一种防御DoS攻击的方法
【技术领域】
[0001]本发明涉及信息技术领域,具体为一种防御DoS攻击的方法。
【背景技术】
[0002]随着计算机网络的迅速发展,网络安全问题日益突出。传统的防火墙由于无法控制网络内用户的行为、无法处理合法用户的非法行为以及不能阻止未知恶意代码的攻击等局限性,已无法满足某些部门的需要。作为对防火墙这种静态防护技术的补充;入侵检测系统以其动态防护特点而成为解决网络安全问题的新策略,然而不容忽视IDS自身的安全问题,由于IDS的特殊性,其往往最先受到黑客的攻击,各种攻击之中,对IDS最致命的就是拒绝服务攻击。
[0003]根据IDS资源使用层次和保护级别的不同,存在以下几种对抗DoS攻击的方法:
1.1DS主动响应
某些IDS可以增改外部路由器和防火墙的过滤规则,在IDS探测器检测到DoS攻击之后,可以迅速地重新配置相应的路由规则来阻止攻击;但这种方法存在以下缺点:(I)为了实时响应并有效阻止flooding DoS攻击,IDS必须控制大部分路由器;(2)经常改变路由器的过滤规则会降低其性能从而影响正常合法的通讯;(3) IDS往往需要一定时间来检测攻击并对其做出响应,攻击者可利用这个时间间隙来对IDS发动DoS攻击。
[0004]2.设计纯分布式IDS
纯分布式IDS的部件之间不相互依赖,具有很好的容错性,能有效地对抗多种DoS攻击,但因开销和复杂度等因素的影响,很难设计出一个实用化的系统。
【发明内容】
[0005]本发明旨在克服现有技术的不足,基于分布式IDS结构,提供一种系统结构简单、容错性强且易于部署的防御DoS攻击的方法。
[0006]本发明提供的一种防御DoS攻击的方法,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
[0007]所述IDS机构包括通过总线通信的若干域,所述域内包括与总线之间通信的主干以及与主干间进行通信的若干区域;所述主干中包括关键主机构成的关键集以及代理主机构成的代理集,所述区域中包括子主机构成的子集;各主机上运行各对应agent。
[0008]所述机构内安全主机间建立连接的规则具体为:首先主机之间采用shal或者MD5加密的方式进行信息摘要加密,其次,使用时间戳加随机数方式防止重放攻击。
[0009]本发明采用以上技术方案与现有技术相比,具有以下技术效果:
该防御DoS攻击的方法基于IDS机构,通过对移动agent的移动范围以及主机间建立连接的相关规则做限制,有效隔离了关键部件与其他部件间的通信,使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;一旦受到攻击,移动agent将关键部件转移,并用备份的agent来替代受到攻击失效的agent,始终保持IDS机构的完整性。
【附图说明】
[0010]以下将结合附图对本发明作进一步说明:
图1为本发明中分布式IDS机构的整体结构图;
图2为本发明中分布式IDS机构的一个域的网络架构图。
【具体实施方式】
[0011]本发明提供一种防御DoS攻击的方法,为使本发明的目的,技术方案及效果更加清楚,明确,以及参照附图并举实例对本发明进一步详细说明。应当理解,此处所描述的具体实施仅用以解释本发明,并不用于限定本发明。
[0012]如图1至2所示,本发明提供的防御DoS攻击的方法基于以下IDS机构模型:
把路由器、主机等各种网络设备分成一些集合,包含所有设备的总集叫机构(enter-prise),机构由许多域(domain)组成,域之间通过机构总线(enterprisebus)通信,每个域中有一个主干(backbone)和一些区域(reg1n),主干中的网络设备(如防火墙、交换机等)都具有一定的抗攻击性,区域中一般只有主机和服务器,主干直接与总线相连,机构总线可能包含部分Internet或其他公共网络,主干里的网络设备之间以高带宽线路相连,此高带宽线路与攻击者可以访问的公共网络相连,区域仅与它所在域的主干相连。
[0013]三种安全主机--关键(critical)主机、代理(proxy)主机和子(child)主机组成三种集合一一关键集、代理集和子集,相应地存在三种移动agent:关键agent、代理agent和子agent,为防止被攻击者发现,关键主机与非关键主机的通信经过一个中介一代理主机,关键主机和代理主机位于主干内,子主机位于区域内,各agent分别位于各种主机内,关键agent进行入侵检测分析、控制,是防止系统遭受攻击的最重要的部分,子agent负责采集和分析各种事件。代理agent提供子agent与关键agent之间的通信服务。
[0014]系统安全模型正在由最初的静态系统模型逐渐过渡到动态安全模型,IDS作为一种积极主动的安全防护技术对网络安全起着不可估量的作用,正因为如此,攻击者就会在攻击目标网络之前,先攻击IDS使其瘫痪,我们认为DoS攻击是对IDS的最大威胁,本文在详细分析了分布式IDS的缺陷以及攻击者的攻击方法之后,提出了一种基于移动agent的分布式IDS模型,分析表明此模型具有较强抗攻击性,能很好地对抗DoS攻击。
[0015]本方法基于该方法基于上述分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
[0016]由于总线可能包含公共网络或Internet,因此域之间通过总线通信时,对信息的验证和加密必不可少,域内的三种主机及agent只允许以特定的方式通信,移动agent能在它所属的集内随意移动。由于采集事件的子agent所在的区域可能不太安全,所以为防止恶意agent的传播,仅允许子agent在代理集和区域之间移动;另外也不允许代理agent移动到关键集内,因为代理agent提供子agent与关键agent之间的通信服务,而子agent所在的区域可能存在攻击者,这样就可能暴露关键主机的位置。此外,还禁止一个集内的agent申请与其他集内的agent连接,这里所说的申请连接类似于建立TCP连接,一旦连接建立。就由连接双方决定传送的内容,这就存在极大的安全隐患;本模型中有两个申请连接的限制,一是为了避免子集内的攻击者发现关键主机的位置,不允许关键主机申请与子主机的连接。二是不允许子集内的主机申请与其他集内主机的连接,这个限制是为了使子主机不知道其他集内安全主机的位置,因为子主机是可攻破的,而其所在的区域又可能存在攻击者,这样子主机及其相应的agent仅仅知道与其通信的代理agent的位置,这是加强模型安全性的一个重要特性。代理agent的作用仅是路由网络通信,规定每个区域仅由惟一的代理主机来代理,这样区域内的攻击者通过sniffing仅能发现这个区域里的代理主机,从而有效地隐藏了关键主机,由于域之间通过总线通信,总线上的攻击者就可对任意域发动DoS攻击,切断域之间的通信,但不会影响域内的通信,因为假设域内的防火墙能有效地阻止DoS的攻击数据包。因此本模型中的每个域的功能如同一个独立的IDS,既然总线上的攻击者能切断域之间的通信,所有用于收集、分析攻击信息的agent都应该位于域内,因此不允许agent在域间移动,子集之间的通信也被禁止。因为子集内的攻击者可能由此发现其他域内安全主机的位置,仅仅允许不同域内关键集之间的通信,这是本模型分析不同域内数据的惟一方法。
[0017]本发明提供的防御方法通过隐藏IDS主机使攻击者无法通过sniffing和probing等技术探测IDS拓扑结构;在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
[0018](I)对抗 sniffing 和 probing
由于主干上的所有网络设备如路由器、交换机、防火墙等都很难攻破,攻击者也就无法在主干上侦听,同样由于从关键主机发往非关键主机的信息都要通过代理主机,攻击者在非关键主机附近监听也不能确定关键主机的位置,虽然不难发现代理主机的位置,但在我们的模型中,代理主机有许多备份,另外只要将一些简单的过滤规则加到IP层就可以阻止绝大部分主动probing攻击。
[0019](2)对抗Dos攻击
尽管隐藏了关键IDS主机,攻击者仍可能对一个随机的IP地址发动flooding DoS攻击,如果这个地址恰好对应着一台关键IDs主机,这个IDS主机就会逐渐变慢直到最后完全瘫痪,本模型中。
[0020]每个关键agent都有多个备份agent,它们都位于同一个域内的不同关键主机中,一旦某个关键agent失效,备份agent相互协商决定谁来替代原agent,替代agent取代原agent的所有功能并关闭原agent,其余备份agent又成为这个替代agent的备份。
[0021]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种防御DoS攻击的方法,其特征在于,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。2.根据权利要求1所述的一种防御DoS攻击的方法,其特征在于,所述IDS机构包括通过总线通信的若干域,所述域内包括与总线之间通信的主干以及与主干间进行通信的若干区域;所述主干中包括关键主机构成的关键集以及代理主机构成的代理集,所述区域中包括子主机构成的子集;各主机上运行各对应移动agent。3.根据权利要求2所述的一种防御DoS攻击的方法,其特征在于,所述移动agent包括: 关键agent,其进行入侵检测分析、控制; 子agent,其负责采集和分析各种事件; 代理agent,提供子agent与关键agent之间的通信服务。4.根据权利要求1所述的一种防御DoS攻击的方法,其特征在于,所述机构内安全主机间建立连接的规则具体为:首先主机之间采用shal或者MD5加密的方式进行信息摘要加密,其次,使用时间戳加随机数方式防止重放攻击。
【专利摘要】本发明提供一种防御DoS攻击的方法,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。该方法实施简单,基于现有分布式IDS机构,具有较强抗攻击性,能很好地对抗DoS攻击。
【IPC分类】H04L29/06
【公开号】CN105337983
【申请号】CN201510805535
【发明人】黄韬, 魏亮, 戴云伟, 邵凯
【申请人】南京未来网络产业创新有限公司
【公开日】2016年2月17日
【申请日】2015年11月20日