[发明专利]基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法

说明书

技术领域

本发明是一种应用于云计算路由平台的防御DDoS攻击的核心算法。该发明可以有效的防御针对云计算中心和云计算路由平台的DDoS攻击。该发明属于计算机技网络安全领域拒绝服务攻击防御技术领域。

背景技术

分布式拒绝服务攻击(DDoS)是目前对网络信息安全具有巨大威胁的一类攻击，它破坏性强且易于发动，又因为有多层傀儡机做跳板，能够很好的隐藏攻击者身份。云计算数据中心承载了所有使用云服务的客户的任务，所有云服务使用者都需要与云计算中心进行通信，一旦云计算中心发生故障，所有用户都会受到影响。这对一些使用云服务的大型企业来说影响尤为巨大。所以，分布式拒绝服务攻击对云计算中心的威胁是十分巨大的，针对云计算中心来防御分布式拒绝服务攻击是刻不容缓的。

针对防御DDoS攻击的方法，现有研究成果很多，许多学者提出了创新性的方法。在基于安全访问路径SAP(SecurityAccessPath)方面的研究主要有以下几点。IEEE成员AngelosD.Keromytis，VishalMisra，DanRubenstein提出了一种安全覆盖网络服务(SecureOverlayServices，SOS)，利用强大过滤功能和安全隧道技术，能够有效阻止DDoS攻击，并针对接入点有可能被攻击者扫描并攻击提出解决方法。之后，AngelosD.Keromytis又假设攻击者可能针对SOS方法中的接入节点进行集中攻击，并提出对客户的接入方式进行改进，使得用户能够随机通过多个接入节点进入SOS结构，进而避免被攻击者追踪到。Chi-HyungIn，ChoongSeonHong，JiangWei，KojiOkamura针对原覆盖网络的安全措施的漏洞提出突发式攻击与渐变式攻击来提高攻击效率，并提出对网络流量使用聚类方法检测流量异常。IEEE成员XunWang，SriramChellappan，PhillipBoyer，DongXuan针对原覆盖网络的结构提出入侵攻击与拥塞攻击结合的新的攻击方式，并通过改变结构层数，映射度数，节点数等参数来分析安全覆盖网络服务性能。

发明内容

本发明将根据客户至云计算中心之间的云计算泛联路由平台的结构特点，在对一致性哈希链路访问策略结构进行修改后将其结合进来。本发明又通过一致性哈希链路访问策略的研究，提出在与云计算路由平台结合后可能会遇到的一些针对性的攻击，并对原有策略进行改进，提出将虚拟化和心跳机制结合进来的虚拟-哈希安全路径，能够在节省开销的同时提高哈希安全路径自身的防御效果。本发明的主要内容为：

1、对云计算路由平台的拓扑结构进行三层抽象化提取

云计算的数据传输平台也称为泛联路由平台。它是承载云计算的数据传输平台，通过各层次路由设备的接入和业务处理能力，满足云计算数据中心对终端用户业务提供的高可用、易用、可扩展性。云计算路由平台具有层次化的特点，大多可以分为核心层、中间层和接入层三层。用户发送请求经由接入层通过中间层路由，核心层路由，最后到达云计算中心。

原一致性哈希链路访问结构是应用于无层次结构的P2P网络中的，完全按照chord算法的忽略物理拓扑的路由方式，这种路由方式虽然能够很好的滤除攻击流，但是同时也带来了很大的时延问题。通过研究层次化云计算路由平台的结构，结合原应用于P2P网络的一致性哈希链路访问策略，提出了基于云计算路由平台的哈希安全访问路径，在应用chord算法的应用层路由方式同时结合层次化网络拓扑结构的特点，在保证滤除攻击流的同时使得路由方式尽量适合于层次化的物理拓扑。哈希安全访问路径结构示意图如图1所示。

2、将一致性哈希链路访问策略应用于云计算路由平台三层结构。

将云计算中心作为哈希安全路径结构中的目标，分别在核心层，中间层，接入层中安排部分节点作为哈希安全路径中的秘密节点，指引节点和安全接入节点。用户如果要访问云计算中心，首先会将请求发送至接入层节点。此节点如果不是安全接入节点，则会将请求转发到相邻的安全接入节点上。安全接入节点对其进行身份验证后按照一致性哈希算法向上一层指引节点进行路由转发，指引节点再将数据包转发至秘密节点。最后，秘密节点再将数据包转发至目标。目标周围的过滤器设定了规则只允许来自于秘密节点的数据包通过。合法用户的数据包的传输过程都是建立在应用层上的路由方式，而攻击者如果要对云计算中心发动攻击，就只能按照网络层的路由协议进行。