[发明专利]一种针对交火攻击的多网络地址跳变安全防御方法

说明书

本发明公开了一种针对交火攻击的多网络地址跳变安全防御方法，该方法检测到PR发生拥塞后，在受保护的诱饵节点和目标节点上游创建多个功能等价的变体，每个变体在OF交换机中以一个轻量级IP层代理的方式安装到OpenFlow交换机中，当变体被攻击者猜测为一个潜在PR入口时，对被猜测的PR进行分流或压制流量，迷惑攻击者的PR发现过程，使得下一轮的交火攻击难以进行。本发明可增加路由的多样性，降低网络中持久路由的可见性和可预测性，极大增加僵尸网络PR发现过程的不确定性，进而解决交火攻击的安全防御问题，减缓该类攻击对被攻击的网络所造成的拥塞，最终使得攻击者失去对攻击目标的兴趣。

技术领域

本发明属于信息安全领域，尤其涉及一种针对交火攻击的多网络地址跳变安全防御方法。

背景技术

交火攻击(Crossfire Attack)是一种复杂的分布式拒绝服务攻击(DistributedDenial-of-Service，DDoS)武器，能够有效切断目标服务器区域与终端主机之间的数据连接，如可破坏美国53％的互联网连接。在攻击中，僵尸网络首先通过发送具备不同生存时间(Time-to-Live，TTL)的网络控制报文协议(Internet Control Message Protocol，ICMP)数据包，来探测转发到目标区域路由器级别的路径。然后，由攻击方进一步从探测到的路径中根据如下两条原则选择公用路由，以形成一个持久路由(Persistent Route，PR)的集合：(1)每个PR的输出节点与目标主机之间是非邻接的，这使得僵尸网络难以在目标区域中有效被识别出来；(2)PR具有在僵尸节点和目标节点之间转发数据流的高密度特性，以确保泛洪时能够有效造成网络拥塞。与此同时，在转发到目标节点的每个PR下游，由攻击者准备一个相应的诱饵节点。最后，僵尸网络向诱饵节点发送具备有效网络地址、低速率的泛洪流量，耗尽PR的带宽。该种类型的攻击目前难以被防火墙或入侵检测系统所检测到。

现有工作解决该类攻击主要从如下两个方面进行：(1)基于移动目标防御(MTD)的方法将受拥塞的PR分流到新的备选路径上，同时将检测出来的僵尸节点从正常的主机中分离出来；(2)基于阻塞的方法将检测出来的泛洪数据流或僵尸节点从网络中过滤掉。上述方法均需要僵尸节点级的异常流量检测，然而存在如下限制：(1)Linux上的traceroute程序或Windows上tracert程序等所发送的ICMP探测数据包存在很强的规律性，然而这些探测数据包能够以更为复杂的方式发送，如可使得数据包的TTL值随机化，以绕过防御系统的检测，这是由于它们与正常的ICMP数据包具有很强的相似性；(2)泛洪检测可被发送极低数据流量、随机发送间隔的僵尸节点所绕过，这是由于难以在大规模的网络中采用高频率的采样。

软件定义网络(Software-Defined Networking，SDN)是一种广泛使用的集中式网络范例，它将交换机的控制逻辑分离到控制器的软件中。在单域的SDN环境下，控制面是由一个或多个OpenFlow控制器构成，每个控制器控制其所属的一个或多个OpenFlow交换机。在该架构下，SDN能够灵活地改变数据包的报头字段值，并通过OpenFlow(OF)协议在数据平面交换机上无缝配置底层OpenFlow交换机的数据平面转发规则，实现灵活可编程的路由控制。

发明内容

本发明的目的在于针对现有技术的不足，提供一种针对交火攻击的多网络地址跳变安全防御方法。

本发明的目的是通过以下技术方案来实现的：一种针对交火攻击的多网络地址跳变安全防御方法，包括以下步骤：

(1)通过控制器向交换机发送查询消息；所述查询消息为获取第i条数据平面链路l_i上接收到的数据包数量数值和转发到该链路上的数据包数量数值

(2)通过步骤(1)中获取的数值和数值的动态变化来判断数据平面链路l_i的拥塞等级κ(l_i)，包括以下子步骤：