[发明专利]一种云环境下防止DDoS攻击的包过滤方法

说明书

技术领域

本发明涉及计算机软件技术领域，特别是一种云环境下防止DDoS攻击的包过滤方法。

背景技术

云计算的发展，使得人们实现了把计算作为一种公共设施来提供的梦想，并且，这个梦想逐渐称为商业现实。同时，云计算的发展，使得IT产业发生巨大的变化，具体体现在：云计算的资源既指通过互联网以服务方式提供的应用程序，也指在数据中心用来提供这些服务的硬件和系统软件。因此，云计算能够提供看似无限的计算资源，从而使得用户可以按需获取所需要的资源。

云计算在过去的几年发展中，得到了学术界和工业界的广泛重视，并获得了一个又一个的成功。在软件工程和商业应用领域里，云计算技术显示出无处不在和显著的优势。然而，随着云计算的发展，云计算中的安全问题也显得越来越严峻，尤其是DDoS攻击(Distributed Denial-of-Service，分布式拒绝攻击)，是云安全问题中的最主要的威胁。DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式。DDoS通过组织一些僵尸攻击机器，向目标服务器发送大量的请求，使服务器超负荷，阻断某一用户访问服务器，阻断某服务与特定系统或个人的通讯，即通过使网络过载来干扰甚至阻断正常的网络通讯。

为了应对DDoS攻击，学术界从不同的角度对应对DDoS攻击的策略进行了大量研究。其中，最主要的三个分支为：攻击侦查(attack detection)，攻击过滤(attack filtering)和攻击追溯(attack traceback)。其中，攻击过滤的研究主要包括三个方面：源点发出的攻击(source-initiated)，基于路径的攻击(path-based)，以及由受害的机器发出的攻击(victim-initiated)。这里本发明主要关注第三种攻击方式，即由受害的机器发出的攻击。关于victim-initiated攻击，已经有很多相关的研究。其中，最典型的是Y.Kim在“PacketScore：A Statistics-Based Packet Filtering Scheme against Distributed Denial-of-Service Attacks”中提出的PacketScore方法(IEEE Trans.Dependable and Secure Computing，vol.3，no.2，pp.141-155，2006)。在PacketScore方法中，首先统计数据包中TCP头和IP头中属性的分布情况，然后使用贝叶斯理论来为数据包进行打分，根据数据包的得分，从而决定数据包的丢弃与否。P.E.Ayres等人在PacketScore的基础上作了一些改进，即在“ALPi：ADDoS Defense System forHigh-Speed Networks”中提出了PacketScore的改进方法ALPi，(IEEE J.Selected Areas Comm.，vol.24，no.10，pp.1864-1876，2006)。在“Defense against Spoofed IP Traffic Using Hop-Count Filtering，”中，H.Wang等人提出了HCF(Hop-Count Filtering)方法(IEEE/ACM Trans.Networking，vol.15，no.1，pp.40-53，2007)。HCF是根据源IP地址跟数据包TTL值属性对之间的关系为依据，来对数据包进行过滤。Y.Xie等人在“Monitoring the Application-Layer DDoS Attacks for Popular Websites，”(IEEE/ACM Trans.Networking，vol.17，no.1，pp.15-25，2009)及“A Large-Scale Hidden Semi-Markov Model for Anomaly Detection on User Browsing Behaviors”(IEEE/ACM Trans.Networking，vol.17，no.1，pp.54-65，2009)中提出了根据数据包中相关联的属性，即文档的流行度和用户的浏览习惯之间的关联来侦测攻击包。

随着互联网和云计算技术的飞速发展，个人或企业都希望能够整合已有资源，以实现增值服务。然而，由于网络环境的动态性与不确定性，特别是当某些恶意攻击的行为发生时，云环境中资源的安全性是不确定的。因此，提高云计算环境下的安全性对云计算环境下的应用是非常必要的。而在各种安全威胁中，DDoS攻击最为频繁和严峻，且应对DDoS攻击的方法中，有的响应较慢，有的处理效率较低，有的不容易配置实施。