專利名稱:一種基于映射請求的DDoS檢測與響應(yīng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于映射請求的DDoS檢測與響應(yīng)方法����,其可檢測和防止標(biāo)識分離映射網(wǎng)絡(luò)中DDoS攻擊,屬于計算機網(wǎng)絡(luò)安全領(lǐng)域��。術(shù)語“異常變化點”是由具體的報警算法和實際的網(wǎng)絡(luò)環(huán)境所決定的,不同的報警算法(例如CUSUM或者是小波分析法)可能會設(shè)定不同的報警門限��,并且這個報警門限也是受到不同網(wǎng)絡(luò)環(huán)境流量的限制�����。術(shù)語“預(yù)定義門限”也是需要看具體的網(wǎng)絡(luò)環(huán)境而定�����,是根據(jù)實際運行經(jīng)驗而自己設(shè)定的數(shù)值��,一般情況下�,它受到ASR所管理的主機的數(shù)量的影響,同時也受到映射請求流量的影響�����。術(shù)語“一定時間”也是根據(jù)實際網(wǎng)絡(luò)環(huán)境而定�,同時也需要靠管理者的經(jīng)驗?�!爱惓W兓c”����、“預(yù)定義門限”�����、和“一定時間”一般不能定義具體的數(shù)值,因為這些都與實際的網(wǎng)絡(luò)情況或者管理人員的實際經(jīng)驗有關(guān)��,同時���,據(jù)發(fā)明人所知��, 任何檢測算法都沒有定義這些術(shù)語的具體數(shù)值�����。
背景技術(shù):
標(biāo)識分離映射網(wǎng)絡(luò)是一種新型的網(wǎng)絡(luò)架構(gòu)�,雖然身份信息與位置信息分離的思想可以解決傳統(tǒng)網(wǎng)絡(luò)中的不合理性和安全隱患��,但是����,這種分離映射的思想無法解決傳統(tǒng)網(wǎng)絡(luò)中存在的DDoS攻擊。在傳統(tǒng)互聯(lián)網(wǎng)中����,hternet網(wǎng)絡(luò)傳輸可以看作一個復(fù)雜的隨機模型�����,任何傳輸?shù)漠惓?比如DDoS攻擊)都將導(dǎo)致模型的急劇變化�����。目前����,有兩種方法對這種改變進(jìn)行檢測�����。一種方法是等長批量檢測法�,它通過檢測在單位時間內(nèi)被觀測量變化的平均值實現(xiàn)檢測。另一種方法是連續(xù)改變點檢測方法���,它監(jiān)視的是變量的連續(xù)變化情況��。其目的是確定觀測的時間序列是否符合統(tǒng)計分布�,如果不是�����,找到發(fā)生改變的時間點,這種方法具有在線實時檢測的能力�,符合DDoS檢測的要求。使用該種方法一個難點是確定觀測序列的整體分布�����。到目前為止���,關(guān)于hternet網(wǎng)絡(luò)整體流量分布規(guī)律的研究已經(jīng)非常廣泛。事實上���,通過一個簡單的變量模型無法模擬整個網(wǎng)絡(luò)流量的統(tǒng)計分布����。因此����,只能采用一種非確定模型的檢測方法。在現(xiàn)有技術(shù)中�,使用非參數(shù)累積和⑶SUM (Cumulative SUM)方法檢測DDoS攻擊。 非參數(shù)CUSUM檢測方法非常適合解決這類問題�����。該方法具有很多其他序列和非參數(shù)檢測算法的優(yōu)點。同時��,該算法計算量很小��,能夠完全滿足實時監(jiān)測的要求��。非參數(shù)累積和CUSUM 算法是著名的變化點檢測算法����,它是工業(yè)生產(chǎn)過程中常用的異常檢測算法。CUSUM基于這樣一個事實如果檢測到統(tǒng)計過程的均值發(fā)生變化���,則隨機的概率分布也會發(fā)生變化����。當(dāng)其用在DDoS攻擊檢測時�,它監(jiān)測網(wǎng)絡(luò)流量的變化,若網(wǎng)絡(luò)流量超過其預(yù)設(shè)定的閥值(即改變點發(fā)生)��,則表明網(wǎng)絡(luò)流量出現(xiàn)異?����,F(xiàn)象,并產(chǎn)生報警�。然而,該方法存在的問題是由于網(wǎng)絡(luò)流量是動態(tài)的�、復(fù)雜的和多維度的,因此采用非參數(shù)CUSUM方法監(jiān)測網(wǎng)絡(luò)流量存在較高的誤報率����;另外,非參數(shù)CUSUM方法雖然能夠?qū)崟r監(jiān)測hternet中的DDoS攻擊��,但其不能進(jìn)行提前報警��,即在DDoS攻擊流量到達(dá)受害者
4之前產(chǎn)生報警���;另外,非參數(shù)累計和CUSUM方法不能提供很好的實時響應(yīng)來控制DDoS攻擊流量��。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于映射請求的DDoS檢測與響應(yīng)方法���,其可檢測和防止標(biāo)識分離映射網(wǎng)絡(luò)中DDoS攻擊���。本發(fā)明的進(jìn)一步的目的是提供一種基于映射請求的DDoS檢測與響應(yīng)方法,其在標(biāo)識分離映射網(wǎng)絡(luò)中通過映射請求流量的異常來檢測DDoS攻擊�����,并發(fā)出連鎖響應(yīng),以防范 DDoS攻擊���,為標(biāo)識分離映射網(wǎng)絡(luò)提供了安全保障�,確保了用戶終端與服務(wù)器的可用性����,提高了標(biāo)識分離映射網(wǎng)絡(luò)的安全性與可靠性。為此��,本發(fā)明提交了一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法����,其特征在于,該方法包括在標(biāo)識分離映射網(wǎng)絡(luò)中�����,所有用戶終端的AID-to-RID映射條目都被分布式存儲和維護在映射服務(wù)器中���,當(dāng)用戶終端之間的通信時����,首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系,因此�����,在DDoS攻擊產(chǎn)生危害之前就可進(jìn)行報警�����;映射服務(wù)器實時監(jiān)測映射請求流量的變化來判斷和識別異常變化點����,識別和診斷映射請求流量的異常,以檢測標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊���;當(dāng)判斷出映射請求流量的異常時���,診斷和識別標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊��,并且提前報警�����;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報警時���,映射服務(wù)器響應(yīng)DDoS攻擊���,遏制異常的攻擊流量����,防止DDoS攻擊的進(jìn)一步惡化����,從而遏制攻擊流量進(jìn)一步威脅受害主機。優(yōu)選地�,映射服務(wù)器實時地產(chǎn)生報警,映射服務(wù)器使用累積和⑶SUM算法探尋異常映射請求流量的改變點��;異常點檢測算法還可以采用其他的基于統(tǒng)計過程的異常點檢測算法����,如小波分析法。優(yōu)選地�����,當(dāng)映射請求流量異常而產(chǎn)生報警時�,映射服務(wù)器的響應(yīng)方法有方法一, 通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量�;或方法二����,映射服務(wù)器隨機地響應(yīng)映射請求或者預(yù)定義門限���,以控制惡意的攻擊流量�����。優(yōu)選地����,在每一個ASR中都存在一個映射緩存來暫時存儲通信對端的映射信息����, 當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時,ASR將映射請求的數(shù)量主動匯報給映射服務(wù)器���,映射服務(wù)器用CUSUM算法統(tǒng)計映射請求的數(shù)量以報警�。優(yōu)選地��,如果采用方法一��,當(dāng)產(chǎn)生報警時�����,映射服務(wù)器主動告知每個攻擊者所在的接入交換路由器ASR�,每個ASR可以采用速率限制、或者是包過濾的方法來限制攻擊流量�, 也可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實性。優(yōu)選地�����,如果采用方法二���,針對即將到來的關(guān)于受害主機的映射請求�����,映射服務(wù)器可以采用一個隨機規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求���,即映射服務(wù)器隨機的響應(yīng)即將到來的映射請求。當(dāng)映射請求的數(shù)量超過預(yù)定義門限時���,映射服務(wù)器將在一定的時間內(nèi)不在響應(yīng)任何關(guān)于受害主機的映射請求�����。優(yōu)選地�����,采用映射緩存門限機制�,每一個ASR實時地記錄在一定時間內(nèi)使用同一條映射信息的用戶終端的數(shù)量,并將此數(shù)量主動匯報給映射服務(wù)器�����,映射服務(wù)器統(tǒng)計映射請求的數(shù)量進(jìn)而檢測異常����。根據(jù)本發(fā)明,依據(jù)標(biāo)識分離映射網(wǎng)絡(luò)中新引入的映射機制��,提出了一種基于映射請求的DDoS檢測和響應(yīng)方法�����。該方法使用CUSUM算法��,監(jiān)測映射請求流量的變化����,通過映射請求流量的異常來檢測DDoS攻擊的發(fā)生。根據(jù)本發(fā)明�����,可在DDoS攻擊發(fā)生時提前報警����,有效地保障了檢測的實時性,增強了合法用戶或服務(wù)器的可用性��。根據(jù)本發(fā)明��,不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性���,由于映射請求流量的單一性與簡單性�,降低了檢測的誤報率��,從而提高了 DDoS攻擊檢測的效率��。根據(jù)本發(fā)明�,能夠提供實時的響應(yīng)方法來控制和遏制DDoS攻擊流量,防止DDoS攻擊的進(jìn)一步惡化����,保障了合法用戶通信的不間斷性���,提高了標(biāo)識分離映射網(wǎng)絡(luò)的安全性與
可靠性。
圖1是標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊的示意圖��。圖2是基于映射請求的DDoS攻擊檢測和響應(yīng)方法的工作流程示意圖�。圖3是大量攻擊者屬于同一個ASR的DDoS攻擊示意圖。
具體實施例方式基于映射請求的DDoS攻擊檢測和響應(yīng)方法的主要工作流程如如圖2所示步驟一當(dāng)大量惡意攻擊者發(fā)起DDoS攻擊時��,如圖1所示�,攻擊者首先將攻擊數(shù)據(jù)包發(fā)送至其所屬的接入交換路由器;步驟二 當(dāng)這些接入交換路由器收到攻擊者的惡意數(shù)據(jù)包時�����,每個接入交換路由器將向映射服務(wù)器發(fā)送映射請求���,查詢受害者的AID-to-RID映射信息�;步驟三當(dāng)映射服務(wù)器收到這些查詢受害者映射關(guān)系的映射請求時���,映射服務(wù)器通過CUSUM算法檢測映射請求流量的異常突變點�;若發(fā)現(xiàn)映射請求流量的異常突變點��,則產(chǎn)生報警;否則�����,映射服務(wù)器正?��;卮鸾尤虢粨Q路由器的映射請求。步驟四當(dāng)映射服務(wù)器產(chǎn)生報警后�����,可以選擇兩種方法來控制或遏制DDoS攻擊的惡意流量�����。若選取方法一���,映射服務(wù)器告知每個攻擊者所屬的接入交換路由器限制攻擊流量�;若選取方法二�,映射服務(wù)器隨機響應(yīng)或者預(yù)定義門限響應(yīng)即將到來的映射請求;步驟五倘若映射服務(wù)器選取方法一�����,當(dāng)攻擊者的ASR收到映射服務(wù)器的通知后, 攻擊者的ASR可以采用速率限制rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量����;倘若映射服務(wù)器選取方法二,部分攻擊者的ASR會收到映射服務(wù)器的映射請求響應(yīng)����,這些攻擊者的ASR將不采取任何措施,正常轉(zhuǎn)發(fā)攻擊者的數(shù)據(jù)包���。當(dāng)映射請求流量異常而產(chǎn)生報警時�,映射服務(wù)器可以采取兩種方法進(jìn)一步遏制 DDoS攻擊�。方法一,是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量����,即當(dāng)產(chǎn)生報警時, 映射服務(wù)器主動告知每個攻擊者所在的接入交換路由器ASR�,每個ASR可以采用速率限制 rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量。同時�����,可以采用數(shù)字簽名技術(shù)digital Signature technique保障映射服務(wù)器與ASR交互的控制信息的真實性��。方法二,是隨機響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量�����,即針對即將到來的關(guān)于受害主機的映射請求��,映射服務(wù)器可以采用隨機響應(yīng)或預(yù)定義門限的方法來回答映射請求�����,也就是說���,映射服務(wù)器可以采用一個隨機規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求,當(dāng)映射請求的數(shù)量超過預(yù)定義門限時�,映射服務(wù)器將在一定的時間內(nèi)不在響應(yīng)任何關(guān)于受害主機的映射請求。這種方法可以降低攻擊者的數(shù)量����,從而間接降低到達(dá)受害主機的攻擊流量。 如圖3所示�����,當(dāng)大量攻擊者屬于同一個ASR向受害者發(fā)起DDoS攻擊時�,由于映射緩存的存在��,這個ASR可能僅僅發(fā)送一次映射請求來查詢受害者的映射關(guān)系����,這就造成了映射服務(wù)器收到的映射請求流量的降低���,從而影響檢測的效率�����。為了解決這個問題���,可以采用映射請求門限機制從ASR的映射緩存中解耦出映射請求流量。當(dāng)受害者的AID-to-RID 映射信息條目在接入交換路由器映射緩存中是處于活躍狀態(tài)時�,即此條映射信息的計時器的計時時間沒有超過其Time-to-Live值,ASR將要在一定時間內(nèi)記錄最近使用這條映射信息的主機數(shù)量����,倘若此數(shù)量超過了我們預(yù)先定義的映射請求門限值,則ASR將這個數(shù)量告知映射服務(wù)器�����。映射請求門限機制可以用公式表示為其中�����,d(yn)代表在指定的時間周期內(nèi)ASR發(fā)送到映射服務(wù)器的映射請求數(shù)量;yn 代表在第η個時間周期內(nèi)ASR記錄的最近使用這條映射信息的主機數(shù)量�;m是根據(jù)實際經(jīng)驗預(yù)設(shè)定的映射請求門限值。特別是����,異常點檢測算法可以是CUSUM算法,也可以采用其他的基于統(tǒng)計過程的異常點檢測算法所替代�,例如,小波分析法����。特別是���,映射請求門限機制可以采用基于流量的統(tǒng)計方法����,即ASR記錄使用某一條映射信息的流量變化�����,當(dāng)流量值超過預(yù)設(shè)定的門限時���,ASR向映射服務(wù)器發(fā)送一個映射請求���,但這種方法會增加檢測的誤報率�����。特別是����,數(shù)字簽名機制不限定必須使用哪種數(shù)字簽名技術(shù)�,任何數(shù)字簽名機制可以通用到本發(fā)明中。本發(fā)明結(jié)合標(biāo)識分離映射網(wǎng)絡(luò)中身份與位置分離的特點���,依據(jù)標(biāo)識分離映射網(wǎng)絡(luò)中新引入的映射機制�����,通過在映射服務(wù)器中部署檢測方法�����,實時監(jiān)測映射請求流量的變化來判斷和識別異常變化點��,從而實現(xiàn)對DDoS攻擊的檢測����。本發(fā)明使用CUSUM算法檢測映射請求異常流量的突變點,完成異常報警���,極大地提高了檢測的及時準(zhǔn)確性�����。在標(biāo)識分離映射網(wǎng)絡(luò)中��,當(dāng)一個DDoS攻擊發(fā)生時���,所有攻擊者首先需要發(fā)送映射請求來獲得受害主機的AID-to-RID的映射關(guān)系,因此�,本發(fā)明提出的檢測方法能夠在DDoS 攻擊產(chǎn)生危害之前進(jìn)行報警。本發(fā)明不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性��,由于映射請求流量的單一性與簡單性�,降低了檢測的誤報率����,從而提高了 DDoS攻擊檢測的效率。本發(fā)明提供兩種實時響應(yīng)方法來控制和遏制DDoS攻擊的流量,方法一是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量���;方法二是隨機響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量�����。為了解決ASR中映射緩存所帶來的影響��,本發(fā)明提出了映射緩存門限機制�。
y if yn ^ ^�;
O otherwise.
7
根據(jù)本發(fā)明的一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法。在標(biāo)識分離映射網(wǎng)絡(luò)中�,用戶終端之間的通信首先需要發(fā)送映射請求來獲得通信對方的AID-to-RID的映射關(guān)系,因此����,當(dāng)一個DDoS攻擊發(fā)生時,映射請求流量也隨之變化����。本發(fā)明結(jié)合了標(biāo)識分離映射網(wǎng)絡(luò)中身份與位置分離體系結(jié)構(gòu)的特點,通過使用 CUSUM算法來檢測映射請求流量的變化��,從而識別標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊��,保障了合法用戶或服務(wù)器的可用性。一旦報警產(chǎn)生�,兩種有效地響應(yīng)方法可以被實施去遏制異常的攻擊流量,防止 DDoS攻擊的進(jìn)一步惡化�����,提高了標(biāo)識分離映射網(wǎng)絡(luò)的安全性與可靠性���。通過判斷映射請求流量的異常來診斷和識別標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊�。 在標(biāo)識分離映射網(wǎng)絡(luò)中�,所有用戶終端的AID-to-RID映射條目都被分布式存儲和維護在映射服務(wù)器中。當(dāng)許多攻擊者或者是僵尸主機向受害主機發(fā)送大量無用的數(shù)據(jù)包時���,他們的接入交換路由器ASR首先向映射服務(wù)器發(fā)送映射請求����,以獲得受害主機的AID-to-RID映射信肩���、ο因此��,本發(fā)明在映射服務(wù)器中實施異常檢測,映射服務(wù)器負(fù)責(zé)識別和診斷映射請求流量的異常�����,以檢測標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊。為了讓映射服務(wù)器實時地產(chǎn)生報警�,映射服務(wù)器使用累積和⑶SUM算法探尋異常映射請求流量的改變點。一旦映射服務(wù)器為某一條AID-to-RID映射條目產(chǎn)生報警���,映射服務(wù)器能夠采用兩種方法來響應(yīng)DDoS攻擊���,從而遏制攻擊流量進(jìn)一步威脅受害主機。方法一是通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量�;方法二是映射服務(wù)器隨機的響應(yīng)映射請求來控制惡意的攻擊流量。另外���,由于在每一個ASR中都存在一個映射緩存來暫時存儲通信對端的映射信息���,這就有可能降低檢測的效率,為此�����,本發(fā)明提出了映射緩存門限機制來解決這個問題����, 即當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時���,ASR將映射請求的數(shù)量主動匯報給映射服務(wù)器, 映射服務(wù)器使用CUSUM算法統(tǒng)計映射請求的數(shù)量進(jìn)行報警�����。為了能夠準(zhǔn)確及時地檢測出映射請求流量的突變點���,映射服務(wù)器使用CUSUM算法完成異常報警���。CUSUM算法是統(tǒng)計過程控制中常用的算法,該算法是對信息進(jìn)行累加�,將過程中的小偏移量累加起來,達(dá)到放大的效果�,以便提高檢測靈敏度。CUSUM算法在檢測均值的小偏移時比較有效���,而且根據(jù)點的傾斜程度的改變��,可以方便��、直觀地檢測到變化��。當(dāng)映射請求流量異常而產(chǎn)生報警時�����,映射服務(wù)器可以采取兩種方法進(jìn)一步遏制 DDoS攻擊���。方法一是映射服務(wù)器與所有ASR協(xié)作來遏制惡意的攻擊流量,即當(dāng)產(chǎn)生報警時�����, 映射服務(wù)器主動告知每個攻擊者所在的接入交換路由器ASR�,每個ASR可以采用速率限制 rate limiting或者是包過濾packet-filtering的方法來限制攻擊流量。同時���,可以采用數(shù)字簽名技術(shù)digital signature technique保障映射服務(wù)器與ASR交互的控制信息的真實性�。方法二是隨機響應(yīng)映射請求或者預(yù)定義門限來控制惡意的攻擊流量��,即針對即將到來的關(guān)于受害主機的映射請求�,映射服務(wù)器可以采用隨機響應(yīng)或預(yù)定義門限的方法來回
8答映射請求,也就是說�,映射服務(wù)器可以采用一個隨機規(guī)則或者是預(yù)定義門限的值來進(jìn)一步響應(yīng)即將到來的映射請求,當(dāng)映射請求的數(shù)量超過預(yù)定義門限時����,映射服務(wù)器將在一定的時間內(nèi)不在響應(yīng)任何關(guān)于受害主機的映射請求�����。這種方法可以降低攻擊者的數(shù)量���,從而間接降低到達(dá)受害主機的攻擊流量。在標(biāo)識分離映射網(wǎng)絡(luò)中����,每一個接入網(wǎng)中的ASR都擁有一個映射緩存來存儲通信對端暫時的映射信息,每一條映射信息都擁有一個存活時間值(Time-to-Live)����,即映射信息在映射緩存中的生命期,如果此條映射信息的計時器的計時時間超過其Time-to-Live 值��,則接入交換路由器將刪除此條映射信息����。這就存在一個問題當(dāng)大量攻擊者同時屬于同一個ASR時,會造成映射請求流量的降低����,從而有可能降低檢測的效率。為了解決這個問題,本發(fā)明提出了映射緩存門限機制每一個ASR實時記錄在一定時間內(nèi)使用同一條映射信息的用戶終端的數(shù)量�����,并將此數(shù)量主動匯報給映射服務(wù)器���,映射服務(wù)器統(tǒng)計映射請求的數(shù)量進(jìn)而檢測異常。本發(fā)明針對標(biāo)識分離映射網(wǎng)絡(luò)中存在的DDoS攻擊�����,提出了一種基于映射請求的檢測和響應(yīng)DDoS攻擊的方法����。本發(fā)明能夠監(jiān)測映射請求流量的變化,通過映射請求流量的報警來間接診斷DDoS攻擊的發(fā)生��,能夠在DDoS攻擊發(fā)生時進(jìn)行提前報警���,有效地保障了合法用戶或服務(wù)器的可用性���。本發(fā)明不用考慮網(wǎng)絡(luò)流量的復(fù)雜性與多維度性,由于映射請求流量的單一性與簡單性�,降低了檢測的誤報率,從而提高了 DDoS攻擊檢測的效率����。同時����,本發(fā)明能夠提供實時的響應(yīng)方法來控制和遏制DDoS攻擊流量����,防止DDoS攻擊的進(jìn)一步惡化, 提高了標(biāo)識分離映射網(wǎng)絡(luò)的安全性與可靠性���。
權(quán)利要求
1.一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法��,其特征在于�,該方法包括在標(biāo)識分離映射網(wǎng)絡(luò)中�,所有用戶終端的AID-to-RID映射條目都被分布式存儲和維護在映射服務(wù)器中,當(dāng)用戶終端之間通信時�����,首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系����,因此,在DDoS攻擊產(chǎn)生危害之前就可進(jìn)行報警;映射服務(wù)器實時監(jiān)測映射請求流量的變化來判斷和識別異常變化點���,識別和診斷映射請求流量的異常�����,以檢測標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊�����;當(dāng)判斷出映射請求流量的異常時,診斷和識別標(biāo)識分離映射網(wǎng)絡(luò)中的 DDoS攻擊�����,并且提前報警��;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報警時�����,映射服務(wù)器響應(yīng)DDoS攻擊�����,遏制異常的攻擊流量,防止DDoS攻擊的進(jìn)一步惡化�����,從而遏制攻擊流量進(jìn)一步威脅受害主機���。
2.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法�����,其特征在于�,映射服務(wù)器實時地產(chǎn)生報警��,映射服務(wù)器使用累積和CUSUM算法探尋異常映射請求流量的改變點���;異常點檢測算法還可以采用其他的基于統(tǒng)計過程的異常點檢測算法����,如小波分析法���。
3.如權(quán)利要求1或2所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法�����,其特征在于��, 當(dāng)映射請求流量異常而產(chǎn)生報警時����,映射服務(wù)器的響應(yīng)方法有方法一,通過映射服務(wù)器與攻擊源端的ASR協(xié)作來過濾掉惡意的攻擊流量���;或方法二����,映射服務(wù)器隨機地響應(yīng)映射請求�,以控制惡意的攻擊流量。
4.如權(quán)利要求1-3其中之一所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法�����,其特征在于�����,在每一個ASR中都存在一個映射緩存來暫時存儲通信對端的映射信息����,當(dāng)映射請求的數(shù)量超過預(yù)定義的門限時,ASR將映射請求的數(shù)量主動匯報給映射服務(wù)器�����,映射服務(wù)器用 CUSUM算法統(tǒng)計映射請求的數(shù)量以報警�。
5.如權(quán)利要求3所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于���,如果采用方法一�,當(dāng)產(chǎn)生報警時����,映射服務(wù)器主動告知每個攻擊者所在的接入交換路由器ASR, 每個ASR可以采用速率限制����、或者是包過濾的方法來限制攻擊流量,也可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實性���。
6.如權(quán)利要求3所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法��,其特征在于���,如果采用方法二�,針對即將到來的關(guān)于受害主機的映射請求�����,映射服務(wù)器可以采用一個隨機規(guī)則來進(jìn)一步響應(yīng)即將到來的映射請求��。
7.如權(quán)利要求1-6其中之一所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法��,其特征在于�,采用映射緩存門限機制,每一個ASR實時地記錄在一定時間內(nèi)使用同一條映射信息的用戶終端的數(shù)量��,并將此數(shù)量主動匯報給映射服務(wù)器���,映射服務(wù)器統(tǒng)計映射請求的數(shù)量進(jìn)而檢測異常���。
8.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于�,具體包括當(dāng)大量惡意攻擊者發(fā)起DDoS攻擊時����,攻擊者首先將攻擊數(shù)據(jù)包發(fā)送至其所屬的接入交換路由器;當(dāng)這些接入交換路由器收到攻擊者的惡意數(shù)據(jù)包時���,每個接入交換路由器將向映射服務(wù)器發(fā)送映射請求�,查詢受害者的AID-to-RID映射信息;當(dāng)映射服務(wù)器收到這些查詢受害者映射關(guān)系的映射請求時����,映射服務(wù)器通過CUSUM算法檢測映射請求流量的異常突變點;若發(fā)現(xiàn)映射請求流量的異常突變點��,則產(chǎn)生報警�����;否則�,映射服務(wù)器正常回答接入交換路由器的映射請求��;當(dāng)映射服務(wù)器產(chǎn)生報警后��,可以選擇兩種方法來控制或遏制DDoS 攻擊的惡意流量方法一��,映射服務(wù)器告知每個攻擊者所屬的接入交換路由器限制攻擊流量��;或方法二�,映射服務(wù)器隨機響應(yīng)即將到來的映射請求;倘若映射服務(wù)器選取方法一���,當(dāng)攻擊者的ASR收到映射服務(wù)器的通知后���,攻擊者的ASR可以采用速率限制rate limiting 或者是包過濾packet-filtering的方法來限制攻擊流量�;倘若映射服務(wù)器選取方法二�����,部分攻擊者的ASR會收到映射服務(wù)器的映射請求響應(yīng)����,這些攻擊者的ASR將不采取任何措施, 正常轉(zhuǎn)發(fā)攻擊者的數(shù)據(jù)包�。
9.如權(quán)利要求1或8所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法,其特征在于��, 當(dāng)映射請求流量異常而產(chǎn)生報警時���,映射服務(wù)器可以采取兩種方法進(jìn)一步遏制DDoS攻擊��; 方法一��,當(dāng)產(chǎn)生報警時����,映射服務(wù)器主動告知每個攻擊者所在的接入交換路由器ASR����,每個 ASR可以采用速率限制或者是包過濾的方法來限制攻擊流量;同時����,可以采用數(shù)字簽名技術(shù)保障映射服務(wù)器與ASR交互的控制信息的真實性;方法二���,映射服務(wù)器可以采用一個隨機規(guī)則來進(jìn)一步響應(yīng)即將到來的映射請求��。
10.如權(quán)利要求1所述的基于映射請求的DDoS攻擊檢測和響應(yīng)方法����,其特征在于����, 當(dāng)大量攻擊者屬于同一個ASR向受害者發(fā)起DDoS攻擊時,可以采用映射請求門限機制從 ASR的映射緩存中解耦出映射請求流量�,當(dāng)受害者的AID-to-RID映射信息條目在接入交換路由器映射緩存中是處于活躍狀態(tài)時,即此條映射信息的計時器的計時時間沒有超過其 Time-to-Live值���,ASR將要在一定時間內(nèi)記錄最近使用這條映射信息的主機數(shù)量���,倘若此數(shù)量超過了預(yù)先定義的映射請求門限值���,則ASR將這個數(shù)量告知映射服務(wù)器。映射請求門限機制可以用公式表示為其中�����,d(yn)代表在指定的時間周期內(nèi)ASR發(fā)送到映射服務(wù)器的映射請求數(shù)量����;yn代表在第η個時間周期內(nèi)ASR記錄的最近使用這條映射信息的主機數(shù)量;m是根據(jù)實際經(jīng)驗預(yù)設(shè)定的映射請求門限值���。
全文摘要
一種基于映射請求的DDoS攻擊檢測和響應(yīng)方法�,當(dāng)用戶終端之間通信時�,首先發(fā)送映射請求以獲得通信對方的AID-to-RID的映射關(guān)系;映射服務(wù)器實時監(jiān)測映射請求流量的變化來判斷和識別異常變化點���,識別和診斷映射請求流量的異常���,以檢測標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊;當(dāng)判斷出映射請求流量的異常時,診斷和識別標(biāo)識分離映射網(wǎng)絡(luò)中的DDoS攻擊���,并且提前報警;當(dāng)映射服務(wù)器為一條AID-to-RID映射條目產(chǎn)生報警時�����,映射服務(wù)器響應(yīng)DDoS攻擊����,遏制異常的攻擊流量,防止DDoS攻擊的進(jìn)一步惡化�,從而遏制攻擊流量進(jìn)一步威脅受害主機。本發(fā)明可以檢測和防范DDoS攻擊����,提高標(biāo)識分離映射網(wǎng)絡(luò)的安全性與可靠性。
文檔編號H04L12/26GK102447707SQ20111045601
公開日2012年5月9日 申請日期2011年12月30日 優(yōu)先權(quán)日2011年12月30日
發(fā)明者萬明, 劉穎, 周華春, 唐建強, 張宏科 申請人:北京交通大學(xué)