[发明专利]一种面向服务的尾端链路洪泛攻击过滤方法

权利要求书

1.一种面向服务的尾端链路洪泛攻击过滤方法，其特征在于：包括过滤执行器、即数据层，过滤控制器、即AS内控制器层，中央过滤协调器、即AS间控制器层，所述过滤控制器的输出端与过滤执行器的输入端通过信号连接，所述过滤控制器与中央过滤协调器之间通过信号实现双向传输；

所述过滤执行器在传统上存储在边界路由器中，自治域中的过滤执行器也在数据层上运行，过滤执行程序需要实现以下功能：

1)将可用过滤执行器的数量导出到其过滤控制器中；

2)当收到过滤任务时，必须及时设置过滤器，并要求相关主机修复可利用的安全漏洞，以启动此类尾端链路洪泛攻击，以便在期望的时间段停止发送攻击流，一旦DoS攻击被激活，由于当前互联网中广泛部署的蜜罐，ISP可以快速收集攻击流量信息并进一步使用漏洞分析技术确定触发此攻击的漏洞；

3)监控攻击流量，在即将到期之前，将结果提交给过滤控制器；

所述过滤控制器在每个系统部署者自治域都有一个，如果此部署者自治域已升级到SDN网络，其过滤控制器将集成到SDN控制器中，否则，其过滤控制器将在传统的网络管理服务器上运行，控制器可以使用与BGP路由器的被动侦听会话来从路由系统获得所选择的自治域间路由路径，由于ASPATH是BGP路由UPDATE消息中的重要属性，其可以在到达给定目的地之前提供遍历所需的自治域的有序列表，即自治域间路由路径，每个过滤控制器提供用于与过滤协调器通信的接口，以及用于过滤执行器的安装过滤器的接口，它包括两个任务：

1)向中央过滤协调器发出ASS＝(PS，ASNS，TS，FS，MS)的注册请求，其中ASNS表示ASS号，PS表示网络前缀，FS表示号码可用的过滤资源，TS表示所选的自治域间路由路径，MS表示每个过滤器的购买价格；

2)一旦接受过滤协调员提出的过滤器交易项目，立即就相关过滤执行者发布约定的过滤器；

所述中央过滤协调器使部署者自治域在过滤协调器中公开其过滤服务，通过使用Web服务技术以标准形式发布过滤服务，已发布的过滤服务可作为收费服务访问需要消除攻击和其他应用程序的网络管理员，过滤协调器是访问系统的中心点/门户，只要网络管理员利用异常流检测系统已经找到链路拥塞并进一步识别引起这种拥塞的攻击流，它就可以向过滤协调器发送预购请求，它主要用作过滤推荐中心，向购买者推荐来自不同供应商的适当过滤器，并且这些过滤器可以协作且有效地阻止购买者想要控制的攻击流，中央过滤协调器有三个功能：

1)维护部署者自治域列表SS及其过滤控制器的注册表信息；

2)结合客户的预购过滤器，在部署者自治域级别构建攻击网络；

3)确定哪些部署的自治域可以提供足够的过滤资源以满足这些要求，同时尽可能地保护网络带宽资源。

2.根据权利要求1任意一项所述的一种面向服务的尾端链路洪泛攻击过滤方法，其特征在于：所述过滤器的安装步骤如下：

a.在网络ASS已经部署了系统之后，它需要首先注册成为成员，即向过滤协调器发送一个注册请求ASS＝(PS，ASNS，TS，FS，MS)，只要协调器验证并接受了网络ASS的请求，便会将它的注册信息存储到其数据库中并将其AS号ASNS插入到部署者列表SS中，一旦信息发生变化，部署者重新提交注册，协调器更新数据库；

b.当AS管理ASd检测到导致器网络阻塞的攻击流时，它将过滤资源的预购请求发送给过滤协调员以阻止这些攻击低点，此预购请求包括攻击流和他们的攻击程度其中IS表示一组尾部链路泛红攻击中的发送器和表示AS_d中的一组接受器，曾经AS_d和协调员通过协商以某种价格结束交易，AS_d即使下订单其中LS_s表示一组将在AS_s中过滤的攻击流；

c.过滤协调器使用O_s内的AS号ASN_s定位所选择的AS并发送命令请求(ASN_s，LS)到其过滤控制器以阻止LS中的攻击流；

d.对于每个攻击过滤控制器S_s在入口处定位过滤执行器攻击源H_i的路由器R_s，并向R_s发送过滤请求并且阻塞一段时间T_b，过滤控制器忽略阻止自身的过滤器顺序以防止死锁；

e.在最后一步中，R_s上的过滤执行器向攻击源H_s发送路由器-主机请求，收到此请求后，兼容主机H_s将修补其安全漏洞并停止向D_j发送数据包流，如果H_s没有停止，它将受到R_s的惩罚。