专利名称:一种云环境下防止DDoS攻击的包过滤方法
技术领域:
本发明涉及计算机软件技术领域,特别是一种云环境下防止DDoS攻击的包过滤方法。
背景技术:
云计算的发展,使得人们实现了把计算作为一种公共设施来提供的梦想,并且,这个梦想逐渐称为商业现实。同时,云计算的发展,使得IT产业发生巨大的变化,具体体现在云计算的资源既指通过互联网以服务方式提供的应用程序,也指在数据中心用来提供这些服务的硬件和系统软件。因此,云计算能够提供看似无限的计算资源,从而使得用户可以按需获取所需要的资源。云计算在过去的几年发展中,得到了学术界和工业界的广泛重视,并获得了一个又一个的成功。在软件工程和商业应用领域里,云计算技术显示出无处不在和显著的优势。然而,随着云计算的发展,云计算中的安全问题也显得越来越严峻,尤其是DDoS攻击 (Distributed Denial-oflervice,分布式拒绝攻击),是云安全问题中的最主要的威胁。 DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式。DDoS通过组织一些僵尸攻击机器,向目标服务器发送大量的请求,使服务器超负荷,阻断某一用户访问服务器,阻断某服务与特定系统或个人的通讯,即通过使网络过载来干扰甚至阻断正常的网络通讯。为了应对DDoS攻击,学术界从不同的角度对应对DDoS攻击的策略进行了大量研究。其中,最主要的三个分支为攻击侦查(attack detection),攻击过滤(attack filtering)和攻击追溯(attack traceback)。其中,攻击过滤的研究主要包括三个方面 源点发出的攻击(source-initiated),基于路径的攻击(path-based),以及由受害的机器发出的攻击(victim-initiated)。这里本发明主要关注第三种攻击方式,即由受害的机器发出的攻击。关于victim-initiated攻击,已经有很多相关的研究。其中,最典型的是 Y. Kim 在"PacketScore :A Statistics-Based Packet Filtering Scheme against Distributed Denial-of-Service Attacks” 中提出的 PacketScore 方法(IEEE Trans. Dependable and Secure Computing, vol. 3,no.2, pp. 141-155,2006)。在 PacketScore 方法中,首先统计数据包中TCP头和IP头中属性的分布情况,然后使用贝叶斯理论来为数据包进行打分,根据数据包的得分,从而决定数据包的丢弃与否。p. E. Ayres等人在 PacketScore 的基础上作了一些改进,即在“ALPi =ADDoS Defense System forHigh-Speed Networks,,中提出了 PacketScore 的改进方法 ALPi,(IEEE J. Selected Areas Comm., vol.24, no.10, pp.1864—1876,2006)。在“Defense against Spoofed IP Traffic Using Hop-Count Filtering,” 中,H. Wang 等人提出了 HCF(Hop-Count Filtering)方法(IEEE/ ACM Trans. Networking, vol. 15,no. 1,pp. 40-53,2007)。HCF 是根据源 IP 地址跟数据包TTL值属性对之间的关系为依据,来对数据包进行过滤。Y. Xie等人在“Monitoring the Application-Layer DDoS Attacks for Popular Websites,” (IEEE/ACM Trans. Networking, vol.17, no. 1, pp. 15—25,2009)及"A Large—Scale Hidden Semi-MarkovModel for Anomaly Detection on User Browsing Behaviors,,(IEEE/ACM Trans. Networking, vol. 17,no. 1,pp. 54-65,2009)中提出了根据数据包中相关联的属性,即文档的流行度和用户的浏览习惯之间的关联来侦测攻击包。随着互联网和云计算技术的飞速发展,个人或企业都希望能够整合已有资源,以实现增值服务。然而,由于网络环境的动态性与不确定性,特别是当某些恶意攻击的行为发生时,云环境中资源的安全性是不确定的。因此,提高云计算环境下的安全性对云计算环境下的应用是非常必要的。而在各种安全威胁中,DDoS攻击最为频繁和严峻,且应对DDoS攻击的方法中,有的响应较慢,有的处理效率较低,有的不容易配置实施。
发明内容
发明目的本发明所要解决的技术问题是针对现有技术的不足,提供一种云环境下防止DDoS攻击的包过滤方法。本发明中,一种云环境下防止DDoS攻击的包过滤方法,包括无攻击阶段和有攻击阶段两个部分在无攻击阶段,网关执行以下步骤步骤11,每隔一个时段t,收集通过网关的数据包;步骤12,抽取数据包中的所有属性对,计算每个属性对0^,為2)的频率值,记为 Conf(^Aii);频率值Co /(、,42)即属性对(、,42)在数据包中出现的次数与时段t内通过网关的数据包总数的比值;步骤13 生成属性对频率值的数据库对频率值CWJ/O^,、)大于频率阈值 minConf的所有属性对,将所有属性对的值及其频率值存储进入数据库,将该数据库记为参照库;对于频率值小于或等于频率阈值minConf的属性对,则不存储;在有攻击阶段,网关执行以下步骤步骤21,提取通过网关的每一个数据包中的所有属性对;步骤22,从参照库中读取该属性对对应的频率值,如果参照库中没有对应的属性对,则用频率阈值minConf代替该属性对的频率值;步骤23,计算数据包中所有属性对的频率值的加权和,记作数据包的可信度值;步骤24,比较数据包的可信度值与可信度阈值mir^core,如果数据包可信度值小于可信度阈值mir^core,则判定为非法数据包并丢弃,如果数据包可信度值大于或等于可信度阈值minScore,则判定为合法数据包并让其通过网关。本发明中,无攻击阶段,指在时段t内,通过网关的数据包的数量小于包数目阈值minNum,有攻击阶段,指在时段t内,通过网关的数据包的数量大于或等于包数目阈值 minNum0本发明中,所述的属性对O^vA2)指的是数据包中6个属性的任意两两组合成的 15个属性对,其中1 < I1 < 6,1 < i2 < 6 ;所述数据包中的6个属性指网络层中数据包所包含的属性,即封装在IP首部和TCP首部中的属性,包括数据包长度、数据包TTL值、协议名称、源IP地址、标志以及目的IP地址。本发明中,属性对的频率为属性对在数据包中出现的次数与时段t内通过网关的数据包总数的比值,所述属性对的频率值采用下式计算
权利要求
1.一种云环境下防止DDoS攻击的包过滤方法,其特征在于,包括无攻击阶段和有攻击阶段两个部分在无攻击阶段,网关执行以下步骤步骤11,每隔一个时段t,收集通过网关的数据包;步骤12,抽取数据包中的所有属性对,计算每个属性对Oi1,的频率值,记为 Conf(Ah,Ah);频率值O^ZU1,4)即属性对(4,4)在数据包中出现的次数与时段t内通过网关的数据包总数的比值;步骤13 生成属性对频率值的数据库对频率值大于频率阈值minConf的所有属性对,将所有属性对的值及其频率值存储进入数据库,将该数据库记为参照库;对于频率值小于或等于频率阈值minConf的属性对,则不存储;在有攻击阶段,网关执行以下步骤步骤21,提取通过网关的每一个数据包中的所有属性对;步骤22,从参照库中读取每个属性对对应的频率值,如果参照库中没有对应的属性对, 则用频率阈值minConf代替该属性对的频率值;步骤23,计算数据包中所有属性对的频率值的加权和,记作数据包的可信度值;步骤24,比较数据包的可信度值与可信度阈值minScore,如果数据包可信度值小于可信度阈值mir^core,则判定为非法数据包并丢弃,如果数据包可信度值大于或等于可信度阈值mir^core,则判定为合法数据包并让其通过网关。
2.根据权利要求1所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于,无攻击阶段,指在时段t内,通过网关的数据包的数量小于包数目阈值minNnm,有攻击阶段, 指在时段t内,通过网关的数据包的数量大于或等于包数目阈值minNnm。
3.根据权利要求2所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于, 所述的属性对Oi1,^)指的是数据包中6个属性的任意两两组合成的15个属性对,其中 1^1^6,1^1^6 ;所述数据包中的6个属性指网络层中数据包所包含的属性即封装在IP首部和TCP首部中的属性,包括数据包长度、数据包TTL值、协议名称、源IP地址、 标志以及目的IP地址。
4.根据权利要求3所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于,所述属性对的频率值采用下式计算N(A. = a. ,, Ai = a.,)種、= h, A12 =Ohj2)= 、^ & 她,其中,:%λ, A2 =^2J2)表示在时段t内通过网关的数据包中,包含属性对的值为(Λ\ = J2)的数据包的个数,Nn表示时段t内通过网关的数据包的个数;糸表示数据包中的第I1个属性,為2表示数据包中的第i2个属性,其中1 < I1 < 6,1 < i2 < 6,6 为数据包中属性的总个数, ,λ是属性4的第J1种取值, 力是属性片2的第j2种取值,其中 1 </i <mh,1 <j2 <mh,其中,指属性、的所有可取值的个数,A2指属性<的所有可取值的个数。
5.根据权利要求4所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于,所述参照库根据不同的无攻击阶段计算得出的属性对的值及频率值更新,更新规则是用大的频率值代替小的频率值。
6.根据权利要求5所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于,数据包的可信度值^ore(P)采用下式计算Score(p) =,AiJxConf = p{\)Ai2 = p{i2)),即数据包的可信度通过将所有属性对的频率值二 PiiM2 =/^2))按照其权重1ΗΛ,42)进行加权求和得到;其中,P表示数据包,w(&,42)为属性对(Λ,4_2)的权值,所有属性对权重之和为L并且频率值Co /(、=PihlA2 =/^2))与频率值Co /(42 =PQ2XAh =/7( ))相同;频率值 ConfiAh =PdM2 =My)为属性对(么,為2)在数据包中出现的频率值,p(ii)表示数据包P 中属性Λ的取值,P (i2)表示数据包P中属性為2的取值。
7.根据权利要求6所述的一种云环境下防止DDoS攻击的包过滤方法,其特征在于,属性对的权重根据属性对的安全性决定,而属性对的安全性根据属性值所占的长度决定;即属性值长度较长的属性对的权重大于属性值长度较短的属性对。
全文摘要
本发明公开了云环境下防止DDoS攻击的包过滤方法,在无攻击阶段,由网关负责每隔一个时段t,收集网络层中的数据包,然后,提取数据包中的属性对,对于每个属性对,计算其在数据包中出现的频率;所有属性对的频率值形成一个属性对频率值的数据库,该数据库被记为参照库。在有攻击阶段,对于通过网关的每一个数据包,首先提取包中的属性对,从参照库中读取属性对所对应的频率值;然后通过计算得到包中所有属性对频率值的加权和,该和记作数据包的可信度;最后,对数据包的可信度与预先设置的可信度阈值进行比较,若数据包的可信度值大于或等于阈值,则为合法的数据包,能够通过网关;否则,若数据包的可信度值小于阈值,则被过滤掉。
文档编号H04L12/56GK102387158SQ201110407420
公开日2012年3月21日 申请日期2011年12月9日 优先权日2011年12月9日
发明者姜 远, 戴超, 林文敏, 王崇骏, 窦万春, 詹德川, 陈齐 申请人:南京大学