[发明专利]一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统

权利要求书

1.一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，包括：

计算网络物理拓扑的静态指标和动态指标，并依据静态指标和动态指标选择网络瓶颈；

依据网络瓶颈的静态指标和动态指标，生成和部署网络虚拟拓扑，并动态控制引入虚拟拓扑的流量；

检测可疑探测流，并将其引入网络虚拟拓扑，通过下发丢弃流表进行主动防御。

2.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述静态指标为：链路及节点的居间性、链路的最小切割集以及节点的中心度；

所述动态指标为：链路的流密度和消耗带宽比；

所述网络瓶颈，包括瓶颈链路与瓶颈节点。

3.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述依据静态指标和动态指标选择网络瓶颈，具体为：

通过静态指标计算各节点和链路的分数，依据分数进行网络瓶颈的初步筛选；

从初步筛选的网络瓶颈中，选择流密度高、消耗带宽高比高的链路为最终的网络瓶颈。

4.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述网络虚拟拓扑的生成方法为：基于BA模型生成无标度网络，通过判断网络瓶颈节点的位置，将瓶颈节点周围两跳之内的节点总数量作为生成无标度网络的节点数量，而网络虚拟拓扑中的虚拟链路，保证网络虚拟拓扑的静态指标不低于物理拓扑的静态指标。

5.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，将生成的网络虚拟拓扑部署在网络瓶颈附近，并通过物理链路接入瓶颈节点。

6.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述动态控制引入虚拟拓扑的流量，具体为：引入两类控制器，分别控制物理拓扑和虚拟拓扑，两类控制器通过交互两种拓扑的动态指标，特别是链路的流密度，控制流入虚拟拓扑的流量，保证虚拟拓扑的动态指标高于物理拓扑。

7.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述检测可疑探测流，包括两种方式：

追踪可疑的traceroute数据包；

通过训练好的僵尸网络检测模型实时监测僵尸网络流量。

8.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，所述通过下发丢弃流表进行主动防御，具体为：

维护IP-可疑行为记录表；

计算对应IP的可疑分数；

根据IP的可疑分数下发丢弃流表。

9.如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法，其特征在于，还包括，攻击者成功发动对物理拓扑的攻击并造成主干链路的拥塞是，通过轻量级的简易负载均衡方法，快速实现负载均衡，具体为：

计算链路的Cost值，并选择Cost值最小的路径作为当前的最优路径；

在最优路径的相应设备上下发流表规则，快速实现负载均衡。

10.一种针对CROSSFIRE TCP流量攻击的检测防御系统，其特征在于，包括网络瓶颈选择模块、虚拟拓扑生成模块和可疑检测防御模块：

网络瓶颈选择模块，被配置为：计算网络物理拓扑的静态指标和动态指标，并依据静态指标和动态指标选择网络瓶颈；

虚拟拓扑生成模块，被配置为：依据网络瓶颈的静态指标和动态指标，生成和部署网络虚拟拓扑，并动态控制引入虚拟拓扑的流量；

可疑检测防御模块，被配置为：检测可疑探测流，并将其引入网络虚拟拓扑，通过下发丢弃流表进行主动防御。