[发明专利]一种基于网络流量的泛洪拒绝服务攻击防御方法

说明书

技术领域

本发明涉及一种计算机网络中的泛洪拒绝服务攻击防御方法，特别涉及一种基于网络流量的泛洪拒绝服务攻击防御方法。

背景技术

拒绝服务(Denial-of-Service，简称DoS)攻击已经成为当今互联网所面临的最严重的威胁。DoS的攻击方式有很多种，既可以采用暴力淹没方式耗尽系统资源，也可以采取欺骗手段，人为构造畸形或错误的数据包来触发服务器错误响应，导致其死机或崩溃。其中最为主要的、发生最多的一种攻击方式即泛洪DoS攻击(Flooding-based DoS Attack，简称泛洪攻击/flooding attack)。泛洪攻击不是依靠畸形数据包，它是依靠占用大量带宽的数据包来达到攻击的目的。泛洪拒绝服务攻击由于发起攻击简单、攻击效果好，已经成为目前最流行的拒绝服务攻击形式目前，针对拒绝服务攻击的防御技术要么集中于攻击检测，要么集中于真实攻击源的追踪，且多采用被动防御的方式。

对于泛洪拒绝服务攻击来讲，由于其攻击效果完全依赖于攻击数据包的数量，仅当大量的攻击数据包传到目标(受害者)时，攻击方才有效。因此，若在受害者处观测网络流量的变化，当泛洪攻击流量到达时，其一定会表现出超出正常流量的异常特征。因而对于泛洪攻击的检测不应只使用传统的入侵检测技术，而应采用基于流量测量与统计的泛洪攻击检测算法。

其次，如果能够追踪到攻击者，则攻击事件的影响会减少许多，并且便于追究攻击者的责任，同时也达到威慑的效果。然而，泛洪攻击中攻击包的源地址常常是经过伪造的虚假地址，难以从收到的攻击包中直接获取攻击者的真实地址。因此，为了防御攻击首先需要追踪到真正的攻击者。但是泛洪攻击主要采用分布式攻击方式，利用傀儡主机进行攻击，人们很难追查到真正的攻击者。因此，防御攻击的另一个重要工作就是要追踪到攻击数据包的源头。然而目前所用到的攻击源追踪方法多是基于IP数据包标记的，追踪过程复杂，计算时间长，误报率大。若能采用基于流量抛弃的追踪算法，则能快速有效地追踪到攻击源。

最后，对于已经发现的攻击，不应该被动防御，应采取主动进攻的姿态，将攻击流量进行限流或者屏蔽，进而追踪到攻击源并将其扼杀，才能从根本上解决泛洪拒绝服务攻击的威胁，将损失减到最小。由此可见，目前缺乏一种能将攻击检测、追踪以及主动防御相结合的攻击防御方法。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供一种全面高效的基于网络流量的泛洪拒绝服务攻击防御方法防御方法。

为达到上述目的，本发明采用的技术方案是：

1)首先由攻击检测模块统计所采集的流量信息，并根据攻击检测算法判定该主机是否受到攻击，一旦受到攻击则向协同模块报警，并触发追踪模块定位攻击源；

2)位于离受害主机最近路由器上的追踪模块，利用追踪算法确定出转发攻击流量的上游路由器，同时屏蔽来自该路由器的所有流量，并向协同模块报告该步追踪结果；

3)协同模块指示上游转发攻击流量的路由器继续步骤2)，直至追踪到攻击源头路由器，协同模块将记录整个过程中追踪到的每个攻击路径上的路由器，并将其放入等待恢复队列，待追踪过程结束后，协同模块将重构出所有的攻击路径和攻击源；

4)追踪过程结束后，协同模块启动流量恢复过程，即对等待恢复队列中的每个路由器逐个进行以下操作：

a)指示追踪模块撤销该路由器上的屏蔽，恢复所有流量的转发；

b)启动攻击检测模块重新工作，若检测到攻击说明该路由器仍在转发攻击流量，再次指示追踪模块屏蔽该路由器，并将其重入等待恢复队列；若没有检测到攻击则该路由器已无危害，对等待恢复队列的下一个路由器重复步骤a)直到队列为空。

本发明的攻击检测算法采用短期流量预测检测算法，依据发生泛洪拒绝服务攻击后，受害主机收到的数据包会在原来的基础上发生一个跳变，叠加一个较高的平台，并波动很小的特点，结合短期流量预测对于平稳流量的预测误差较小的特点，根据预测误差来判断是否发生攻击，即流量正常时预测误差较大，而发生泛洪拒绝服务攻击时，预测误差则明显减小，对收到的数据包数构成的时间序列进行分析，如果预测误差发生明显减小的情况，即判定攻击的发生。

本发明的追踪算法采用的是基于流量抛弃的追踪算法，算法描述如下：

设路由器R的所有输入节点的流量为：T₁......T_n；