和防御DOS攻擊的方法���。本文還提出一種簡(jiǎn)單的許可控制機(jī)制來防御分布式DOS攻擊�����。
為保護(hù)特定網(wǎng)絡(luò)�,定義被保護(hù)網(wǎng)絡(luò)及其可承受的網(wǎng)絡(luò)流量值���。定義二元組如下PN(di,bi)其中����,di為被保護(hù)網(wǎng)絡(luò)(以下用di代替)的地址,對(duì)于實(shí)施許可控制的標(biāo)記交換路由器來說���,是流的目標(biāo)地址���;bi為被保護(hù)網(wǎng)絡(luò)di所能承受的帶寬值,其初始值由管理策略指定���。
當(dāng)標(biāo)記交換路由器LER接收到達(dá)目標(biāo)網(wǎng)絡(luò)di的某個(gè)流j時(shí)��,假設(shè)其帶寬值為bij��。若bij≤bi�,則許可控制機(jī)制允許該流通過,同時(shí)令bi=bi-bij���;若bij>bi��,則阻斷該流通過�����。
經(jīng)過修改后的bi的值表示被保護(hù)網(wǎng)絡(luò)當(dāng)前所能承受的流量值���,若流向目標(biāo)網(wǎng)絡(luò)的流量超過該值,表示該網(wǎng)絡(luò)已無法提供正常服務(wù)���,目前流量已超過正常值���,網(wǎng)絡(luò)可能遭受分布式DOS攻擊,因此許可控制機(jī)制將阻斷流向該網(wǎng)絡(luò)的流����,從而防止“拒絕服務(wù)”的發(fā)生�。
參考文獻(xiàn)[1]wduche D et al.Requirements for Traffic Engineering Over MPLS.IETF RFC 2702����,1999.9[2]Rosen E,Viswanathan A�,and Callon R.Multiprotocol Label Switching Architecture.IETF RFC 3031,2001.1[3]Tao Peng et al.Defending Against Distributed Denial of Service Attacks Using Selective Pushback.
權(quán)利要求
1.一種基于多協(xié)議標(biāo)記交換MPLS(Multi-Protocol Label Switch)的流量控制和防御“拒絕服務(wù)”攻擊的方法�����,通過流量矩征�、多元商品流計(jì)算、離線和在線顯式路由計(jì)算幾個(gè)步驟實(shí)施����。其特征是通過離線計(jì)算對(duì)鏈路權(quán)值的改進(jìn)��,可以有效對(duì)網(wǎng)絡(luò)流量實(shí)施控制�,優(yōu)化網(wǎng)絡(luò)資源的使用。
2.根據(jù)權(quán)利要求1所述的流量控制方法����,可用來防御分布式“拒絕服務(wù)”攻擊,其特征是通過引入許可控制機(jī)制����,當(dāng)流向被保護(hù)網(wǎng)絡(luò)的流量超過許可控制檻值時(shí)�����,路由器阻斷該流通過���,從而避免目標(biāo)網(wǎng)絡(luò)發(fā)生“拒絕服務(wù)”。
3.根據(jù)權(quán)利要求1所述的流量控制和DOS攻擊防御方法���,其特征是將流量矩陣中的流分類��,和MPLS網(wǎng)絡(luò)的FEC�����,以及DOS攻擊中的匯聚流作為一種流進(jìn)行處理�。在MPLS網(wǎng)絡(luò)中�����,對(duì)該流進(jìn)行顯式路由計(jì)算�����,標(biāo)記分發(fā)以及實(shí)施許可控制機(jī)制。
全文摘要
一種利用多協(xié)議標(biāo)記交換MPLS(Multi-ProtocolLabel Switch)的顯式路由機(jī)制進(jìn)行網(wǎng)絡(luò)流量控制和防御分布式“拒絕服務(wù)”攻擊的方法�����。該方法可用于網(wǎng)絡(luò)性能優(yōu)化和流量控制��。同時(shí)�����,通過引入許可控制機(jī)制���,該方法可有效防御分布式“拒絕服務(wù)”攻擊��。
文檔編號(hào)H04L12/24GK1719829SQ20041006245
公開日2006年1月11日 申請(qǐng)日期2004年7月9日 優(yōu)先權(quán)日2004年7月9日
發(fā)明者黃河, 李偉琴 申請(qǐng)人:北京航空航天大學(xué)