基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法
【技术领域】
[0001] 本发明是一种应用于云计算路由平台的防御DDoS攻击的核心算法。该发明可以 有效的防御针对云计算中心和云计算路由平台的DDoS攻击。该发明属于计算机技网络安 全领域拒绝服务攻击防御技术领域。
【背景技术】
[0002] 分布式拒绝服务攻击(DDoS)是目前对网络信息安全具有巨大威胁的一类攻击, 它破坏性强且易于发动,又因为有多层傀儡机做跳板,能够很好的隐藏攻击者身份。云计算 数据中心承载了所有使用云服务的客户的任务,所有云服务使用者都需要与云计算中心进 行通信,一旦云计算中心发生故障,所有用户都会受到影响。这对一些使用云服务的大型企 业来说影响尤为巨大。所以,分布式拒绝服务攻击对云计算中心的威胁是十分巨大的,针对 云计算中心来防御分布式拒绝服务攻击是刻不容缓的。
[0003] 针对防御DDoS攻击的方法,现有研究成果很多,许多学者提出了创新性的方法。 在基于安全访问路径SAP(Security Access Path)方面的研究主要有以下几点。IEEE成 员 Angelos D. Keromytis,Vishal Misra,Dan Rubenstein 提出了 一种安全覆盖网络服 务(Secure Overlay Services, S0S),利用强大过滤功能和安全隧道技术,能够有效阻 止DDoS攻击,并针对接入点有可能被攻击者扫描并攻击提出解决方法。之后,Angelos D. Keromytis又假设攻击者可能针对SOS方法中的接入节点进行集中攻击,并提出对客户 的接入方式进行改进,使得用户能够随机通过多个接入节点进入SOS结构,进而避免被攻 击者追踪到。Chi-Hyung In,Choong Seon Hong,Jiang Wei,Koji Okamura 针对原覆盖网 络的安全措施的漏洞提出突发式攻击与渐变式攻击来提高攻击效率,并提出对网络流量使 用聚类方法检测流量异常。IEEE 成员 Xun Wang, Sriram Chellappan,Phillip Boyer, Dong Xuan针对原覆盖网络的结构提出入侵攻击与拥塞攻击结合的新的攻击方式,并通过改变结 构层数,映射度数,节点数等参数来分析安全覆盖网络服务性能。
【发明内容】
[0004] 本发明将根据客户至云计算中心之间的云计算泛联路由平台的结构特点,在对一 致性哈希链路访问策略结构进行修改后将其结合进来。本发明又通过一致性哈希链路访问 策略的研究,提出在与云计算路由平台结合后可能会遇到的一些针对性的攻击,并对原有 策略进行改进,提出将虚拟化和心跳机制结合进来的虚拟-哈希安全路径,能够在节省开 销的同时提高哈希安全路径自身的防御效果。本发明的主要内容为:
[0005] 1、对云计算路由平台的拓扑结构进行三层抽象化提取
[0006] 云计算的数据传输平台也称为泛联路由平台。它是承载云计算的数据传输平台, 通过各层次路由设备的接入和业务处理能力,满足云计算数据中心对终端用户业务提供的 高可用、易用、可扩展性。云计算路由平台具有层次化的特点,大多可以分为核心层、中间层 和接入层三层。用户发送请求经由接入层通过中间层路由,核心层路由,最后到达云计算中 心。
[0007] 原一致性哈希链路访问结构是应用于无层次结构的P2P网络中的,完全按照 chord算法的忽略物理拓扑的路由方式,这种路由方式虽然能够很好的滤除攻击流,但是同 时也带来了很大的时延问题。通过研究层次化云计算路由平台的结构,结合原应用于P2P 网络的一致性哈希链路访问策略,提出了基于云计算路由平台的哈希安全访问路径,在应 用chord算法的应用层路由方式同时结合层次化网络拓扑结构的特点,在保证滤除攻击流 的同时使得路由方式尽量适合于层次化的物理拓扑。哈希安全访问路径结构示意图如图1 所示。
[0008] 2、将一致性哈希链路访问策略应用于云计算路由平台三层结构。
[0009] 将云计算中心作为哈希安全路径结构中的目标,分别在核心层,中间层,接入层中 安排部分节点作为哈希安全路径中的秘密节点,指引节点和安全接入节点。用户如果要访 问云计算中心,首先会将请求发送至接入层节点。此节点如果不是安全接入节点,则会将请 求转发到相邻的安全接入节点上。安全接入节点对其进行身份验证后按照一致性哈希算法 向上一层指引节点进行路由转发,指引节点再将数据包转发至秘密节点。最后,秘密节点再 将数据包转发至目标。目标周围的过滤器设定了规则只允许来自于秘密节点的数据包通 过。合法用户的数据包的传输过程都是建立在应用层上的路由方式,而攻击者如果要对云 计算中心发动攻击,就只能按照网络层的路由协议进行。
[0010] 同时应在与哈希安全路径的指引节点和秘密节点连接的路由器上设定规则,丢弃 不属于哈希安全路径结构中的节点转发而来的数据包,这样攻击者所发动的攻击流就必须 要在3层转发中都能够选择中哈希安全路径的节点才有可能到达目标,但是这种概率很 小。如果在每一层中取出30%的节点作为哈希安全路径的节点,而攻击者按照网络层路由 方式随机选择节点转发,则攻击者在每一层攻击到哈希安全路径节点的概率为30%,所发 动的攻击流平均只有左右能够到达目标,这对目标的影响已经很小了。而哈希安全路径通 过云计算路由平台到达云计算中心只需要三次物理层次间的跳转,相比SOS结构中查询过 程的多次无视物理拓扑结构的跳转能够节省大量的时间,缩短时延。
[0011] 3、提出针对一致性哈希链路访问策略中的chord算法的改进算法。
[0012] chord将网络中所有节点的节点信息如IP地址进行哈希映射,然后将节点标识符 从小到大顺时针排列成一个环状,排列中的下一个节点就是环形中沿顺时针方向的下一个 节点。
[0013] 由于原一致性哈希链路访问策略是应用于P2P的网络中,为了使一致性哈希的链 路访问策略能够应用于三层的网络结构,本方法将chord的路由算法的查询步骤进行分 解,只取前三次跳转,使其符合安全路径的结构。首先需要对云计算路由平台的节点的地址 和目标服务器的地址进行哈希运算,得出标识符,全部映射在chord环上。之后选取目标标 识符的后向节点的顺时针之后的一个区域,这个区域称为安全接入区,区域的大小根据选 取节点个数的需要可以在半个环之内任意选取。节点标识符在安全接入区内且位于云计算 路由平台接入层的节点可以选取作为安全接入节点。在这安全接入区的顺时针180°相对 应的另外一部分区域称为指引区。节点标识符在指引区内且位于云计算路由平台中间层的 节点可以选取作为指引节点。从指引区的最后一个节点到目标标识符的后向节点之间所形 成的区域则称为秘密区。节点标识符在秘密区内且位于云计算路由平台核心层的节点可以 选取作为秘密节点。秘密节点都保存有目标节点的地址信息。当数据包到达秘密节点时秘 密节点不必再按照原chord的路由方式继续往下查找,而是直接将数据包送往目标地址。 未被选取到的节点则不在哈希安全路径结构内,排除出chord环,不参与chord路由过程。
[0014] 针对chord的节点的指针表也有需要调整的地方。当安全接入节点查询过程指 针表最大表项对应的节点的后向节点在指针区不存在或发生故障时,那么按照原chord算 法,指针表中这些安全接入节点的指针表将会超过指引区的范围将秘密区的节点作为查询 的对象。因此,我们需要在安全接入节点上进行一个判断,如果其查询目标对应的后向节点 的值超过了指针区的标识符的范围,不能继续顺时针选择下一个节点,而是选择指针区中 标识符最大者。这就保证该策略在受到攻击时,不会出现安全接入节点转发而来的数据包 由于指引节点的下线而直接映射到秘密区的节点上,而是仍然在指引区中还能正常工作的 节点上传递。图2是总节点数为64时基于chord环的本方法的示意图,假设K61为目标标 识符。而表1是节点N16的指针表改变前后的对比表。
[0015] 表1节点N16的指针表改变前后的对比表
[0018] 在图2中,接入层节点N16要将经过认证后的合法用户的数据包顺时针传递。通 过其指针表即可看出,其下一跳转的节点为58,超过了指引区的范围。按照以上所述,本方 法在这里将其修改为指引区中标识符最大者即46。当数据包被转发至标识符为46的节点 上的时候,此节点再通过指针表找出下一跳的节点为N3。当节点N3接收到数据包时则不论 自己是否是目标标识符的后向节点,直接将数据包转发向自身已经保存的目标服务器的地 址。通过这种转发流程,就能够完成数据包在哈希安全路径中的三层路由转发。
[0019] 4、引入虚拟机机制和心跳机制
[0020] 采用一致性哈希算法的方式能够有效的减轻恶意数据包对目标服务器的影响。但 是,云计算路由平台自身也可能成为攻击者的目标。假设攻击者能够实时掌握到云计算路 由平台节点的信息,即攻击者能够对处于云计算路由平台三层结构中的所有节点发动攻 击。根据Keromytis在安全覆盖网络服务中的描述,安全覆盖网络服务的特性之一就是覆 盖网络中任何一个节点被攻击,此节点都会简单地退出覆盖网络。这给了攻击者机会进行 攻击。针对这种安全措施上的漏洞提出一种新的攻击方式,即攻击者周期性地选择一部分 节点作为攻击对象,当下一个周期来临时,假设攻击者能够通过侦听等手段了解到自己攻 击的节点中哪些节点不在哈希安全路径中,并在下一个周期时改变这些节点的攻击方向, 重新选择攻击节点。与此同时,一致性哈希链路策略的自我修复特性能够通过周期性的稳 定化过程完成故障节点的排除,防止故障节点影响网络正常通信。以上这两种机制都会造 成网络中节点数的快速消耗。我们可以从概率上简单分析了在新型攻击下原安全覆盖网络 的问题。