基于网络与基于主机相结合的联网式异常流量防御方法

摘要

基于网络与基于主机相结合的联网式异常流量防御方法是一种用于针对异常流量对网络性能造成的危害(例如核心网络的通信链路被异常流量占用、异常流量造成链路中网络设备负载过高、大客户业务受异常流量影响服务质量急剧下降等)的防御方法，该方法为：设置性能参数列表：流量统计模块统计路由设备所采集的流量信息，并与步骤1)中参数列表中所设置的阈值进行比较；如果发现有主机对应的流量统计超过步骤1)中所设置的阈值范围，则判定该主机产生异常流量，并触发异常报警机制；异常报警模块向步骤3)中所发现的主机发送异常警告，命令该主机立即处理自身所产生的流量；主机状态记录及更新：网络接入判决：主机自行过滤异常流量。

说明书

技术领域

本发明是一种用于针对异常流量对网络性能造成的危害(例如核心网络的通信链路被异常流量占用、异常流量造成链路中网络设备负载过高、大客户业务受异常流量影响服务质量急剧下降等)的防御方法，属于网络中的安全的技术领域。

背景技术

随着IPv6等下一代网络的核心技术日趋成熟、电信业务需求和技术的发展以及网络体系结构的演变，IPv6所具有的诸多优势和功能使其成为构筑下一代网络的重要基础，如何提高基于IPv6的下一代网络的安全性必然是我国以及全球网络重要的战略发展方向。

随着信息网络技术的发展，尤其是互联网技术正处于高速发展的阶段，IP地址空间的危机已经成为IPv4向IPv6升级的主要动力，IPv4配置的复杂性也急需有一种能够满足“自动配置”的IPv6的协议应用，特别是对于IPv4中存在的安全隐患问题，急需要一种加入了安全性选项的IPv6机制来强力支持IP的安全性。总之，由IPv4向IPv6转换是必然的趋势。

在国外，对于IPv6网络安全方面的研究主要以对IPSec的研究为主。在大规模的实验IPv6网络的同时，对IPSec协议进行补充和更新，使得IPv6安全机制更加完善。例如：如何把IPSec应用于具体的环境中，如何运用有效的加密算法来配置IPSec。对于网络安全中入侵检测系统防护方面还没有涉及。

国外对于在IPv4情况下提出了许多入侵检测算法，如针对与SYN FLOOD的累积算法CUSUM(Cumulative Sum Algorithm)，协方差矩阵分析的异常流量算法，改进的门限算法。并且有的已经运用在当前的网络环境中，在IPv4网络环境下，确实有一定的效果。但是由于新一代网络环境的发展，必定会有新的变化，使其功效受到限制。所以研究适合于新一代IPv6网络环境下的入侵检测系统及其关键技术研究，是下一阶段国内外都在关注的问题。

在国内，一些基金项目对IPv6进行了实验，提出了相对于IPv4的优点和存在的不足。由于IPv6的加密和认证是算法是与协议脱离的，可以选择不同的算法对其数据包进行加密和认证，不同的算法加密的速度和破解的时间有差异，所以目前国内许多文章都比较关注于如何为IPv6选择一个既高速又难破解的加密和认证体系，对于如何在网络对入侵进行检测还没有相关的研究，只是提出了在IPv6下基于安全认证的新一代防火墙方案。

综上所述，目前国内外只是注重于如何把IPv6具体化，实际化，重点在于如何使这个新的网络协议运用于实际的网络中，特别对其引入的加密和认证机制非常关注。而对于在运用了IPv6后依然存在的安全问题只是简单的提出，并没有给出一个具体的方案，特别是用IPv6没有根本地解决入侵检测的问题，随着IPv6网络的实际应用，此方面的问题必然会暴露出来。

发明内容

技术问题：本发明的目的是提出一种基于网络与基于主机相结合的联网式异常流量防御方法，大大降低了异常流量防御的难度，改变了以往异常防御系统中路由设备负担大量工作的局面。

技术方案：目前国内外只是注重于如何把IPv6(Internet Protocol version6)具体化，实际化，重点在于如何使这个新的网络协议运用于实际的网络中，特别对其引入的加密和认证机制非常关注。而对于在运用了IPv6后依然存在的安全问题只是简单的提出，并没有给出一个具体的方案，特别是用IPv6没有根本地解决网络中的安全的问题，随着IPv6网络的实际应用，此方面的问题必然会暴露出来。

本发明的基于网络与基于主机相结合的联网式异常流量防御方法为：

1).设置性能参数列表：记录正常状态下一些网络参数的阈值，作为异常感应模块探测异常发生与否的依据之一；

2).流量统计模块统计路由设备所采集的流量信息，并与步骤1)中参数列表中所设置的阈值进行比较；

3).如果发现有主机对应的流量统计超过步骤1)中所设置的阈值范围，则判定该主机产生异常流量，并触发异常报警机制；

4).异常报警模块向步骤3)中所发现的主机发送异常警告，命令该主机立即处理自身所产生的流量；

5).主机状态记录及更新：异常报警模块被触发后，需要进行相应的主机状态更新；

6)网络接入判决：路由转发设备根据所接收到流量所属主机的状态判断是否正常转发该流量，网络接入判决模块查询主机状态记录表得到主机状态，如果该主机处于被警告、异常处理、未反应等非正常状态，则停止对其提供流量转发服务；否则正常对其流量进行路由转发；

7)主机自行过滤异常流量：在接收到异常警告之后，如果主机希望再次获得网络接入服务，则必须立即启动异常流量过滤模块。此处需要一个异常规则库，引入准确详尽的异常过滤规则有助于高效的异常识别以及过滤工作。

为每个主机引入的状态及其更新的规则如下：

a.状态报告模块运行状态：用来标识主机有没有加入到异常防御体系中随时准备好异常发生时与路由转发设备携手实施异常处理工作；

b.正常状态：指主机加入异常防御体系并且流量统计信息处于正常范围内；

c.被警告状态：当发现某主机流量异常并向该主机发出异常警告之后将该主机状态标识为被警告状态；

d.异常处理状态：如果向主机发出异常警告之后成功接收到该主机返回的警告处理信息则将该主机状态标识为异常处理状态；

e.未反应状态：如果超过一定的时间没有收到主机的状态报告或者在向主机发出异常警告之后没有接收到主机返回的警告处理信息则将该主机状态标识为未反应状态。

有益效果：该方法的成功实施可以彻底改变以往异常防御体系中由路由转发设备承担繁重工作的局面，将异常流量的识别与控制交由异常流量的最终来源一主机终端自身负责，而路由转发设备则仅负责传统的流量信息统计以及网络工作状态正常与否的判断工作。即便发生流量异常的情况，每个主机也仅是负责检测自身所产生的通信流量，直接定位异常流量来源使异常流量的识别与控制更为高效。

附图说明

图1为该体系工作原理图，其中虚线代表检测到异常之后的一系列异常处理事件，

图2为该防御体系中主机可能处于的各种状态之间的转移图，

图3为该防御体系中路由设备根据主机状态判决是否对其提供流量转发服务的过程图，

图4为该防御体系发现网络内产生异常流量的主机的过程图。

具体实施方式

本发明提出一种基于网络与基于主机相结合的联网式异常流量防御体系，改变以往异常检测机制中由集中设置在路由器等流量传输控制终端的检测模块承担主要防御责任的局面，将网络流量的最初来源也就是接入网络的各个主机纳入到整个网络防御体系当中，并通过自身所设置的流量检测模块在攻击流量对网络造成威胁之前将其终止。该体系的成功实施，可以实现由网络攻击的发起者自身去终止攻击流量，将攻击流量对网络造成的影响降到最低，大大减少路由器等流量转发设备以及整个网络流量的负担。

本方案的实施过程可概括如下：

1)流量转发端设置异常感应模块，统计所负责网络的流量信息，如感应到某主机的流量情况异常，便启动异常报警并向对应主机发送异常警告；

2)接收到异常警告的主机启动异常过滤模块，对自身的通信流量进行相应的检测以及调控；

3)流量转发端针对各主机的流量情况设置相应状态记录，根据记录决定提供网络接入服务与否。

图1为该体系工作原理图，其中虚线代表检测到异常之后的一系列异常处理事件，各模块所负责的工作如下：

路由设备端：

1)性能参数列表：记录正常状态下一些网络参数的阈值，作为异常感应模块探测异常发生与否的依据之一；

2)主机状态记录模块：记录与网络中主机相关的状态，作为网络接入判决模块的判决依据；

3)网络接入判决模块：根据主机的状态决定是否为其提供网络接入服务，也就是是否转发该主机的流量；

4)流量统计模块：根据路由设备所采集的流量信息进行相应的统计；

5)异常感应模块：根据流量的统计信息以及性能参数列表检测是否发生流量异常；

6)异常报警模块：接收异常感应模块发出的异常警报信息并向对应主机发送异常警告；

主机设备端：

1)异常规则库：记录可用于异常流量识别的规则，作为异常过滤模块的过滤流量的依据；

2)状态报告模块：向路由转发设备报告主机状态；

3)警告处理模块：接收异常警告并命令主机启动异常过滤模块；

异常过滤模块：根据异常规则库过滤本机所发出的异常流量。

从该工作原理图中可以清楚的看出，该体系将最主要的异常流量过滤工作交由产生异常流量的主机自己去完成，路由设备不再负责沉重的异常流量识别、控制等工作，而且异常流量是被终止在其被转发到网络外部之前，相比在被攻击者路由器端进行防御工作大大减小了整体网络的流量负荷。下面将详细介绍该异常防御体系的核心工作模块及其流程：

1)主机状态&网络接入判决

无论主机是实施内部攻击还是对所在子网外部的目标进行攻击，都要首先成功接入网络，攻击流量才能传送到攻击目标。而本方案所采取的是一种联网式体系结构，每个主机直接纳入到整个异常防御体系当中，便可以通过允许某一主机提供网络接入服务与否来从源头上终止异常流量。为了实现这个目的，本方案为每个主机引入了一系列状态标识，并在路由转发设备设置网络接入判决模块根据主机状态决定是否将该主机的通信流量转发到网络外部。

为每个主机引入的状态可以有：状态报告模块运行状态、正常、被警告、异常处理、未反应等。状态报告模块运行状态用来标识主机有没有加入到异常防御体系中随时准备好异常发生时与路由转发设备携手实施异常处理工作；正常状态指主机加入异常防御体系并且流量统计信息处于正常范围内；当发现某主机流量异常并向该主机发出异常警告之后将该主机状态标识为被警告状态；如果向主机发出异常警告之后成功接收到该主机返回的警告处理信息则将该主机状态标识为异常处理状态；如果超过一定的时间没有收到主机的状态报告或者在向主机发出异常警告之后没有接收到主机返回的警告处理信息则将该主机状态标识为未反应状态。各状态之间的转换关系如图2所示。

网络接入判决模块则根据主机的状态决定路由设备是否转发该主机的流量，流程图3描述了给判决过程，其中host.status代表所记录的主机状态。

2)异常感应

流量统计模块统计并记录网络内部所有主机交由路由设备转发的流量信息，性能参数列表则存储一些网络处于正常工作状态下所能支持的一些网络性能参数的阈值，例如网络流量总量、主机通信速率等等。将流量统计信息与性能参数列表中对应参数的阈值进行对比，一旦发现有达到或超出阈值的情况，则说明现在网络已经工作在非正常状态下了，启动异常警报并向对应主机发出异常警告。图4为异常感应模块工作的流程图。

3)异常处理

本方案将异常流量防御体系的核心异常过滤模块放置在主机终端执行，减少路由设备在异常流量识别过程所承担的繁重工作，而且每个主机仅在接到异常警告之后方启动异常过滤模块进行异常处理工作，并且所处理的均是自己一个主机所发出的流量，所以引进的工作量比较小。

当主机接收到异常警告之后，警告处理模块命令主机启动异常过滤模块，如果主机正常启动异常过滤模块，警告处理模块则向异常警报模块返回异常处理信息。主机成功启动异常过滤模块之后，根据规则库里所记录的异常流量的特征规则对自身所产生的通信流量进行异常识别以及过滤工作，将过滤掉异常流量的流量发送出去。

在异常处理的同时还要涉及到主机状态记录的更新，具体更新规则见第2)部分。