[发明专利]一种防御高速网络中IP地址欺骗DDoS攻击的方法

说明书

本发明公开了一种防御高速网络中IP地址欺骗DDoS攻击的方法，分为离线训练和在线防御。离线训练中，将DDoS攻击公开数据集的地址平移后与高速网络流量公开数据集混合，得到混合流量数据集并系统抽样，用包含6个计数器和1个哈希表的Sketch结构基于源MAC地址和目的IP地址提取流量特征并标记，随后在有监督的机器学习方法下使用经过标记的流量特征训练生成攻击流量分类器。在线防御中，部署在高速网络边界节点上，对输入的高速网络流量系统抽样并提取流量特征，用攻击流量分类器检测，给出包含攻击流量地址对(源MAC地址和目的IP地址)的告警列表，最后通知边界路由器过滤告警列表中流量实现防御。本发明可被网络管理者用于防御高速网络中IP地址欺骗DDoS攻击。

技术领域

本发明涉及一种防御高速网络中IP地址欺骗DDoS攻击的方法,属于网络安全技术领域。

背景技术

DDoS攻击是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务，甚至导致系统崩溃。目前DDoS攻击已经成为网络安全的重要威胁。同时由于现有因特网的路由协议并不需要验证源IP地址，目前的DDoS攻击通常是经过源IP地址伪造的DDoS攻击，由于能够有效隐藏攻击者,IP地址欺骗DDoS攻击被广泛采用。因此，防御IP地址欺骗DDoS攻击对网络管理者维护网络安全具有重要意义。

目前，研究者们已经提出了一系列检测和防御高速网络中DDoS攻击方法，但是这些防御方法在面对IP地址欺骗的情况时存在一些问题，应用效果并不是很理想。

(1)基于被攻击者地址的防御方法

通过在检测中获得被攻击者的IP地址并阻断对受害者的所有访问以进行防御，但是这将使被攻击者完全无法工作。

(2)基于攻击流量源IP地址的防御方法

通过检测获取攻击流量中的源IP地址，并将其作为恶意主机的IP地址添加到黑名单中进行防御。然而，在存在源IP地址欺骗的情况下，将虚假的源IP地址列入黑名单会降低防御系统的有效性。

同时研究者们针对源IP地址欺骗也提出了IP回溯的方法，但是存在着实际应用问题，不能应用于互联网中去解决DDoS攻击防御系统无法应对源IP地址欺骗的情况。

(1)数据包标记技术

数据包标记技术需要路由器在一些特定的数据包字段中写上一个标签。被攻击者通过整合数据包标签来定位攻击源。然而，这个技术需要修改现有的标准协议且需要大量基础设施支持，不能在实际中进行广泛应用。

(2)日志记录技术

日志记录技术要求路由器记录所有转发的数据包。当攻击发生时，通过路由器中的记录来重建攻击路径。然而，这些技术需要大量的存储和计算开销，尤其在高速网络环境中部署该应用会造成成本急剧增加。同时也存在着隐私泄露、网络拓扑泄露等风险，并且具有时限性。

(3)数据包标记和日志记录混合技术

混合技术同时应用数据包标记技术和日志记录技术，只是对日志记录和数据包标记技术面临的问题的一个缓解，无法完全避免如存储开销和计算开销，日志时效性等问题，且跨自治域追踪溯源的隐私泄露、网络拓扑泄露等风险依然存在。

发明内容