法律状态公告日
法律状态信息
法律状态
2019-06-18
授权
授权
2016-08-03
实质审查的生效 IPC(主分类):H04L29/06 申请日:20160321
实质审查的生效
2016-07-06
公开
公开
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚拟控制器的DDoS主动防御方法。
背景技术
随着Internet的繁荣,网络入侵事件频繁发生,各种攻击手段也层出不穷,其中拒绝服务 攻击DoS以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的 网络攻击手段之一,极大地影响网络和主机系统的有效服务,尤其是分布式拒绝服务攻击 DDoS,其潜伏期长、攻击并发程度高,隐蔽性更强、破坏性更大,严重威胁着Internet的安 全。
目前对于防御DDoS攻击的常见方法有:
1、确保所有服务器采用最新系统,并打上安全补丁;
2、确保管理员对所有主机进行检查,而不仅针对关键主机;
3、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS;
4、确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限;
5、禁止内部网通过Modem连接至PSTN系统;
6、禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序 如SSH取代;
7、限制在防火墙外与网络文件共享;
8、在防火墙上运行端口映射程序或端口扫描程序;
9、检查所有网络设备和主机/服务器系统的日志;
10、使用防火墙设备。
以上的各种方法,都是对服务端进行强化防护,还停留被动防御的基础上。没有针对DDoS 攻击的行为特征进行有针对性的主动防御。DDoS攻击的基本行为特征是通过大量访问请求 快速消耗服务端的资源,导致合法访问无法得到处理。该行为的特征最大的特点是:通过大 量资源消耗瘫痪服务端。而导致这种现状的根本问题是:一是服务端直接暴露在攻击方面前, 客户端可直接连接服务端;二是服务端要被动的接受大量的攻击,大量的资源用于处理攻击 请求。
发明内容
本发明目的在于针对现有技术的不足,提供一种基于虚拟环境的主动防御木马方法。
本发明的目的是通过以下技术方案来实现的:一种基于虚拟控制器的DDoS主动防御方 法,该方法包括以下步骤:
本发明的目的是通过以下技术方案来实现的:1、一种基于虚拟环境的主动防御木马方法, 包括以下步骤:
(1)虚拟控制器的构建,该步骤主要包括如下两种情况:
(1.1)在系统初始化或运行过程中,自动构建虚拟控制器:C={ci|i=1,2,…,n},其中, n为构建的虚拟控制器的数量,ci为第i个虚拟控制器;
(1.2)在运行过程中,当所有的虚拟控制器ci工作队列中的任务量均大于阈值Taskmax时, 自动创建新的虚拟控制器ci+1;
(2)虚拟控制器检测访问请求:该步骤通过以下子步骤来实现:
(2.1)对每次客户端的访问请求生成一个随机数t;
(2.2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器ck中,k=1,2,…,n;
(2.3)虚拟控制器ck对访问请求t进行DDoS行为检测,若检测为非法攻击,拒绝访问 请求;若检测为安全行为,将访问请求t映射到服务端,建立通道pik;
(3)通过通道pik进行数据转发,使得服务端为客户端提供服务;
(4)在连接超时、遭遇非法攻击行为等条件下自动销毁通道pik;
(5)虚拟控制器的销毁:当虚拟控制器Ci工作队列在规定时间T内为空,或者队列受到非法 攻击,进行自我销毁。
本发明的有益效果是:本发明基于DDoS攻击的行为特征,本发明使用虚拟的控制器, 将所有的客户端请求接管过来,并对请求利用现有的检测方法进行合法性验证;若不通过, 直接拒绝访问;若验证通过,将请求转发服务端,由服务端进行正常的业务处理。同时,虚 拟控制器具有自我创建和销毁的能力,将大量的攻击从服务端转移到控制器上,使得DDoS 攻击无法命中服务端,从而让服务端免受攻击。
附图说明
图1是虚拟环境生命周期图;
图2是主动防御层次结构图。
具体实施方式
下面根据附图详细描述本发明,本发明的目的和效果将变得更加明显。
如图1和图2所示,本发明基于虚拟环境的主动防御木马方法包括以下步骤:
1、虚拟控制器的构建,该步骤主要包括如下两种情况:
(1)在系统初始化或运行过程中,自动构建虚拟控制器:C={ci|i=1,2,…,n},其中n为 构建虚拟控制器的数量,ci为第i个虚拟控制器;
(2)在运行过程中,当所有的虚拟控制器ci工作队列中的任务量大于阈值Taskmax,自动 创建新的虚拟控制器ci+1。阈值Taskmax可根据实际情况自由确定,例如可以为10000。
2、虚拟控制器检测访问请求:该步骤通过以下子步骤来实现:
(1)对每次访问请求生成一个随机数t;
(2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器ck中,k=1,2,…,n;
一般来说,将t映射到任务量最少的虚拟控制器中。
(3)虚拟控制器对访问请求t进行DDoS行为检测,若检测为非法攻击,拒绝访问请求; 若检测为安全行为,将访问请求t映射到服务端,建立通道pik;
所述虚拟控制器可采用现有的基于流量变化的检测方法(见《DDoS攻击检测和控制方 法》,张永铮,肖军,云晓春,王风宇,软件学报,2012,23(8):2058-2072)对访问请求t 进行DDoS行为检测。
3、通过通道pik进行数据转发,使得服务端为客户端提供服务;
4、在连接超时、遭遇非法攻击行为等条件下自动销毁通道pik;
5、虚拟控制器的销毁:当虚拟控制器Ci工作队列在规定时间T内为空,或者队列受到非 法攻击,进行自我销毁;T可根据实际情况自由确定,例如可以为600秒。
本发明首次在现有的DDoS防御基础上,在客户端和服务端之间加入了虚拟控制器,服 务端将不在直接暴露在客户端面前。客户端的请求从原来的直接访问服务端给映射到虚拟控 制器上,由虚拟控制器在现有检测技术基础上进行行为检测,检测结果决定客户端是否有权 利访问服务端。若虚拟控制器判定请求为DDoS攻击行为,客户端的请求将无法到达服务端, 从而有效保护服务端的安全性。同时,虚拟控制器具有自我创建和销毁的能力,该能力确保 了自身具有很强的资源虚拟化能力,能有效地抵御DDoS攻击。
机译: --SoC基于片上总线的运行时硬件木马检测方法和基于片上总线的运行时硬件木马检测方法
机译: --SoC基于片上总线的运行时硬件木马检测方法和基于片上总线的运行时硬件木马检测方法
机译: 一种使用物联网和/或其他替代相机或视觉处理的传感器放置,跟踪和呈现基于实境-虚拟环境的连续环境的方法及其方法