[发明专利]基于物联网DDoS攻击的移动目标防御方法

权利要求书

1.一种基于物联网DDoS攻击的移动目标防御方法，其特征在于，包括以下步骤：

步骤1）在应用服务器之前构建两层代理节点，第一层代理节点有M个，为身份认证节点，第二层节点有N个，为中继转发节点，此外，还构建一个IPv6地址池供代理节点切换地址使用，IPv6地址池分配情况具体如下：IPv6地址池中共有n个IPv6地址，从n个IPv6地址里选取N个分配给N个隐藏的中继转发节点，余下的（n-N）个IPv6地址构成一个地址池，每次从中随机选取M个分配给M个身份认证节点；在应用服务器构建的M个身份认证节点，认证过程具体为：

步骤1-1）用户向身份认证节点发出请求，要求进行身份认证；

步骤1-2）身份认证节点从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理，若是，则进入下一步；

步骤1-3）身份认证节点内部产生一个随机数 œ ，作为挑战，发送给用户；

步骤1-4）用户将名字和随机数 œ 合并，使用Hash函数生成一个字节串 µ 作为应答；

步骤1-5）身份认证节点将应答串 µ 与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；

步骤1-6）身份认证节点通知客户认证成功或失败；

步骤1-7）其他的用户重复执行步骤1-1）至步骤1-6）；

步骤2）代理节点执行DDoS检测功能，用户开始准备访问应用服务器内的资源，域名解析应用服务器根据用户的网络地址在M个身份认证节点中分配给用户一个固定的身份认证节点，并且此后用户的每次访问都由该节点进行身份验证，将DDoS检测算法部署在每一个身份认证节点上，当有流量流入身份认证节点时，身份认证节点开始工作，具体检测步骤如下：

步骤2-1）身份认证节点先对网络中的路由器以时间△t对网络F进行采样；

步骤2-2）然后分别计算出源地址、目的地址、目的端口均相同的数据包的时间序列；

步骤2-3）当时间间隔足够大时，计算自相关系数，采用基于中间网络的检测技术公式计算，当计算得到自相关系数不为0时，可以认为发生了DDoS攻击；

步骤3）若身份认证通过，即无DDoS攻击的情境下，则将N个中继转发节点中的任意一节点ƒ分配给用户，节点ƒ执行跳转协议，桥接合法用户与应用服务器，使用户可以正常访问应用服务器内资源，并且该用户后续的所有请求将无需经过身份验证，可直连N个中继转发节点中的中继转发节点与应用服务器交互；

步骤4）若请求者为非法用户，则无法获得身份许可，直接拒绝其访问请求，此时，若检测出了DDoS攻击，则立即启用IPv6地址池切换身份认证节点的IPv6地址，并将加密后的地址写入域名解析应用服务器，IPv6地址池切换身份认证节点时，切换流程如下：

步骤4-1）身份认证节点向先前接入路由器发起路由器代理请求消息；

步骤4-2）先前接入路由器返回路由器代理通告消息，在消息中含带了新的接入路由器的消息，包括网络地址、前缀、链路层地址信息；

步骤4-3）身份认证节点生成新的转交地址，向先前接入路由器发出快速绑定更新消息；

步骤4-4）先前接入路由器收到该消息后在新、旧转交地址间建立隧道，向新接入路由器发切换发起消息，此时启用IPv6地址池；

步骤4-5）新接入路由器对新的转交地址进行重复地址检测，若重复则重新分配新转交地址并在切换确认消息中将结果告知先前接入路由器；

步骤4-6）先前接入路由器向新接入路由器和身份认证节点回复快速绑定确认消息，然后通过隧道把发往原转交地址的数据送到新接入路由器，新接入路由器将这些数据缓存；

步骤4-7）身份认证节点到达新的子网，向新接入路由器发送快速邻居通告消息，从新接入路由器接受缓存和新来的数据，并将新的IPv6地址写入域名解析应用服务器；

步骤5）身份认证节点开始执行身份认证方法，利用用户名、密码，同时采用验证方法，来区分物联网设备和正常的客户端，排除物联网设备；

步骤6）黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证，获得一个接入中继转发节点的IP地址，此时将记录可疑人员的相关信息，经过多次登录信息的交集，便可以锁定攻击者的真实身份，从而对其真实身份进行防御。

2.根据权利要求1所述的基于物联网DDoS攻击的移动目标防御方法，其特征在于，同一身份认证节点定为40~60s进行一次认证，且身份认证节点的IP地址全部都是随机配置。

3.根据权利要求1所述的基于物联网DDoS攻击的移动目标防御方法，其特征在于，步骤3）分配给用户的节点采用半随机分配方式，该方式采用了贪婪算法，分配开始前，所有代理节点都处于待活跃状态，所有访问的用户都将根据自身的网络号由域名解析应用服务器指派一个节点进行身份验证，且每个客户端只能分配到一个代理节点，假设有ç个代理节点在初始分配后受到攻击，这ç个代理将被标记为待切换IP代理，其他代理则不做标记。