[发明专利]一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统

说明书

本发明提出了一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统，涉及网络安全技术领域,具体方案为：计算网络物理拓扑的静态指标和动态指标，并依据静态指标和动态指标选择网络瓶颈；依据网络瓶颈的静态指标和动态指标，生成和部署网络虚拟拓扑，并动态控制引入虚拟拓扑的流量；检测可疑探测流，并将其引入网络虚拟拓扑，通过下发丢弃流表进行主动防御；本发明在软件定义网络架构下，借鉴蜜罐思想，充分利用SDN的优势，抓住Crossfire攻击以及TCP协议特点，对该攻击进行预防与检测防御，将Crossfire对网络的攻击损害尽可能地降低。

技术领域

本发明属于网络安全技术领域，尤其涉及一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

传统的计算机网络通常由路由器、交换机和防火墙等一系列的网络设备构成，这些网络设备基于TCP/IP协议簇运行，不同设备支持不同的网络协议，为了实现设备的高性能转发，设备厂商会使用特定的嵌入式操作系统以及固定的配置命令；因此，网络管理员的工作受限于预定义的命令，并且只能遵循特定的协议和配置策略来响应各种网络事件和应用程序；网络管理员必须手动将制定的高级策略转换为低级配置命令，同时需要适应不断变化的网络环境；此外，网络管理员还需要使用非常有限的工具去完成一些复杂的任务，在网络安全方面，针对不同的设备启用不同的安全策略，而对于常见的DDoS攻击防御也只能依赖于常规入侵检测系统；由于这些设备都来自于不同的厂商，这就导致供应商依赖性较强、复杂性较高以及扩展性较弱；因此，传统计算机网络下的管理和性能调整给网络管理员带来了挑战性；如果能够将控制与转发分离从而以更灵活的方式对网络控制进行编程，那么支持多种协议和应用程序将变得更加简单高效，所以，SDN架构的出现弥补了传统网络的缺陷。

SDN出现和发展打破了传统网络架构的局限性，它不是一个具体的技术或协议，而是一种思想或框架；它将控制与转发完全分离，控制层实现集中控制，软件可编程，转发层通过硬件实现高速转发，控制层与转发层之间通过OpenFlow协议交互；在SDN中，交换机没有独立的大脑，仅具有转发功能，所有的路径计算策略等都在控制器执行，通过OpenFlow协议下发流表给交换机，交换机再根据流表进行快速转发；相比较于传统网络的分布式控制，SDN框架下的集中控制能够获取到网络的一个全局视角，这样就便于控制器通过编程制定出合适的网络转发策略；控制器能够根据网络的实时情况动态制定相应策略下发流表，因此能很在大程度上提高网络性能。

SDN在检测和防御常见的DDoS攻击方面有着更加灵活的优势，尤其是在学术圈，出现了大量的利用SDN检测防御DDoS攻击的文献资料；但是，多数学者所研究重点为保护关键节点服务器免受DDoS攻击，而忽略了近年来新出现了一种新型的DDoS攻击，被称为Crossfire攻击；攻击示意图如图1所示，这是一种链路泛洪攻击，这种攻击所针对的目标不再是常规的关键节点服务器，而是关键节点以及关键服务器集群周围的网络瓶颈链路，即攻击者攻击目标由节点转变为链路；若攻击者的最终攻击目标为服务器集群，则将服务器集群以及服务器集群周围的公共可访问服务器作为目标区域，这里的公共可访问服务器可以理解为学校、医院等公共可访问机构，该类服务器被作为创建攻击流的诱饵服务器；攻击者会控制大量的僵尸网络，首先调度僵尸Bots发送大量的探测流到目标区域的服务器集群，从而构建起一个僵尸网络到目标区域的网络拓扑图，并探测到拓扑中的流量密度等动态信息，攻击者会根据这些信息最终确定要淹没的网络链路瓶颈，这些链路瓶颈关系着目标区域与外界的通信；攻击者在确定好所要淹没的瓶颈链路之后，调动僵尸Bots向诱饵服务器集群发送大量的低速流量从而淹没瓶颈链路，最终导致目标区域的服务器集群与外界断开网络连接。这是一种通过间接攻击目标链路最终达到攻击目标区域的DDoS攻击手段。权威研究实验表明，Crossfire攻击有着不可检测性、攻击流不可区分性、目标选择的灵活性和持久性的特点，这使得常规入侵检测系统难以检测此类攻击；而TCP协议又是如今多数应用服务程序所使用的传输层协议，所以提出一种能够有效检测防御利用TCP流量进行Crossfire攻击的方法显得尤为重要。