[发明专利]基于物联网DDoS攻击的移动目标防御方法

说明书

本发明提供了一种基于物联网DDoS攻击的移动目标防御方法，包括如下步骤：1）部署代理节点，包括身份认证节点和中继转发节点；2）在代理节点处部署运行DDoS检测功能；3）无DDoS攻击情形下，当用户客户端发出访问请求时，进行用户合法性的验证，若通过，执行跳转协议，将网络连接跳转至中继转发节点处，完成用户对服务器的访问；4）若检测出DDoS攻击，加密切换所有代理节点的IPv6地址，并将加密后的身份认证节点IPv6地址写入域名解析系统；5）身份认证节点执行特定身份认证方法，排除物联网设备；6）通过多次登录信息的交集，确定攻击者真实身份，本发明不仅可以抵御物联网DDoS攻击，而且能够确定攻击者的真实身份。

技术领域

本发明涉及一种物联网防御方法，具体的说是一种基于物联网DDoS攻击的移动目标防御方法，属于物联网设备DDoS攻击防御技术领域。

背景技术

随着5G时代的到来，物联网设备的种类和使用数量也日益增多，比如智能摄像头，智能家电等。但物联网设备设计时在安全方面考虑得不够充分，所以经常会被黑客控制从而形成僵尸网络。这些物联网设备在便捷人们生活的同时，也给网络环境的安全性带来了威胁。其中，一种简单而又低廉的攻击手段常常被黑客借助物联网设备所利用，分布式拒绝服务——DDoS攻击。如：2016年在美国发生了一起黑客利用大量物联网设备构成僵尸网络对Dyn核心网络服务公司的事件，此次事件持续了6个小时左右，造成了数以万计的损失；又如在美国一所大学中，黑客操纵校园里的自动售货机对DNS服务器发动攻击致使服务器宕机。随着非传统物联网设备的引入，DDoS攻击变得越来越危险，黑客可以通过劫持的物联网设备并使用它们来攻击任意目标服务器或网络。

究其原因，在于物联网设备设计时在安全方面考虑的不够充分，并且传统的安全扫描解决方案很难防御物联网设备的安全，我们长期以来用于发现传统计算机、评估和管理相关漏洞和风险、检测和应对潜在攻击的解决方案，并没有考虑到这些安全性能较低的物联网设备。黑客们非常清楚，企业物联网设备的保护水平无法与传统设备和软件相提并论。

发明内容

本发明的目的是提供一种基于物联网DDoS攻击的移动目标防御方法，针对物联网的DDoS攻击防御问题，阻止黑客利用物联网设备对目标服务器发动DDoS攻击。

本发明的目的是这样实现的：一种基于物联网DDoS攻击的移动目标防御方法，包括以下步骤：

步骤1）在应用服务器之前构建两层代理节点，第一层代理节点有M个，为身份认证节点，第二层节点有N个，为中继转发节点，此外，还构建一个IPv6地址池供代理节点切换地址使用；

步骤2）代理节点执行DDoS检测功能，用户A开始准备访问应用服务器内的资源，域名解析服务器根据用户A的网络地址特定地在M个身份认证节点中分配给用户A一个固定的身份认证节点，并且此后用户A的每次访问都由该节点进行身份验证；

步骤3）若身份认证通过，即无DDoS攻击的情境下，则将N个中继转发节点中的任意一节点ƒ分配给该合法用户，该节点执行跳转协议，桥接合法用户与应用服务器，使用户可以正常访问服务器内资源，并且该用户后续的所有请求将无需经过身份验证，可直连N中的中继转发节点与服务器交互；

步骤4）若请求者为非法用户，则无法获得身份许可，直接拒绝其访问请求，此时，若检测出了DDoS攻击，则立即启用IPv6地址池切换身份认证节点的IPv6地址，并将加密后的地址写入域名解析服务器；

步骤5）身份认证节点开始执行特定的身份认证方法，利用用户名、密码等，同时采用一些特殊的验证方法，来区分物联网设备和正常的客户端，排除物联网设备；

步骤6）黑客若通过运行合法客户端获得一个身份认证节点并完成身份认证，获得一个接入转发节点的IP地址，此时将记录可疑人员的相关信息，经过多次登陆信息的交集，便可以锁定攻击者的真实身份，从而对其真实身份进行防御。