[发明专利]一种面向服务的尾端链路洪泛攻击过滤方法

说明书

本发明提供一种面向服务的尾端链路洪泛攻击过滤方法，涉及网络安全技术领域。该面向服务的尾端链路洪泛攻击过滤方法，包括过滤执行器、即数据层，过滤控制器、即AS内控制器层，中央过滤协调器、即AS间控制器层，所述过滤执行器在传统上存储在边界路由器中，自治域中的过滤执行器也在数据层上运行，过滤执行程序需要实现以下功能：1)将可用过滤执行器的数量导出到其过滤控制器中；2)当收到过滤任务时，必须及时设置过滤器，并要求相关主机(其管理员)修复可利用的安全漏洞，以启动此类尾端链路洪泛攻击。通过集中式架构使基于过滤器的防御系统可以逐步部署，而无需额外的效果，并进一步提供了渐进的解决方案。

技术领域

本发明涉及网络安全技术领域，具体为一种面向服务的尾端链路洪泛攻击过滤方法。

背景技术

随着物联网技术的飞速发展，在提高人们生活和工作质量的同时，也带来了更严重的安全问题，根据Radware的全球应用和网络安全报告，超过98％的组织受到分布式拒绝服务(DDoS)洪泛攻击的影响，即DDoS洪泛攻击影响了几乎所有的组织，最臭名昭著的攻击事件之一，2015年10月，一家将为世界500强企业服务的美国DNS提供商Dyn服务器被“水刑”袭击，使整个美国东海岸的所有通信服务都无法提供，这次攻击中，大约有25000台受损的数字录像机和CCTV摄像机向服务器发送大量的恶意数据包流，目的是耗尽其连接的尾部链路的带宽资源，使得受害者无法传输合理的服务请求(这种新形式的DDoS洪泛攻击被称为尾链洪泛攻击)，考虑到绝大多数现代物联网设备都缺乏安全标准，通过更改默认密码或访问限制就很容易受到攻击，在不远的将来，越来越多的物联网设备将成为僵尸机，尾链洪泛攻击的危害也将日益严重。

迄今为止，已经提出了许多解决方案来解决文献中的DDoS洪泛攻击，根据提出时间，可以分为两类：主动方法和反应方法，前者旨在通过对发送者行为的约束来防止攻击发生；后者旨在通过在攻击发生后建立过滤规则来阻止恶意行为。通常，两者互补，缺一不可，然而，对于仅尾部链接攻击，后者甚至更有效，因为它有利于任何发送者-接收者通信对可以在任何时间交换他们的流量，换句话说，适用于保护公共访问资源-尾连接。在各种反应方法中，基于滤波器的反应方法被认为是最有希望的对策。与其他措施相比，它具有以下明显优势：(1)它将基于发送者-接收者对的过滤规则存储在三元内容可寻址存储器(TCAM)中，TCAM可以实现线速，因为它可以实现并行匹配，这意味着过滤路由器可以阻止流量而不降低其转发性能；(2)它不需要升级路由器来实现任何新功能，因为TCAM作为商用现成的存储平台，已经广泛用于现代路由器中；(3)与速率限制不同，它可以精确地消除攻击流，同时根本不丢弃任何合法的流量；(4)作为防御DDoS洪泛攻击的最后一步，它与大多数现有的防御(例如，基于覆盖或基于能力的主动防御)兼容，也就是说，它可以有效地弥补它们的缺点，因此，本文主要关注基于滤波器的对策。基于过滤器的对策近年来也引起了人们的极大关注，但是这种方式仍存在以下缺点：

1、固定的过滤器位置。大多数基于滤波器的方法将滤波位置推回到入口路由器，以获得最佳的防御效果，但他们并没有考虑尾部链接闪存攻击，因为随着目标主机的增加，入口路由器永远无法容纳如此多的目标主机增加的过滤器；

2、缺乏部署激励措施。一般而言，互联网服务提供商不愿意部署一种不能作为增值服务出售的新机制，更不用说免费发行服务了，在现有的基于过滤器的方法中，部署者需要向受害者提供稀缺的过滤器并引入额外的操作成本(例如，路径重建中的包标记)，但几乎不接受任何回报，这将破坏ISP的部署激励措施；

3、更多的通信和计算开销。首先，现有方法要求过滤器在路由器级传播，这将带来大量的通信开销，在发生攻击的情况下，对于性能较高的路由器，不可能完成通信服务，其次，永久激活现有方法中的路径建立，包括用于分组标记操作和用于源认证操作，而不是被动操作，这将不可避免地给路由器计算开销并进一步产生转发延迟。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种面向服务的尾端链路洪泛攻击过滤方法，解决了上述存在的问题。