[发明专利]抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质

说明书

本发明公开了一种抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质，根据获取的网络路由数据计算要攻击的目标链路集，使用流量工程的方法来分发或重路由非目标链路上的流量，使攻击者的收益最小化，计算攻击者针对使用流量工程的方法来分发或重路由非目标链路上的流量的防御策略作出的攻击，采用回溯法计算防御者针对该攻击的防御策略，最大化防御者的收益，充分考虑攻击者可能采用的暴力攻击防御者部署的使用流量工程的链路，使用基于博弈论的方法，考虑攻击者与防御者各自都想最大化自己利益的情况下，得到防御者最佳的防御策略，能够有效防御骨干链路DDoS攻击。

技术领域

本发明涉及网络基础设施安全领域，具体为一种抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质。

背景技术

信息技术的发展使得网络安全成为一个不可忽视的话题，近年来频繁发生的网络基础设施攻击事件受到了广泛关注。分布式拒绝服务攻击(Distributed Denial ofService，DDoS)指攻击者控制大量在线设备向攻击目标发送大量正常或非正常的请求，由于目标主机的网络资源(如文件描述符、缓冲区等)有限，攻击者操纵的大量请求会耗尽资源，使得被攻击的主机无法为合法用户提供正常的服务。2015年网易旗下部分服务因骨干链路遭受攻击而不可用，这是最近发现的一类新型DDoS攻击，链路洪泛攻击(LinkFlooding Attack，LFA)，也可称为骨干链路DDoS攻击。传统的分布式拒绝服务攻击的直接目标是终端计算机服务，而链路泛洪攻击的攻击目标是构成互联网骨干网络的中间关键链路。在吸引学术界很长时间后，目前已有攻击者在实际网络中进行链路洪泛攻击，对大型地区性网络造成了严重的威胁。针对链路洪泛攻击，有学者提出使用流量工程(TrafficEngineering)的方法抵抗链路洪泛攻击。常用的流量工程方法，比如负载均衡(loadbalancing)、重路由(re-routing)、分发流量(distributing routes)，通常是通过在IP层重新配置OSPF协议中的链路权重(OSPF-weights of links)来调整OSPF层的路由转发策略。当防御者使用流量工程的方法来防御链路洪泛攻击时，暴力的攻击者可能通过去洪泛所有防御者布置的使用流量工程的链路来达到自己的攻击目的。

目前的链路洪泛攻击防御方法主要是设计流量工程方法，来将攻击流量引导到防御者布置的备用链路上，缓解被攻击链路的安全。如图2所示，攻击者部署的僵尸主机协调发出巨大的网络流量，到目标受害网络中的公共服务器(或掩体服务器、僵尸主机)。掩体服务器是指目标网络外提供开放服务的公共服务器(如HTTP、FTP服务器)。攻击者协调发出的巨大的攻击流量将极大的聚集在目标链路。这些大量攻击流量是低频、看起来很像合法流量同时可以欺骗网络协议的。在造成大量的网络瘫痪之前，通常攻击流量是很难被识别的。但是目前没有人分析这种暴力抵抗流量工程攻击者的行为，没有针对这种暴力抵抗流量工程攻击者的防御方法。针对现有技术中存在的问题，本发明提供一种抵抗骨干链路DDoS攻击的方法，能够针对抵抗流量工程的攻击者设计防御方法，进行有效的防御。

发明内容

针对现有技术中存在的问题，本发明提供一种抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质，能够针对抵抗流量工程的攻击者进行有效的防御。

本发明是通过以下技术方案来实现：

一种抵抗骨干链路DDoS攻击的方法，包括以下步骤：

S1，采集僵尸主机到目标网络的网络路由数据，根据获取的网络路由数据计算要攻击的目标链路集，使用流量工程的方法来分发或重路由非目标链路上的流量，使攻击者的收益最小化；

S2，计算攻击者针对使用流量工程的方法来分发或重路由非目标链路上的流量的防御策略作出的攻击，采用回溯法计算防御者针对该攻击的防御策略，最大化防御者的收益，从而实现链路洪泛攻击时的抵抗防御。