一种基于虚拟环境的主动防御木马方法

摘要

本发明公开了一种基于虚拟环境的主动防御木马方法，本发明首次在现有的DDoS防御基础上，在客户端和服务端之间加入了虚拟控制器，服务端将不在直接暴露在客户端面前。客户端的请求从原来的直接访问服务端给映射到虚拟控制器上，由虚拟控制器在现有检测技术基础上进行行为检测，检测结果决定客户端是否有权利访问服务端。若虚拟控制器判定请求为DDoS攻击行为，客户端的请求将无法到达服务端，从而有效保护服务端的安全性。同时，虚拟控制器具有自我创建和销毁的能力，该能力确保了自身具有很强的资源虚拟化能力，能有效的抵御DDoS攻击。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于虚拟控制器的DDoS主动防御方法。

背景技术

随着Internet的繁荣，网络入侵事件频繁发生，各种攻击手段也层出不穷，其中拒绝服务 攻击DoS以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的 网络攻击手段之一，极大地影响网络和主机系统的有效服务，尤其是分布式拒绝服务攻击 DDoS，其潜伏期长、攻击并发程度高，隐蔽性更强、破坏性更大，严重威胁着Internet的安 全。

目前对于防御DDoS攻击的常见方法有：

1、确保所有服务器采用最新系统，并打上安全补丁；

2、确保管理员对所有主机进行检查，而不仅针对关键主机；

3、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS；

4、确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限；

5、禁止内部网通过Modem连接至PSTN系统；

6、禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序 如SSH取代；

7、限制在防火墙外与网络文件共享；

8、在防火墙上运行端口映射程序或端口扫描程序；

9、检查所有网络设备和主机/服务器系统的日志；

10、使用防火墙设备。

以上的各种方法，都是对服务端进行强化防护，还停留被动防御的基础上。没有针对DDoS 攻击的行为特征进行有针对性的主动防御。DDoS攻击的基本行为特征是通过大量访问请求 快速消耗服务端的资源，导致合法访问无法得到处理。该行为的特征最大的特点是：通过大 量资源消耗瘫痪服务端。而导致这种现状的根本问题是：一是服务端直接暴露在攻击方面前， 客户端可直接连接服务端；二是服务端要被动的接受大量的攻击，大量的资源用于处理攻击 请求。

发明内容

本发明目的在于针对现有技术的不足，提供一种基于虚拟环境的主动防御木马方法。

本发明的目的是通过以下技术方案来实现的：一种基于虚拟控制器的DDoS主动防御方 法，该方法包括以下步骤：

本发明的目的是通过以下技术方案来实现的：1、一种基于虚拟环境的主动防御木马方法， 包括以下步骤：

(1)虚拟控制器的构建，该步骤主要包括如下两种情况：

(1.1)在系统初始化或运行过程中，自动构建虚拟控制器：C＝{c_i|i＝1,2,…,n}，其中， n为构建的虚拟控制器的数量，c_i为第i个虚拟控制器；

(1.2)在运行过程中，当所有的虚拟控制器c_i工作队列中的任务量均大于阈值Task_max时， 自动创建新的虚拟控制器c_i+1；

(2)虚拟控制器检测访问请求：该步骤通过以下子步骤来实现：

(2.1)对每次客户端的访问请求生成一个随机数t；

(2.2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器c_k中，k＝1,2,…,n；

(2.3)虚拟控制器c_k对访问请求t进行DDoS行为检测，若检测为非法攻击，拒绝访问 请求；若检测为安全行为，将访问请求t映射到服务端，建立通道pi_k；

(3)通过通道pi_k进行数据转发，使得服务端为客户端提供服务；

(4)在连接超时、遭遇非法攻击行为等条件下自动销毁通道pi_k；

(5)虚拟控制器的销毁：当虚拟控制器C_i工作队列在规定时间T内为空，或者队列受到非法 攻击，进行自我销毁。

本发明的有益效果是：本发明基于DDoS攻击的行为特征，本发明使用虚拟的控制器， 将所有的客户端请求接管过来，并对请求利用现有的检测方法进行合法性验证；若不通过， 直接拒绝访问；若验证通过，将请求转发服务端，由服务端进行正常的业务处理。同时，虚 拟控制器具有自我创建和销毁的能力，将大量的攻击从服务端转移到控制器上，使得DDoS 攻击无法命中服务端，从而让服务端免受攻击。

附图说明

图1是虚拟环境生命周期图；

图2是主动防御层次结构图。

具体实施方式

下面根据附图详细描述本发明，本发明的目的和效果将变得更加明显。

如图1和图2所示，本发明基于虚拟环境的主动防御木马方法包括以下步骤：

1、虚拟控制器的构建，该步骤主要包括如下两种情况：

(1)在系统初始化或运行过程中，自动构建虚拟控制器：C＝{c_i|i＝1,2,…,n}，其中n为 构建虚拟控制器的数量，c_i为第i个虚拟控制器；

(2)在运行过程中，当所有的虚拟控制器c_i工作队列中的任务量大于阈值Task_max，自动 创建新的虚拟控制器c_i+1。阈值Task_max可根据实际情况自由确定，例如可以为10000。

2、虚拟控制器检测访问请求：该步骤通过以下子步骤来实现：

(1)对每次访问请求生成一个随机数t；

(2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器c_k中，k＝1,2,…,n；

一般来说，将t映射到任务量最少的虚拟控制器中。

(3)虚拟控制器对访问请求t进行DDoS行为检测，若检测为非法攻击，拒绝访问请求； 若检测为安全行为，将访问请求t映射到服务端，建立通道pi_k；

所述虚拟控制器可采用现有的基于流量变化的检测方法(见《DDoS攻击检测和控制方 法》，张永铮，肖军，云晓春，王风宇，软件学报，2012，23(8)：2058-2072)对访问请求t 进行DDoS行为检测。

3、通过通道pi_k进行数据转发，使得服务端为客户端提供服务；

4、在连接超时、遭遇非法攻击行为等条件下自动销毁通道pi_k；

5、虚拟控制器的销毁：当虚拟控制器C_i工作队列在规定时间T内为空，或者队列受到非 法攻击，进行自我销毁；T可根据实际情况自由确定，例如可以为600秒。

本发明首次在现有的DDoS防御基础上，在客户端和服务端之间加入了虚拟控制器，服 务端将不在直接暴露在客户端面前。客户端的请求从原来的直接访问服务端给映射到虚拟控 制器上，由虚拟控制器在现有检测技术基础上进行行为检测，检测结果决定客户端是否有权 利访问服务端。若虚拟控制器判定请求为DDoS攻击行为，客户端的请求将无法到达服务端， 从而有效保护服务端的安全性。同时，虚拟控制器具有自我创建和销毁的能力，该能力确保 了自身具有很强的资源虚拟化能力，能有效地抵御DDoS攻击。