技術(shù)領(lǐng)域

本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)中的泛洪拒絕服務(wù)攻擊防御方法，特別涉及一種基于網(wǎng)絡(luò)流量的泛洪拒絕服務(wù)攻擊防御方法。

背景技術(shù)

拒絕服務(wù)(Denial-of-Service，簡(jiǎn)稱DoS)攻擊已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)所面臨的最嚴(yán)重的威脅。DoS的攻擊方式有很多種，既可以采用暴力淹沒方式耗盡系統(tǒng)資源，也可以采取欺騙手段，人為構(gòu)造畸形或錯(cuò)誤的數(shù)據(jù)包來觸發(fā)服務(wù)器錯(cuò)誤響應(yīng)，導(dǎo)致其死機(jī)或崩潰。其中最為主要的、發(fā)生最多的一種攻擊方式即泛洪DoS攻擊(Flooding-based?DoS?Attack，簡(jiǎn)稱泛洪攻擊/flooding?attack)。泛洪攻擊不是依靠畸形數(shù)據(jù)包，它是依靠占用大量帶寬的數(shù)據(jù)包來達(dá)到攻擊的目的。泛洪拒絕服務(wù)攻擊由于發(fā)起攻擊簡(jiǎn)單、攻擊效果好，已經(jīng)成為目前最流行的拒絕服務(wù)攻擊形式目前，針對(duì)拒絕服務(wù)攻擊的防御技術(shù)要么集中于攻擊檢測(cè)，要么集中于真實(shí)攻擊源的追蹤，且多采用被動(dòng)防御的方式。

對(duì)于泛洪拒絕服務(wù)攻擊來講，由于其攻擊效果完全依賴于攻擊數(shù)據(jù)包的數(shù)量，僅當(dāng)大量的攻擊數(shù)據(jù)包傳到目標(biāo)(受害者)時(shí)，攻擊方才有效。因此，若在受害者處觀測(cè)網(wǎng)絡(luò)流量的變化，當(dāng)泛洪攻擊流量到達(dá)時(shí)，其一定會(huì)表現(xiàn)出超出正常流量的異常特征。因而對(duì)于泛洪攻擊的檢測(cè)不應(yīng)只使用傳統(tǒng)的入侵檢測(cè)技術(shù)，而應(yīng)采用基于流量測(cè)量與統(tǒng)計(jì)的泛洪攻擊檢測(cè)算法。

其次，如果能夠追蹤到攻擊者，則攻擊事件的影響會(huì)減少許多，并且便于追究攻擊者的責(zé)任，同時(shí)也達(dá)到威懾的效果。然而，泛洪攻擊中攻擊包的源地址常常是經(jīng)過偽造的虛假地址，難以從收到的攻擊包中直接獲取攻擊者的真實(shí)地址。因此，為了防御攻擊首先需要追蹤到真正的攻擊者。但是泛洪攻擊主要采用分布式攻擊方式，利用傀儡主機(jī)進(jìn)行攻擊，人們很難追查到真正的攻擊者。因此，防御攻擊的另一個(gè)重要工作就是要追蹤到攻擊數(shù)據(jù)包的源頭。然而目前所用到的攻擊源追蹤方法多是基于IP數(shù)據(jù)包標(biāo)記的，追蹤過程復(fù)雜，計(jì)算時(shí)間長，誤報(bào)率大。若能采用基于流量拋棄的追蹤算法，則能快速有效地追蹤到攻擊源。

最后，對(duì)于已經(jīng)發(fā)現(xiàn)的攻擊，不應(yīng)該被動(dòng)防御，應(yīng)采取主動(dòng)進(jìn)攻的姿態(tài)，將攻擊流量進(jìn)行限流或者屏蔽，進(jìn)而追蹤到攻擊源并將其扼殺，才能從根本上解決泛洪拒絕服務(wù)攻擊的威脅，將損失減到最小。由此可見，目前缺乏一種能將攻擊檢測(cè)、追蹤以及主動(dòng)防御相結(jié)合的攻擊防御方法。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺點(diǎn)，提供一種全面高效的基于網(wǎng)絡(luò)流量的泛洪拒絕服務(wù)攻擊防御方法防御方法。

為達(dá)到上述目的，本發(fā)明采用的技術(shù)方案是：

1)首先由攻擊檢測(cè)模塊統(tǒng)計(jì)所采集的流量信息，并根據(jù)攻擊檢測(cè)算法判定該主機(jī)是否受到攻擊，一旦受到攻擊則向協(xié)同模塊報(bào)警，并觸發(fā)追蹤模塊定位攻擊源；

2)位于離受害主機(jī)最近路由器上的追蹤模塊，利用追蹤算法確定出轉(zhuǎn)發(fā)攻擊流量的上游路由器，同時(shí)屏蔽來自該路由器的所有流量，并向協(xié)同模塊報(bào)告該步追蹤結(jié)果；

3)協(xié)同模塊指示上游轉(zhuǎn)發(fā)攻擊流量的路由器繼續(xù)步驟2)，直至追蹤到攻擊源頭路由器，協(xié)同模塊將記錄整個(gè)過程中追蹤到的每個(gè)攻擊路徑上的路由器，并將其放入等待恢復(fù)隊(duì)列，待追蹤過程結(jié)束后，協(xié)同模塊將重構(gòu)出所有的攻擊路徑和攻擊源；

4)追蹤過程結(jié)束后，協(xié)同模塊啟動(dòng)流量恢復(fù)過程，即對(duì)等待恢復(fù)隊(duì)列中的每個(gè)路由器逐個(gè)進(jìn)行以下操作：

a)指示追蹤模塊撤銷該路由器上的屏蔽，恢復(fù)所有流量的轉(zhuǎn)發(fā)；

b)啟動(dòng)攻擊檢測(cè)模塊重新工作，若檢測(cè)到攻擊說明該路由器仍在轉(zhuǎn)發(fā)攻擊流量，再次指示追蹤模塊屏蔽該路由器，并將其重入等待恢復(fù)隊(duì)列；若沒有檢測(cè)到攻擊則該路由器已無危害，對(duì)等待恢復(fù)隊(duì)列的下一個(gè)路由器重復(fù)步驟a)直到隊(duì)列為空。

本發(fā)明的攻擊檢測(cè)算法采用短期流量預(yù)測(cè)檢測(cè)算法，依據(jù)發(fā)生泛洪拒絕服務(wù)攻擊后，受害主機(jī)收到的數(shù)據(jù)包會(huì)在原來的基礎(chǔ)上發(fā)生一個(gè)跳變，疊加一個(gè)較高的平臺(tái)，并波動(dòng)很小的特點(diǎn)，結(jié)合短期流量預(yù)測(cè)對(duì)于平穩(wěn)流量的預(yù)測(cè)誤差較小的特點(diǎn)，根據(jù)預(yù)測(cè)誤差來判斷是否發(fā)生攻擊，即流量正常時(shí)預(yù)測(cè)誤差較大，而發(fā)生泛洪拒絕服務(wù)攻擊時(shí)，預(yù)測(cè)誤差則明顯減小，對(duì)收到的數(shù)據(jù)包數(shù)構(gòu)成的時(shí)間序列進(jìn)行分析，如果預(yù)測(cè)誤差發(fā)生明顯減小的情況，即判定攻擊的發(fā)生。

本發(fā)明的追蹤算法采用的是基于流量拋棄的追蹤算法，算法描述如下：

設(shè)路由器R的所有輸入節(jié)點(diǎn)的流量為：T₁......T_n；