專利名稱:一種基于映射請求的DDoS檢測與響應(yīng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于映射請求的DDoS檢測與響應(yīng)方法,其可檢測和防止標(biāo)識(shí)分離映射網(wǎng)絡(luò)中DDoS攻擊,屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域。術(shù)語“異常變化點(diǎn)”是由具體的報(bào)警算法和實(shí)際的網(wǎng)絡(luò)環(huán)境所決定的,不同的報(bào)警算法(例如CUSUM或者是小波分析法)可能會(huì)設(shè)定不同的報(bào)警門限,并且這個(gè)報(bào)警門限也是受到不同網(wǎng)絡(luò)環(huán)境流量的限制。術(shù)語“預(yù)定義門限”也是需要看具體的網(wǎng)絡(luò)環(huán)境而定,是根據(jù)實(shí)際運(yùn)行經(jīng)驗(yàn)而自己設(shè)定的數(shù)值,一般情況下,它受到ASR所管理的主機(jī)的數(shù)量的影響,同時(shí)也受到映射請求流量的影響。術(shù)語“一定時(shí)間”也是根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境而定,同時(shí)也需要靠管理者的經(jīng)驗(yàn)?!爱惓W兓c(diǎn)”、“預(yù)定義門限”、和“一定時(shí)間”一般不能定義具體的數(shù)值,因?yàn)檫@些都與實(shí)際的網(wǎng)絡(luò)情況或者管理人員的實(shí)際經(jīng)驗(yàn)有關(guān),同時(shí),據(jù)發(fā)明人所知, 任何檢測算法都沒有定義這些術(shù)語的具體數(shù)值。
背景技術(shù):
標(biāo)識(shí)分離映射網(wǎng)絡(luò)是一種新型的網(wǎng)絡(luò)架構(gòu),雖然身份信息與位置信息分離的思想可以解決傳統(tǒng)網(wǎng)絡(luò)中的不合理性和安全隱患,但是,這種分離映射的思想無法解決傳統(tǒng)網(wǎng)絡(luò)中存在的DDoS攻擊。在傳統(tǒng)互聯(lián)網(wǎng)中,hternet網(wǎng)絡(luò)傳輸可以看作一個(gè)復(fù)雜的隨機(jī)模型,任何傳輸?shù)漠惓?比如DDoS攻擊)都將導(dǎo)致模型的急劇變化。目前,有兩種方法對這種改變進(jìn)行檢測。一種方法是等長批量檢測法,它通過檢測在單位時(shí)間內(nèi)被觀測量變化的平均值實(shí)現(xiàn)檢測。另一種方法是連續(xù)改變點(diǎn)檢測方法,它監(jiān)視的是變量的連續(xù)變化情況。其目的是確定觀測的時(shí)間序列是否符合統(tǒng)計(jì)分布,如果不是,找到發(fā)生改變的時(shí)間點(diǎn),這種方法具有在線實(shí)時(shí)檢測的能力,符合DDoS檢測的要求。使用該種方法一個(gè)難點(diǎn)是確定觀測序列的整體分布。到目前為止,關(guān)于hternet網(wǎng)絡(luò)整體流量分布規(guī)律的研究已經(jīng)非常廣泛。事實(shí)上,通過一個(gè)簡單的變量模型無法模擬整個(gè)網(wǎng)絡(luò)流量的統(tǒng)計(jì)分布。因此,只能采用一種非確定模型的檢測方法。在現(xiàn)有技術(shù)中,使用非參數(shù)累積和⑶SUM (Cumulative SUM)方法檢測DDoS攻擊。 非參數(shù)CUSUM檢測方法非常適合解決這類問題。該方法具有很多其他序列和非參數(shù)檢測算法的優(yōu)點(diǎn)。同時(shí),該算法計(jì)算量很小,能夠完全滿足實(shí)時(shí)監(jiān)測的要求。非參數(shù)累積和CUSUM 算法是著名的變化點(diǎn)檢測算法,它是工業(yè)生產(chǎn)過程中常用的異常檢測算法。CUSUM基于這樣一個(gè)事實(shí)如果檢測到統(tǒng)計(jì)過程的均值發(fā)生變化,則隨機(jī)的概率分布也會(huì)發(fā)生變化。當(dāng)其用在DDoS攻擊檢測時(shí),它監(jiān)測網(wǎng)絡(luò)流量的變化,若網(wǎng)絡(luò)流量超過其預(yù)設(shè)定的閥值(即改變點(diǎn)發(fā)生),則表明網(wǎng)絡(luò)流量出現(xiàn)異常現(xiàn)象,并產(chǎn)生報(bào)警。然而,該方法存在的問題是由于網(wǎng)絡(luò)流量是動(dòng)態(tài)的、復(fù)雜的和多維度的,因此采用非參數(shù)CUSUM方法監(jiān)測網(wǎng)絡(luò)流量存在較高的誤報(bào)率;另外,非參數(shù)CUSUM方法雖然能夠?qū)崟r(shí)監(jiān)測hternet中的DDoS攻擊,但其不能進(jìn)行提前報(bào)警,即在DDoS攻擊流量到達(dá)受害者
4之前產(chǎn)生報(bào)警;另外,非參數(shù)累計(jì)和CUSUM方法不能提供很好的實(shí)時(shí)響應(yīng)來控制DDoS攻擊流量。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于映射請求的DDoS檢測與響應(yīng)方法,其可檢測和防止標(biāo)識(shí)分離映射網(wǎng)絡(luò)中DDoS攻擊。本發(fā)明的進(jìn)一步的目的是提供一種基于映射請求的DDoS檢測與響應(yīng)方法,其在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中通過映射請求流量的異常來檢測DDoS攻擊,并發(fā)出連鎖響應(yīng),以防范 DDoS攻擊,為標(biāo)識(shí)分離映射網(wǎng)絡(luò)提供了安全保障,確保了用戶終端與服務(wù)器的可用性,提高了標(biāo)識(shí)分離映射網(wǎng)絡(luò)的安全性與可靠性。為此,本發(fā)明提交了一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,該方法包括在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,所有用戶終端的AID-to-RID映射條目都被分布式存儲(chǔ)和維護(hù)在映射服務(wù)器中,當(dāng)用戶終端之間的通信時(shí),首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系,因此,在DDoS攻擊產(chǎn)生危害之前就可進(jìn)行報(bào)警;映射服務(wù)器實(shí)時(shí)監(jiān)測映射請求流量的變化來判斷和識(shí)別異常變化點(diǎn),識(shí)別和診斷映射請求流量的異常,以檢測標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊;當(dāng)判斷出映射請求流量的異常時(shí),診斷和識(shí)別標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊,并且提前報(bào)警;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報(bào)警時(shí),映射服務(wù)器響應(yīng)DDoS攻擊,遏制異常的攻擊流量,防止DDoS攻擊的進(jìn)一步惡化,從而遏制攻擊流量進(jìn)一步威脅受害主機(jī)。優(yōu)選地,映射服務(wù)器實(shí)時(shí)地產(chǎn)生報(bào)警,映射服務(wù)器使用累積和⑶SUM算法探尋異常映射請求流量的改變點(diǎn);異常點(diǎn)檢測算法還可以采用其他的基于統(tǒng)計(jì)過程的異常點(diǎn)檢測算法,如小波分析法。優(yōu)選地,當(dāng)映射請求流量異常而產(chǎn)生報(bào)警時(shí),映射服務(wù)器的響應(yīng)方法有方法一, 通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量;或方法二,映射服務(wù)器隨機(jī)地響應(yīng)映射請求或者預(yù)定義門限,以控制惡意的攻擊流量。優(yōu)選地,在每一個(gè)ASR中都存在一個(gè)映射緩存來暫時(shí)存儲(chǔ)通信對端的映射信息, 當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時(shí),ASR將映射請求的數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器,映射服務(wù)器用CUSUM算法統(tǒng)計(jì)映射請求的數(shù)量以報(bào)警。優(yōu)選地,如果采用方法一,當(dāng)產(chǎn)生報(bào)警時(shí),映射服務(wù)器主動(dòng)告知每個(gè)攻擊者所在的接入交換路由器ASR,每個(gè)ASR可以采用速率限制、或者是包過濾的方法來限制攻擊流量, 也可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實(shí)性。優(yōu)選地,如果采用方法二,針對即將到來的關(guān)于受害主機(jī)的映射請求,映射服務(wù)器可以采用一個(gè)隨機(jī)規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求,即映射服務(wù)器隨機(jī)的響應(yīng)即將到來的映射請求。當(dāng)映射請求的數(shù)量超過預(yù)定義門限時(shí),映射服務(wù)器將在一定的時(shí)間內(nèi)不在響應(yīng)任何關(guān)于受害主機(jī)的映射請求。優(yōu)選地,采用映射緩存門限機(jī)制,每一個(gè)ASR實(shí)時(shí)地記錄在一定時(shí)間內(nèi)使用同一條映射信息的用戶終端的數(shù)量,并將此數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器,映射服務(wù)器統(tǒng)計(jì)映射請求的數(shù)量進(jìn)而檢測異常。根據(jù)本發(fā)明,依據(jù)標(biāo)識(shí)分離映射網(wǎng)絡(luò)中新引入的映射機(jī)制,提出了一種基于映射請求的DDoS檢測和響應(yīng)方法。該方法使用CUSUM算法,監(jiān)測映射請求流量的變化,通過映射請求流量的異常來檢測DDoS攻擊的發(fā)生。根據(jù)本發(fā)明,可在DDoS攻擊發(fā)生時(shí)提前報(bào)警,有效地保障了檢測的實(shí)時(shí)性,增強(qiáng)了合法用戶或服務(wù)器的可用性。根據(jù)本發(fā)明,不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性,由于映射請求流量的單一性與簡單性,降低了檢測的誤報(bào)率,從而提高了 DDoS攻擊檢測的效率。根據(jù)本發(fā)明,能夠提供實(shí)時(shí)的響應(yīng)方法來控制和遏制DDoS攻擊流量,防止DDoS攻擊的進(jìn)一步惡化,保障了合法用戶通信的不間斷性,提高了標(biāo)識(shí)分離映射網(wǎng)絡(luò)的安全性與
可靠性。
圖1是標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊的示意圖。圖2是基于映射請求的DDoS攻擊檢測和響應(yīng)方法的工作流程示意圖。圖3是大量攻擊者屬于同一個(gè)ASR的DDoS攻擊示意圖。
具體實(shí)施例方式基于映射請求的DDoS攻擊檢測和響應(yīng)方法的主要工作流程如如圖2所示步驟一當(dāng)大量惡意攻擊者發(fā)起DDoS攻擊時(shí),如圖1所示,攻擊者首先將攻擊數(shù)據(jù)包發(fā)送至其所屬的接入交換路由器;步驟二 當(dāng)這些接入交換路由器收到攻擊者的惡意數(shù)據(jù)包時(shí),每個(gè)接入交換路由器將向映射服務(wù)器發(fā)送映射請求,查詢受害者的AID-to-RID映射信息;步驟三當(dāng)映射服務(wù)器收到這些查詢受害者映射關(guān)系的映射請求時(shí),映射服務(wù)器通過CUSUM算法檢測映射請求流量的異常突變點(diǎn);若發(fā)現(xiàn)映射請求流量的異常突變點(diǎn),則產(chǎn)生報(bào)警;否則,映射服務(wù)器正?;卮鸾尤虢粨Q路由器的映射請求。步驟四當(dāng)映射服務(wù)器產(chǎn)生報(bào)警后,可以選擇兩種方法來控制或遏制DDoS攻擊的惡意流量。若選取方法一,映射服務(wù)器告知每個(gè)攻擊者所屬的接入交換路由器限制攻擊流量;若選取方法二,映射服務(wù)器隨機(jī)響應(yīng)或者預(yù)定義門限響應(yīng)即將到來的映射請求;步驟五倘若映射服務(wù)器選取方法一,當(dāng)攻擊者的ASR收到映射服務(wù)器的通知后, 攻擊者的ASR可以采用速率限制rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量;倘若映射服務(wù)器選取方法二,部分攻擊者的ASR會(huì)收到映射服務(wù)器的映射請求響應(yīng),這些攻擊者的ASR將不采取任何措施,正常轉(zhuǎn)發(fā)攻擊者的數(shù)據(jù)包。當(dāng)映射請求流量異常而產(chǎn)生報(bào)警時(shí),映射服務(wù)器可以采取兩種方法進(jìn)一步遏制 DDoS攻擊。方法一,是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量,即當(dāng)產(chǎn)生報(bào)警時(shí), 映射服務(wù)器主動(dòng)告知每個(gè)攻擊者所在的接入交換路由器ASR,每個(gè)ASR可以采用速率限制 rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量。同時(shí),可以采用數(shù)字簽名技術(shù)digital Signature technique保障映射服務(wù)器與ASR交互的控制信息的真實(shí)性。方法二,是隨機(jī)響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量,即針對即將到來的關(guān)于受害主機(jī)的映射請求,映射服務(wù)器可以采用隨機(jī)響應(yīng)或預(yù)定義門限的方法來回答映射請求,也就是說,映射服務(wù)器可以采用一個(gè)隨機(jī)規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求,當(dāng)映射請求的數(shù)量超過預(yù)定義門限時(shí),映射服務(wù)器將在一定的時(shí)間內(nèi)不在響應(yīng)任何關(guān)于受害主機(jī)的映射請求。這種方法可以降低攻擊者的數(shù)量,從而間接降低到達(dá)受害主機(jī)的攻擊流量。 如圖3所示,當(dāng)大量攻擊者屬于同一個(gè)ASR向受害者發(fā)起DDoS攻擊時(shí),由于映射緩存的存在,這個(gè)ASR可能僅僅發(fā)送一次映射請求來查詢受害者的映射關(guān)系,這就造成了映射服務(wù)器收到的映射請求流量的降低,從而影響檢測的效率。為了解決這個(gè)問題,可以采用映射請求門限機(jī)制從ASR的映射緩存中解耦出映射請求流量。當(dāng)受害者的AID-to-RID 映射信息條目在接入交換路由器映射緩存中是處于活躍狀態(tài)時(shí),即此條映射信息的計(jì)時(shí)器的計(jì)時(shí)時(shí)間沒有超過其Time-to-Live值,ASR將要在一定時(shí)間內(nèi)記錄最近使用這條映射信息的主機(jī)數(shù)量,倘若此數(shù)量超過了我們預(yù)先定義的映射請求門限值,則ASR將這個(gè)數(shù)量告知映射服務(wù)器。映射請求門限機(jī)制可以用公式表示為其中,d(yn)代表在指定的時(shí)間周期內(nèi)ASR發(fā)送到映射服務(wù)器的映射請求數(shù)量;yn 代表在第η個(gè)時(shí)間周期內(nèi)ASR記錄的最近使用這條映射信息的主機(jī)數(shù)量;m是根據(jù)實(shí)際經(jīng)驗(yàn)預(yù)設(shè)定的映射請求門限值。特別是,異常點(diǎn)檢測算法可以是CUSUM算法,也可以采用其他的基于統(tǒng)計(jì)過程的異常點(diǎn)檢測算法所替代,例如,小波分析法。特別是,映射請求門限機(jī)制可以采用基于流量的統(tǒng)計(jì)方法,即ASR記錄使用某一條映射信息的流量變化,當(dāng)流量值超過預(yù)設(shè)定的門限時(shí),ASR向映射服務(wù)器發(fā)送一個(gè)映射請求,但這種方法會(huì)增加檢測的誤報(bào)率。特別是,數(shù)字簽名機(jī)制不限定必須使用哪種數(shù)字簽名技術(shù),任何數(shù)字簽名機(jī)制可以通用到本發(fā)明中。本發(fā)明結(jié)合標(biāo)識(shí)分離映射網(wǎng)絡(luò)中身份與位置分離的特點(diǎn),依據(jù)標(biāo)識(shí)分離映射網(wǎng)絡(luò)中新引入的映射機(jī)制,通過在映射服務(wù)器中部署檢測方法,實(shí)時(shí)監(jiān)測映射請求流量的變化來判斷和識(shí)別異常變化點(diǎn),從而實(shí)現(xiàn)對DDoS攻擊的檢測。本發(fā)明使用CUSUM算法檢測映射請求異常流量的突變點(diǎn),完成異常報(bào)警,極大地提高了檢測的及時(shí)準(zhǔn)確性。在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,當(dāng)一個(gè)DDoS攻擊發(fā)生時(shí),所有攻擊者首先需要發(fā)送映射請求來獲得受害主機(jī)的AID-to-RID的映射關(guān)系,因此,本發(fā)明提出的檢測方法能夠在DDoS 攻擊產(chǎn)生危害之前進(jìn)行報(bào)警。本發(fā)明不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性,由于映射請求流量的單一性與簡單性,降低了檢測的誤報(bào)率,從而提高了 DDoS攻擊檢測的效率。本發(fā)明提供兩種實(shí)時(shí)響應(yīng)方法來控制和遏制DDoS攻擊的流量,方法一是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量;方法二是隨機(jī)響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量。為了解決ASR中映射緩存所帶來的影響,本發(fā)明提出了映射緩存門限機(jī)制。
y if yn ^ ^;
O otherwise.
7
根據(jù)本發(fā)明的一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法。在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,用戶終端之間的通信首先需要發(fā)送映射請求來獲得通信對方的AID-to-RID的映射關(guān)系,因此,當(dāng)一個(gè)DDoS攻擊發(fā)生時(shí),映射請求流量也隨之變化。本發(fā)明結(jié)合了標(biāo)識(shí)分離映射網(wǎng)絡(luò)中身份與位置分離體系結(jié)構(gòu)的特點(diǎn),通過使用 CUSUM算法來檢測映射請求流量的變化,從而識(shí)別標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊,保障了合法用戶或服務(wù)器的可用性。一旦報(bào)警產(chǎn)生,兩種有效地響應(yīng)方法可以被實(shí)施去遏制異常的攻擊流量,防止 DDoS攻擊的進(jìn)一步惡化,提高了標(biāo)識(shí)分離映射網(wǎng)絡(luò)的安全性與可靠性。通過判斷映射請求流量的異常來診斷和識(shí)別標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊。 在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,所有用戶終端的AID-to-RID映射條目都被分布式存儲(chǔ)和維護(hù)在映射服務(wù)器中。當(dāng)許多攻擊者或者是僵尸主機(jī)向受害主機(jī)發(fā)送大量無用的數(shù)據(jù)包時(shí),他們的接入交換路由器ASR首先向映射服務(wù)器發(fā)送映射請求,以獲得受害主機(jī)的AID-to-RID映射信肩、ο因此,本發(fā)明在映射服務(wù)器中實(shí)施異常檢測,映射服務(wù)器負(fù)責(zé)識(shí)別和診斷映射請求流量的異常,以檢測標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊。為了讓映射服務(wù)器實(shí)時(shí)地產(chǎn)生報(bào)警,映射服務(wù)器使用累積和⑶SUM算法探尋異常映射請求流量的改變點(diǎn)。一旦映射服務(wù)器為某一條AID-to-RID映射條目產(chǎn)生報(bào)警,映射服務(wù)器能夠采用兩種方法來響應(yīng)DDoS攻擊,從而遏制攻擊流量進(jìn)一步威脅受害主機(jī)。方法一是通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量;方法二是映射服務(wù)器隨機(jī)的響應(yīng)映射請求來控制惡意的攻擊流量。另外,由于在每一個(gè)ASR中都存在一個(gè)映射緩存來暫時(shí)存儲(chǔ)通信對端的映射信息,這就有可能降低檢測的效率,為此,本發(fā)明提出了映射緩存門限機(jī)制來解決這個(gè)問題, 即當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時(shí),ASR將映射請求的數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器, 映射服務(wù)器使用CUSUM算法統(tǒng)計(jì)映射請求的數(shù)量進(jìn)行報(bào)警。為了能夠準(zhǔn)確及時(shí)地檢測出映射請求流量的突變點(diǎn),映射服務(wù)器使用CUSUM算法完成異常報(bào)警。CUSUM算法是統(tǒng)計(jì)過程控制中常用的算法,該算法是對信息進(jìn)行累加,將過程中的小偏移量累加起來,達(dá)到放大的效果,以便提高檢測靈敏度。CUSUM算法在檢測均值的小偏移時(shí)比較有效,而且根據(jù)點(diǎn)的傾斜程度的改變,可以方便、直觀地檢測到變化。當(dāng)映射請求流量異常而產(chǎn)生報(bào)警時(shí),映射服務(wù)器可以采取兩種方法進(jìn)一步遏制 DDoS攻擊。方法一是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量,即當(dāng)產(chǎn)生報(bào)警時(shí), 映射服務(wù)器主動(dòng)告知每個(gè)攻擊者所在的接入交換路由器ASR,每個(gè)ASR可以采用速率限制 rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量。同時(shí),可以采用數(shù)字簽名技術(shù)digital signature technique保障映射服務(wù)器與ASR交互的控制信息的真實(shí)性。方法二是隨機(jī)響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量,即針對即將到來的關(guān)于受害主機(jī)的映射請求,映射服務(wù)器可以采用隨機(jī)響應(yīng)或預(yù)定義門限的方法來回
8答映射請求,也就是說,映射服務(wù)器可以采用一個(gè)隨機(jī)規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求,當(dāng)映射請求的數(shù)量超過預(yù)定義門限時(shí),映射服務(wù)器將在一定的時(shí)間內(nèi)不在響應(yīng)任何關(guān)于受害主機(jī)的映射請求。這種方法可以降低攻擊者的數(shù)量,從而間接降低到達(dá)受害主機(jī)的攻擊流量。在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,每一個(gè)接入網(wǎng)中的ASR都擁有一個(gè)映射緩存來存儲(chǔ)通信對端暫時(shí)的映射信息,每一條映射信息都擁有一個(gè)存活時(shí)間值(Time-to-Live),即映射信息在映射緩存中的生命期,如果此條映射信息的計(jì)時(shí)器的計(jì)時(shí)時(shí)間超過其Time-to-Live 值,則接入交換路由器將刪除此條映射信息。這就存在一個(gè)問題當(dāng)大量攻擊者同時(shí)屬于同一個(gè)ASR時(shí),會(huì)造成映射請求流量的降低,從而有可能降低檢測的效率。為了解決這個(gè)問題,本發(fā)明提出了映射緩存門限機(jī)制每一個(gè)ASR實(shí)時(shí)記錄在一定時(shí)間內(nèi)使用同一條映射信息的用戶終端的數(shù)量,并將此數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器,映射服務(wù)器統(tǒng)計(jì)映射請求的數(shù)量進(jìn)而檢測異常。本發(fā)明針對標(biāo)識(shí)分離映射網(wǎng)絡(luò)中存在的DDoS攻擊,提出了一種基于映射請求的檢測和響應(yīng)DDoS攻擊的方法。本發(fā)明能夠監(jiān)測映射請求流量的變化,通過映射請求流量的報(bào)警來間接診斷DDoS攻擊的發(fā)生,能夠在DDoS攻擊發(fā)生時(shí)進(jìn)行提前報(bào)警,有效地保障了合法用戶或服務(wù)器的可用性。本發(fā)明不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性,由于映射請求流量的單一性與簡單性,降低了檢測的誤報(bào)率,從而提高了 DDoS攻擊檢測的效率。同時(shí),本發(fā)明能夠提供實(shí)時(shí)的響應(yīng)方法來控制和遏制DDoS攻擊流量,防止DDoS攻擊的進(jìn)一步惡化, 提高了標(biāo)識(shí)分離映射網(wǎng)絡(luò)的安全性與可靠性。
權(quán)利要求
1.一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,該方法包括在標(biāo)識(shí)分離映射網(wǎng)絡(luò)中,所有用戶終端的AID-to-RID映射條目都被分布式存儲(chǔ)和維護(hù)在映射服務(wù)器中,當(dāng)用戶終端之間通信時(shí),首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系,因此,在DDoS攻擊產(chǎn)生危害之前就可進(jìn)行報(bào)警;映射服務(wù)器實(shí)時(shí)監(jiān)測映射請求流量的變化來判斷和識(shí)別異常變化點(diǎn),識(shí)別和診斷映射請求流量的異常,以檢測標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊;當(dāng)判斷出映射請求流量的異常時(shí),診斷和識(shí)別標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的 DDoS攻擊,并且提前報(bào)警;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報(bào)警時(shí),映射服務(wù)器響應(yīng)DDoS攻擊,遏制異常的攻擊流量,防止DDoS攻擊的進(jìn)一步惡化,從而遏制攻擊流量進(jìn)一步威脅受害主機(jī)。
2.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,映射服務(wù)器實(shí)時(shí)地產(chǎn)生報(bào)警,映射服務(wù)器使用累積和CUSUM算法探尋異常映射請求流量的改變點(diǎn);異常點(diǎn)檢測算法還可以采用其他的基于統(tǒng)計(jì)過程的異常點(diǎn)檢測算法,如小波分析法。
3.如權(quán)利要求1或2所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于, 當(dāng)映射請求流量異常而產(chǎn)生報(bào)警時(shí),映射服務(wù)器的響應(yīng)方法有方法一,通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量;或方法二,映射服務(wù)器隨機(jī)地響應(yīng)映射請求,以控制惡意的攻擊流量。
4.如權(quán)利要求1-3其中之一所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,在每一個(gè)ASR中都存在一個(gè)映射緩存來暫時(shí)存儲(chǔ)通信對端的映射信息,當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時(shí),ASR將映射請求的數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器,映射服務(wù)器用 CUSUM算法統(tǒng)計(jì)映射請求的數(shù)量以報(bào)警。
5.如權(quán)利要求3所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,如果采用方法一,當(dāng)產(chǎn)生報(bào)警時(shí),映射服務(wù)器主動(dòng)告知每個(gè)攻擊者所在的接入交換路由器ASR, 每個(gè)ASR可以采用速率限制、或者是包過濾的方法來限制攻擊流量,也可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實(shí)性。
6.如權(quán)利要求3所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,如果采用方法二,針對即將到來的關(guān)于受害主機(jī)的映射請求,映射服務(wù)器可以采用一個(gè)隨機(jī)規(guī)則來進(jìn)一步響應(yīng)即將到來的映射請求。
7.如權(quán)利要求1-6其中之一所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,采用映射緩存門限機(jī)制,每一個(gè)ASR實(shí)時(shí)地記錄在一定時(shí)間內(nèi)使用同一條映射信息的用戶終端的數(shù)量,并將此數(shù)量主動(dòng)匯報(bào)給映射服務(wù)器,映射服務(wù)器統(tǒng)計(jì)映射請求的數(shù)量進(jìn)而檢測異常。
8.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于,具體包括當(dāng)大量惡意攻擊者發(fā)起DDoS攻擊時(shí),攻擊者首先將攻擊數(shù)據(jù)包發(fā)送至其所屬的接入交換路由器;當(dāng)這些接入交換路由器收到攻擊者的惡意數(shù)據(jù)包時(shí),每個(gè)接入交換路由器將向映射服務(wù)器發(fā)送映射請求,查詢受害者的AID-to-RID映射信息;當(dāng)映射服務(wù)器收到這些查詢受害者映射關(guān)系的映射請求時(shí),映射服務(wù)器通過CUSUM算法檢測映射請求流量的異常突變點(diǎn);若發(fā)現(xiàn)映射請求流量的異常突變點(diǎn),則產(chǎn)生報(bào)警;否則,映射服務(wù)器正?;卮鸾尤虢粨Q路由器的映射請求;當(dāng)映射服務(wù)器產(chǎn)生報(bào)警后,可以選擇兩種方法來控制或遏制DDoS 攻擊的惡意流量方法一,映射服務(wù)器告知每個(gè)攻擊者所屬的接入交換路由器限制攻擊流量;或方法二,映射服務(wù)器隨機(jī)響應(yīng)即將到來的映射請求;倘若映射服務(wù)器選取方法一,當(dāng)攻擊者的ASR收到映射服務(wù)器的通知后,攻擊者的ASR可以采用速率限制rate limiting 或者是包過濾packet-filtering的方法來限制攻擊流量;倘若映射服務(wù)器選取方法二,部分攻擊者的ASR會(huì)收到映射服務(wù)器的映射請求響應(yīng),這些攻擊者的ASR將不采取任何措施, 正常轉(zhuǎn)發(fā)攻擊者的數(shù)據(jù)包。
9.如權(quán)利要求1或8所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于, 當(dāng)映射請求流量異常而產(chǎn)生報(bào)警時(shí),映射服務(wù)器可以采取兩種方法進(jìn)一步遏制DDoS攻擊; 方法一,當(dāng)產(chǎn)生報(bào)警時(shí),映射服務(wù)器主動(dòng)告知每個(gè)攻擊者所在的接入交換路由器ASR,每個(gè) ASR可以采用速率限制或者是包過濾的方法來限制攻擊流量;同時(shí),可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實(shí)性;方法二,映射服務(wù)器可以采用一個(gè)隨機(jī)規(guī)則來進(jìn)一步響應(yīng)即將到來的映射請求。
10.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于, 當(dāng)大量攻擊者屬于同一個(gè)ASR向受害者發(fā)起DDoS攻擊時(shí),可以采用映射請求門限機(jī)制從 ASR的映射緩存中解耦出映射請求流量,當(dāng)受害者的AID-to-RID映射信息條目在接入交換路由器映射緩存中是處于活躍狀態(tài)時(shí),即此條映射信息的計(jì)時(shí)器的計(jì)時(shí)時(shí)間沒有超過其 Time-to-Live值,ASR將要在一定時(shí)間內(nèi)記錄最近使用這條映射信息的主機(jī)數(shù)量,倘若此數(shù)量超過了預(yù)先定義的映射請求門限值,則ASR將這個(gè)數(shù)量告知映射服務(wù)器。映射請求門限機(jī)制可以用公式表示為其中,d(yn)代表在指定的時(shí)間周期內(nèi)ASR發(fā)送到映射服務(wù)器的映射請求數(shù)量;yn代表在第η個(gè)時(shí)間周期內(nèi)ASR記錄的最近使用這條映射信息的主機(jī)數(shù)量;m是根據(jù)實(shí)際經(jīng)驗(yàn)預(yù)設(shè)定的映射請求門限值。
全文摘要
一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法,當(dāng)用戶終端之間通信時(shí),首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系;映射服務(wù)器實(shí)時(shí)監(jiān)測映射請求流量的變化來判斷和識(shí)別異常變化點(diǎn),識(shí)別和診斷映射請求流量的異常,以檢測標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊;當(dāng)判斷出映射請求流量的異常時(shí),診斷和識(shí)別標(biāo)識(shí)分離映射網(wǎng)絡(luò)中的DDoS攻擊,并且提前報(bào)警;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報(bào)警時(shí),映射服務(wù)器響應(yīng)DDoS攻擊,遏制異常的攻擊流量,防止DDoS攻擊的進(jìn)一步惡化,從而遏制攻擊流量進(jìn)一步威脅受害主機(jī)。本發(fā)明可以檢測和防范DDoS攻擊,提高標(biāo)識(shí)分離映射網(wǎng)絡(luò)的安全性與可靠性。
文檔編號(hào)H04L12/26GK102447707SQ20111045601
公開日2012年5月9日 申請日期2011年12月30日 優(yōu)先權(quán)日2011年12月30日
發(fā)明者萬明, 劉穎, 周華春, 唐建強(qiáng), 張宏科 申請人:北京交通大學(xué)