本發(fā)明涉及一種網(wǎng)絡(luò)攻擊防御方法，尤其是涉及一種基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法。

背景技術(shù)：

分布式拒絕服務(wù)攻擊是一種由拒絕服務(wù)攻擊衍生出的攻擊技術(shù)。攻擊者借助大量受控主機(jī)向目標(biāo)發(fā)起攻擊，將拒絕服務(wù)攻擊的一對(duì)一攻擊方式擴(kuò)展為多對(duì)一，因此危害更大且更難防范。傳統(tǒng)網(wǎng)絡(luò)中DDoS攻擊難以消除的根源在其設(shè)計(jì)缺陷：網(wǎng)絡(luò)設(shè)計(jì)的初衷是保證端到端的通信，關(guān)注的是通過發(fā)送端和接收端來實(shí)現(xiàn)QoS(Quality of Service)、穩(wěn)定傳輸、安全保證等，導(dǎo)致網(wǎng)絡(luò)兩端很復(fù)雜，而網(wǎng)絡(luò)本身相對(duì)簡單，僅僅負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)。因此，網(wǎng)絡(luò)兩端的任何一端出現(xiàn)惡意行為，都會(huì)給對(duì)方造成損害，網(wǎng)絡(luò)本身不具備流量管理的任務(wù)和能力。具體表現(xiàn)在以下四個(gè)方面：

(1)網(wǎng)絡(luò)安全高度依賴性。網(wǎng)絡(luò)中網(wǎng)元之間安全性高度依賴，因此即使提升受害者系統(tǒng)，但是由于網(wǎng)絡(luò)中仍然存在其它脆弱節(jié)點(diǎn)，DDoS攻擊仍然能夠成功。解決這個(gè)問題，需要建立全網(wǎng)的安全體系，消除“木桶短板”。

(2)網(wǎng)絡(luò)資源的有限性。網(wǎng)絡(luò)中的實(shí)體，如主機(jī)、服務(wù)器、帶寬等資源均有上限，這也為DDoS攻擊提供了攻擊基礎(chǔ)。

(3)信息和資源的不對(duì)等性。傳統(tǒng)網(wǎng)絡(luò)中僅在端節(jié)點(diǎn)存儲(chǔ)網(wǎng)絡(luò)的信息、服務(wù)等資源，網(wǎng)絡(luò)本身所獲取的信息有限，如局部拓?fù)涞取Ｔ谶@種資源不對(duì)等的情形下，攻擊者可以在網(wǎng)絡(luò)“非感知”的前提下，對(duì)端節(jié)點(diǎn)發(fā)送惡意數(shù)據(jù)包。

(4)責(zé)任無法定性。如IP Spoofing攻擊使得攻擊者可以歪曲攻擊行為，無法對(duì)該類行為定性，類似的也有反射攻擊，如smurf等。

(4)管理的分散性。傳統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu)、需求等差異使得網(wǎng)絡(luò)采用分布式管理的方法管控整個(gè)網(wǎng)絡(luò)，網(wǎng)絡(luò)的行為均受限于局部網(wǎng)絡(luò)策略，管理分散，無法實(shí)現(xiàn)有效的防御。

基于以上四個(gè)方面的缺陷，研究人員做了多方面的努力以解決分布式拒絕服務(wù)攻擊的難題，先后提出不同的防御方法。主要可以分為流量過濾、能力管控、負(fù)載遷移三種類型。

基于流量過濾的防御方法在網(wǎng)絡(luò)中布置大量的過濾器，通過流量過濾阻塞的方式對(duì)抗攻擊行為。但是該方法是在假設(shè)攻擊流量與正常流量有明顯的區(qū)別前提下實(shí)現(xiàn)的，在當(dāng)前普遍利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)分布式拒絕服務(wù)攻擊的環(huán)境下已經(jīng)不再適用。

基于能力管控的防御方法改進(jìn)上述流量過濾的被動(dòng)性，要求發(fā)送方在發(fā)送數(shù)據(jù)之前需要獲取接收者的許可，并且不同的發(fā)送方會(huì)被接收者賦予不同的優(yōu)先級(jí)。這種通過限制接收方訪問資源的方法是一種主動(dòng)防御的方法，但是該方法一方面面臨許可偽造的難題，另一方面依賴于網(wǎng)絡(luò)中路由器的處理能力，受限于底層物理設(shè)施的性能。

為突破物理設(shè)施的限制，安全人員使用第三方安全轉(zhuǎn)發(fā)網(wǎng)絡(luò)，如Tor和SDN，完成流量檢測、過濾以及重定向功能，同時(shí)引入冗余服務(wù)器降低攻擊負(fù)載。該方法的核心是通過負(fù)載遷移來降低攻擊的影響，但是面臨更大流量的攻擊時(shí)，負(fù)載遷移能力會(huì)出現(xiàn)瓶頸。

上述流量過濾面臨誤報(bào)和漏報(bào)不穩(wěn)定的難題，能力管控也僅僅是將攻擊目標(biāo)遷移到認(rèn)證服務(wù)器上，并未正面解決分布式拒絕服務(wù)攻擊的問題，而負(fù)載遷移存在流量瓶頸。此外，上述方法均未改變防御的靜態(tài)性，對(duì)攻擊者而言，靜態(tài)的防御方法總是可突破或者可繞過的。

為解決上述靜態(tài)防御的缺陷，研究人員提出了隱藏中間層的防御方法，通過在攻擊者和目標(biāo)之間部署可動(dòng)態(tài)變化的隱藏層來轉(zhuǎn)發(fā)攻擊流。Wang提出了一種隱藏代理的方法對(duì)抗分布式拒絕服務(wù)攻擊。但是由于隱藏代理的IP地址是固定的，攻擊者可以通過刺探等方法獲取隱藏代理的地址，使得防御方法失效。并且隱藏層的方法需要對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行第三方升級(jí)，開銷成本較大。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明克服了現(xiàn)有技術(shù)中，分布式拒絕服務(wù)攻擊攻擊者隔離能力的不足的問題，提供一種利用軟件定義網(wǎng)絡(luò)網(wǎng)絡(luò)集中控制和動(dòng)態(tài)管理的特性構(gòu)建OpenFlow交換機(jī)輪換模型的基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法。

本發(fā)明的技術(shù)解決方案是，提供一種具有以下步驟的基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法：包括下述步驟：

步驟1)代理層交換機(jī)接收到網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)流量是否產(chǎn)生異常；

步驟2)如果產(chǎn)生未產(chǎn)生異常，則根據(jù)數(shù)據(jù)包頭部中的下一條地址由隱藏層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)；如果流量產(chǎn)生異常，則執(zhí)行“步驟3)”；

步驟3)代理層交換機(jī)啟動(dòng)交換機(jī)輪換引擎，將所有網(wǎng)絡(luò)流量導(dǎo)入交換機(jī)輪換引擎處理；

步驟4)交換機(jī)輪換引擎根據(jù)“用戶-交換機(jī)”連接情況進(jìn)行攻擊者數(shù)目似然估計(jì)；

步驟5)交換機(jī)輪換引擎通過交換機(jī)輪換過程進(jìn)行攻擊者篩選；

步驟6)如果攻擊者已被完全篩選隔離出，則輪換過程結(jié)束；如果未被完全篩選出，則繼續(xù)執(zhí)行“步驟5)”，直至攻擊者完全被篩選隔離出。

所述步驟1)中，代理層交換機(jī)負(fù)責(zé)網(wǎng)絡(luò)攻擊流量檢測和交換機(jī)輪換過程的執(zhí)行，改造開源OpenFlow交換機(jī)完成代理交換機(jī)功能；通過在代理交換機(jī)上部署流量檢測器來檢測瞬時(shí)流量的變化，如果瞬時(shí)流量變化超過預(yù)設(shè)的值，則認(rèn)為網(wǎng)絡(luò)流量產(chǎn)生了異常。

所述步驟2)中，隱藏層交換機(jī)負(fù)責(zé)合法數(shù)據(jù)包的轉(zhuǎn)發(fā)，隱藏層交換機(jī)的IP地址是非公開的，防止攻擊者將攻擊流定向發(fā)送到該交換機(jī)中；隱藏層交換機(jī)為傳統(tǒng)網(wǎng)絡(luò)或者SDN網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的路由器或者交換機(jī)。

所述步驟3)中，交換機(jī)輪換引擎由步驟1)中的代理層交換機(jī)組成的交換機(jī)池，由SDN控制器根據(jù)輪換算法負(fù)責(zé)調(diào)度。

所述步驟4)中，攻擊者似然估計(jì)是理論估計(jì)值，攻擊者數(shù)目似然估計(jì)是根據(jù)公式完成的，其中N_sum為當(dāng)前網(wǎng)絡(luò)中的所有用戶數(shù)，N_A為攻擊者總數(shù)，S為代理層交換機(jī)總數(shù)，S_j為交換機(jī)j負(fù)責(zé)轉(zhuǎn)發(fā)的用戶數(shù)，假設(shè)所有代理層交換機(jī)中未被攻擊的交換機(jī)數(shù)目為X，在攻擊產(chǎn)生時(shí)，X＝m，在一次具體的攻擊中，X的值通過代理交換機(jī)中部署的流量檢測器得知。

所述步驟5)中，交換機(jī)輪換過程調(diào)用的輪換算法是優(yōu)化后的貪心輪換算法，其子過程的時(shí)間復(fù)雜度為常數(shù)；交換機(jī)輪換引擎通過交換機(jī)輪換過程，調(diào)用交換機(jī)輪換算法完成攻擊者的篩選隔離。

與現(xiàn)有技術(shù)相比，本發(fā)明基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法具有以下優(yōu)點(diǎn)：1、提出一種基于交換機(jī)輪換的動(dòng)態(tài)防御方法，利用軟件定義網(wǎng)絡(luò)網(wǎng)絡(luò)集中控制和動(dòng)態(tài)管理的特性構(gòu)建OpenFlow交換機(jī)輪換模型，使用貪心算法實(shí)現(xiàn)“用戶-交換機(jī)”連接的動(dòng)態(tài)映射，通過多輪輪換隔離出攻擊者，同時(shí)對(duì)合法用戶提供低延遲不間斷服務(wù)。

2、本發(fā)明提出一種OpenFlow交換機(jī)的輪換模型，可以實(shí)現(xiàn)分布式拒絕服務(wù)攻擊的防御和定位，可以解決當(dāng)前方法存在的如下兩點(diǎn)不足：(1)當(dāng)前針對(duì)DDoS的防御方法中，普遍采用靜態(tài)過濾、配置等方法，一方面負(fù)載過高，另一方面靈活性較差，面對(duì)新型的分布式拒絕服務(wù)攻擊往往需要全網(wǎng)絡(luò)和基礎(chǔ)硬件的升級(jí)；(2)當(dāng)前的基于包逆向的攻擊定位方法無法在防御過程中實(shí)現(xiàn)攻擊者的定位，并且面臨采用僵尸網(wǎng)絡(luò)發(fā)動(dòng)的攻擊時(shí)，定位效率太低。

3、本發(fā)明基于軟件定義網(wǎng)絡(luò)集中控制和動(dòng)態(tài)管理的特性提出一種服務(wù)不間斷的分布式拒絕服務(wù)攻擊防御方法。當(dāng)前的防御方法在對(duì)抗攻擊時(shí)往往對(duì)合法訪問造成影響，延遲訪問者的網(wǎng)絡(luò)訪問時(shí)間，甚至導(dǎo)致服務(wù)器重啟直接斷掉所有訪問者的訪問。本發(fā)明使用控制器控制交換機(jī)輪換提供服務(wù)，可以實(shí)現(xiàn)在被攻擊環(huán)境下對(duì)從攻擊流中分離出的合法訪問者繼續(xù)提供服務(wù)。

附圖說明

圖1是本發(fā)明基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法的流程圖；

圖2是本發(fā)明基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法中交換機(jī)輪換引擎工作過程示意圖；

圖3是本發(fā)明基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法的交換機(jī)輪換模型示意圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法作進(jìn)一步說明：包括下述步驟：

步驟1)代理層交換機(jī)接收到網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)流量是否產(chǎn)生異常；

步驟2)如果產(chǎn)生未產(chǎn)生異常，則根據(jù)數(shù)據(jù)包頭部中的下一條地址由隱藏層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)；如果流量產(chǎn)生異常，則執(zhí)行“步驟3)”；

步驟3)代理層交換機(jī)啟動(dòng)交換機(jī)輪換引擎，將所有網(wǎng)絡(luò)流量導(dǎo)入交換機(jī)輪換引擎處理；

步驟4)交換機(jī)輪換引擎根據(jù)“用戶-交換機(jī)”連接情況進(jìn)行攻擊者數(shù)目似然估計(jì)；

步驟5)交換機(jī)輪換引擎通過交換機(jī)輪換過程進(jìn)行攻擊者篩選；

步驟6)如果攻擊者已被完全篩選隔離出，則輪換過程結(jié)束；如果未被完全篩選出，則繼續(xù)執(zhí)行“步驟5)”，直至攻擊者完全被篩選隔離出。

所述步驟1)中，代理層交換機(jī)負(fù)責(zé)網(wǎng)絡(luò)攻擊流量檢測和交換機(jī)輪換過程的執(zhí)行，改造開源OpenFlow交換機(jī)完成代理交換機(jī)功能；通過在代理交換機(jī)上部署流量檢測器來檢測瞬時(shí)流量的變化，如果瞬時(shí)流量變化超過預(yù)設(shè)的值，則認(rèn)為網(wǎng)絡(luò)流量產(chǎn)生了異常。

所述步驟2)中，隱藏層交換機(jī)負(fù)責(zé)合法數(shù)據(jù)包的轉(zhuǎn)發(fā)，隱藏層交換機(jī)的IP地址是非公開的，防止攻擊者將攻擊流定向發(fā)送到該交換機(jī)中；隱藏層交換機(jī)為傳統(tǒng)網(wǎng)絡(luò)或者SDN網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的路由器或者交換機(jī)。

其中所有與代理層交換機(jī)相連接的用戶均為攻擊者，不存在合法流量，如果所有用戶均被隔離，則可通過該實(shí)施例評(píng)估本發(fā)明隔離攻擊者的能力。

所述步驟3)中，交換機(jī)輪換引擎由步驟1)中的代理層交換機(jī)組成的交換機(jī)池，由SDN控制器根據(jù)輪換算法負(fù)責(zé)調(diào)度。

所述步驟4)中，攻擊者似然估計(jì)是理論估計(jì)值，攻擊者數(shù)目似然估計(jì)是根據(jù)公式完成的，其中N_sum為當(dāng)前網(wǎng)絡(luò)中的所有用戶數(shù)，N_A為攻擊者總數(shù)，S為代理層交換機(jī)總數(shù)，S_j為交換機(jī)j負(fù)責(zé)轉(zhuǎn)發(fā)的用戶數(shù)，假設(shè)所有代理層交換機(jī)中未被攻擊的交換機(jī)數(shù)目為X，在攻擊產(chǎn)生時(shí)，X＝m，在一次具體的攻擊中，X的值通過代理交換機(jī)中部署的流量檢測器得知。

所述步驟5)中，交換機(jī)輪換過程調(diào)用的輪換算法是優(yōu)化后的貪心輪換算法，并未對(duì)算法復(fù)雜度等進(jìn)行優(yōu)化。其子過程的時(shí)間復(fù)雜度為常數(shù)；交換機(jī)輪換引擎通過交換機(jī)輪換過程，調(diào)用交換機(jī)輪換算法完成攻擊者的篩選隔離。

本發(fā)明中對(duì)基于貪心算法的輪換引擎進(jìn)行優(yōu)化，將時(shí)間復(fù)雜度由倍數(shù)級(jí)將為常數(shù)級(jí)。

參見圖1～圖2。所述的基于交換機(jī)輪換的分布式拒絕服務(wù)攻擊防御方法，包括：

步驟一：當(dāng)代理層交換機(jī)中流量吞吐率檢測器檢測到吞吐率超過預(yù)設(shè)的閾值時(shí)，產(chǎn)生網(wǎng)絡(luò)流量異常的報(bào)警信息；

步驟二：在產(chǎn)生異常的代理層交換機(jī)中執(zhí)行相關(guān)腳本代碼，啟動(dòng)交換機(jī)輪換引擎，由輪換引擎篩選隔離出攻擊者；

步驟三：查看代理層交換機(jī)是否有仍處于被攻擊狀態(tài)的，如果沒有則認(rèn)定攻擊者隔離完成，將攻擊流重定向到特定目的地址或者丟棄，降低攻擊對(duì)網(wǎng)絡(luò)的影響。

下面詳細(xì)說明步驟一、步驟二、步驟三所包含的相關(guān)內(nèi)容：

(一)步驟一：

代理層交換機(jī)檢測網(wǎng)絡(luò)流量異?？梢酝ㄟ^在代理交換機(jī)上部署流量檢測器完成，檢測瞬時(shí)流量的變化，如果瞬時(shí)流量變化超過預(yù)設(shè)的值，則認(rèn)為網(wǎng)絡(luò)流量產(chǎn)生了異常。

(二)步驟二：

1)交換機(jī)輪換模型

圖3所示為交換機(jī)輪換模型圖，圖中7個(gè)用戶(User-1至User-7，User-3和User5是潛藏的攻擊者)分別通過3個(gè)代理交換機(jī)(S1，S2，S3)完成數(shù)據(jù)轉(zhuǎn)發(fā)，其中，User-1,2,3由S1轉(zhuǎn)發(fā)，User-4,5由S2轉(zhuǎn)發(fā)，User-6,7由S3轉(zhuǎn)發(fā)。攻擊產(chǎn)生時(shí)S1和S2處于被攻擊狀態(tài)，控制器啟用輪換算法調(diào)度其它代理交換機(jī)為User-1,2,3,4,5提供服務(wù)，進(jìn)入第一輪輪換，User-1,3,5由S4轉(zhuǎn)發(fā)，User-2,4由S5負(fù)責(zé)轉(zhuǎn)發(fā)。此時(shí)由于S5連接User-2,4，并且S5未處于被攻擊狀態(tài)，因此可以判定User-2,4不是攻擊者，S4仍然處于被攻擊狀態(tài)，因此User-1,3,5均有可能是攻擊者。經(jīng)過下一輪的輪換，User-2,5即可被識(shí)別處理。

2)基于貪心算法的交換機(jī)輪換算法

N_sum為當(dāng)前SDN網(wǎng)絡(luò)中的所有用戶數(shù)，N_A為攻擊者總數(shù)，N_su為攻擊發(fā)生時(shí)可疑用戶數(shù)目，N_sa為一輪洗牌后，被識(shí)別為合法用戶(saved)的用戶數(shù)，N_us為一輪洗牌后仍可疑的用戶數(shù)。可得如下兩個(gè)等式：N_sum＝N_A+N_su和N_su＝N_sa+N_us。目標(biāo)函數(shù)為E(N_sa)表示每輪洗牌中被識(shí)別為合法用戶的數(shù)目的期望值，能使E(N_sa)最大，并且時(shí)間復(fù)雜度較低的算法即為所求。圖3為使用貪心算法實(shí)現(xiàn)的交換機(jī)輪換算法，算法GreedyShuffle是一個(gè)遞歸算法，調(diào)用MaxSwitch()函數(shù)得到滿足公式的分配方案，k表示一個(gè)代理層交換機(jī)連接的用戶數(shù)目，proxyAssign表示按照k值進(jìn)行分配時(shí)需要的代理層交換機(jī)的數(shù)目，proxRem,userRem,attackRem均表示剩余的代理層交換機(jī)數(shù)目。

3)交換機(jī)輪換算法優(yōu)化

算法GreedyShuffle是一個(gè)遞歸算法，并且容易得到其時(shí)間復(fù)雜度Θ(N_sum·N_A)，當(dāng)N_sum和N_A較大時(shí)，復(fù)雜度太高，計(jì)算量太大。對(duì)此，本文使用Stirling近似等式在N_A＜＜N_sum時(shí)，可得引入變量x，并使得則對(duì)該式求導(dǎo)可知當(dāng)x＝1時(shí)，導(dǎo)數(shù)為0，E(S_j)取最大值。綜上可知因此算法1的MaxSwitch函數(shù)中的循環(huán)可以省去，該函數(shù)復(fù)雜度將為1，算法1的時(shí)間復(fù)雜度降低為Θ(N_A)。

步驟三：

步驟三的主要任務(wù)是判斷攻擊者隔離是否完全，一方面可以通過代理交換機(jī)的檢測情況來判定，另一方面可以根據(jù)攻擊者最大似然估計(jì)模型來判定。

本發(fā)明使用最大似然估計(jì)對(duì)攻擊者的數(shù)目進(jìn)行預(yù)估計(jì)。假設(shè)所有代理層交換機(jī)中未被攻擊的交換機(jī)數(shù)目為X，在攻擊產(chǎn)生時(shí)，X＝m，在一次具體的攻擊中，X的值是可知的(通過交換機(jī)中部署的流量檢測器可以得知該交換機(jī)是否被攻擊)?？芍?/p>

使用集合U＝{u₁,u₂,...,u_m}表示未被攻擊的代理層交換機(jī)，則表示所有未被攻擊的代理層交換機(jī)的總和，表示攻擊者的數(shù)目，可以得到如下等式：

根據(jù)上述兩個(gè)公式即可推導(dǎo)出N_A的理論值，在步驟三的判斷中根據(jù)此理論值即可判定攻擊者是否被隔離完全。