CN101771702B - 点对点网络中防御分布式拒绝服务攻击的方法及系统 - Google Patents
点对点网络中防御分布式拒绝服务攻击的方法及系统 Download PDFInfo
- Publication number
- CN101771702B CN101771702B CN201010033801.XA CN201010033801A CN101771702B CN 101771702 B CN101771702 B CN 101771702B CN 201010033801 A CN201010033801 A CN 201010033801A CN 101771702 B CN101771702 B CN 101771702B
- Authority
- CN
- China
- Prior art keywords
- tpm
- ddos attack
- trusted platform
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000007123 defense Effects 0.000 claims description 70
- 238000001514 detection method Methods 0.000 claims description 36
- 238000005259 measurement Methods 0.000 claims description 15
- 230000009545 invasion Effects 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 5
- 238000009966 trimming Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012706 support-vector machine Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000004069 differentiation Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007493 shaping process Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种P2P网络中防御DDoS攻击的方法,包括:在网络的节点中设置基于可信赖平台模块(TPM)的TPM可信平台及支持TPM的安全操作系统;该方法包括以下步骤:判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点。本发明同时公开了一种P2P网络中防御DDoS攻击的方法及相应系统,采用本发明,能使P2P网络的安全性得到保证,进而提高系统的可靠性,保证信息资源的可用性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种点对点(P2P,Peer to Peer)网络中防御分布式拒绝服务攻击(DDoS,Distribution Denial of service)的方法及系统。
背景技术
最近几年,P2P网络技术迅速成为计算机界关注的热门话题,受到了学术界和产业界包括电信运营商和研发企业等的双重关注,与网格计算一起成为分布式计算领域的两大主要研究热点。由于P2P网络的开放性、动态性和匿名性,使得对等点都无法确定通信对方身份及其信任度。在这种动态的网络环境下,如何保持网络的鲁棒性或称健壮性,并保证信息资源的可用性,如防御恶意DDoS攻击等安全问题,这对P2P网络的安全性提出了巨大的挑战。随着P2P应用领域的日益广泛,如文件共享、多媒体传输、实时通信、以及P2P搜索引擎等,P2P网络安全问题变得更加重要和突出。
在P2P网络安全问题中,最为典型的攻击是DDoS攻击,现有技术中基于P2P网络的DDoS攻击防御技术主要分为以下四种:
第一种,基于认证的DDoS攻击防御:该防御方案是将认证引入P2P系统,认证技术是解决P2P系统安全问题的一种有效手段,混合式P2P结构中的索引服务器或者基于分布式哈希表(DHT,Distributed hash table)的结构化P2P网络中,节点在收到资源拥有消息、或节点加入消息后首先对消息进行认证,这样就可以判断出该消息是否为攻击者伪造的,将攻击者伪造的消息丢弃,从而避免索引或路由表遭受污染,预防了攻击的发生。基于认证来防御分布式拒绝服务攻击,易于部署、方便实现,在一定程度上能够缓解服务器的压力,但是需要结合认证实现,只有当P2P的认证技术是绝对安全时,该方案才是可靠、可用的。然而,目前P2P环境下的认证技术也是一个难题,还没有一套完整可信的解决方案。
第二种,基于支持向量机的DDoS攻击防御:该防御方案是利用支持向量机建立DDoS监控模型,有效检测和防御拒绝服务攻击。支持向量机是一种新的机器学习方法,它的关键是找到能够区分正常流量和DDoS攻击流量的重要属性,即支持向量。该方法主要是方便分析和提取P2P网络下DDoS攻击的重要特征,为建立DDoS攻击的特征库以及识别和防御DDoS攻击提供了可靠的理论支持,该方法具有一定自适应性,有识别变种DDoS攻击的能力。但是,由于用支持向量机进行识别的收敛速度较慢,也就是说,从流量中区分出正常流量和DDoS攻击流量的时间较长,而且此方案仍然是按照传统的模式匹配的思路,加之匹配速度比较慢,所以不能从根本上消除DDoS攻击。
第三种,基于层次模型的DDoS攻击防御:该防御体系是当前市场上主流的解决方案,它的原理是对DDoS攻击流量采取多层分析,层层过滤的方法,使进入网络的数据流是安全的,从而起到防御DDoS攻击的目的。基于层次区分的DDos攻击防御方案是目前Cisco公司在解决Internet上的DDoS攻击防御的一套完整的解决方案。然而,由于现有的DDoS攻击特征变化很快,而这套方案是基于模式匹配的方案,往往是先有DDoS攻击,然后才能找到攻击特征码,对于新型和未知的攻击无法检测出来,或将正常的流量误报为DDoS攻击。因此,此防御方案用于解决P2P网络的安全问题时,经常会出现有DDoS攻击检测不出来,或者检测出来后防御效果不好的现象。
第四种,基于贝叶斯推理的DDoS攻击防御:该方案是运用贝叶斯推理的异常检测方法发现攻击,使系统能根据DDoS攻击的强弱,自适应调整防御机制,维持网络的服务性能。与基于支持向量机的DDoS攻击防御方案相似,基于贝叶斯推理的DDoS攻击防御也属于传统的DDoS攻击防御方案,偏理论、实用性不强,不能从根本上解决DDoS攻击问题。
从以上分析中可以看出,现有技术的实现方案都是在特定条件下解决某一类型的DDoS攻击,虽然效果比较好,但当条件发生变化或者出现新的DDoS攻击变种时,这些方案就缺乏应变能力且不能从根本上抵御DDoS攻击。此外,上述防御都是被动防御,缺少主动性。因此,现有DDoS攻击防御技术方案存在着检测DDoS攻击效率低、缺乏主动性、对新型DDoS攻击应变能力差、不能从根本上防御DDoS攻击、不具有通用性等缺陷。
另外,随着信息化和P2P网络的发展,移动终端如手机、笔记本电脑等作为一种新的P2P实体出现,使得P2P网络向着移动和固定混和模式的P2P网络方向发展。上述方案在解决新环境下出现的节点移动性、低速率DDoS攻击(LDDoS)方面缺少应变,没有提出相应解决方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种防御DDoS攻击的方法及系统,使P2P网络的安全性得到保证,进而提高系统的可靠性,保证信息资源的可用性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种P2P网络中防御DDoS攻击的方法,在网络的节点中设置基于可信赖平台模块(TPM)的TPM可信平台及支持TPM的安全操作系统;该方法包括以下步骤:
判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点。
上述方案中,该方法进一步包括:为每个经过TPM可信平台的运行程序设置Id值;
相应的,所述判断为:判断TPM可信平台监控到的Id值是否在未经允许发生改变。
上述方案中,所述可信还原点为出厂时机器的初始状态,或为用户自己设置的状态。
本发明还提供了一种P2P网络中防御DDoS攻击的方法,在网络的节点中设置TPM可信平台、支持TPM的安全操作系统、以及DDoS攻击防御软件;该方法包括:
数据包流入节点时,通过TPM可信平台和DDoS攻击防御软件防御DDOS攻击。
上述方案中,所述TPM可信平台防御DDOS攻击具体为:判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点。
上述方案中,所述DDoS攻击防御软件防御DDOS攻击具体为:检测是否有DDoS攻击,如果有,则直接将数据包丢掉,追踪到攻击源,并生成攻击日志;如果没有,则结束当前处理流程。
上述方案中,所述检测是否有DDoS攻击具体为:
对网络上传输的动态数据流进行防虚假的检测;对过滤后的数据进一步进行流量异常的检测,发现异常网络流量时,对异常网络流量进行过滤;
对过滤后的数据流进一步进行应用层协议分析;对经过滤的数据流进一步进行速率限制和DDoS流量修整。
本发明又提供了一种P2P网络中防御DDoS攻击的系统,该系统包括:TPM可信平台以及安全操作系统;其中,
TPM可信平台,用于判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
安全操作系统,用于根据经过TPM可信平台判断后的程序和数据包,控制程序的运行。
上述方案中,所述TPM可信平台包括:
I/O模块,用于负责管理通信总线,将消息发送到合适的部件,执行对TPM进行操作的安全策略;
存储模块,用于存储平台状态信息数据;
执行引擎模块,用于控制程序的运行;
安全模块,用于对基本输入输出系统和操作系统进行完整性度量。
上述方案中,所述存储模块包括:
ROM存储器,用于保存机器在初始时的可信状态信息;
PCR寄存器,用于存储平台状态信息数据。
本发明又提供了一种P2P网络中防御DDoS攻击的系统,该系统包括:TPM可信平台、安全操作系统以及DDoS攻击防御模块;其中,
TPM可信平台,用于判断是否有恶意控制程序进入节点有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
安全操作系统,用于根据经过TPM可信平台判断后的程序和数据包,控制程序的运行;
DDoS攻击防御模块,用于将进入安全操作系统的数据包进行DDoS攻击检测,并对检测到的DDoS攻击流量进行防御,生成攻击日志。
上述方案中,所述DDoS攻击防御模块包括:
攻击检测器,用于对网络上传输的动态数据流依次进行防虚假检测、流量的异常检测、应用层协议分析以及速率限制和DDoS流量修整;
攻击防御器,用于将DDoS攻击检测器检测到的DDoS攻击采取直接丢弃数据包的方法进行防御;
日志模块,用于将DDoS攻击检测器检测到的DDoS攻击生成DDoS攻击日志。
上述方案中,所述攻击检测器中包括异常检测单元,所述异常检测单元包括:
网络数据包捕获器,用于捕获网络数据流量;
特征提取器,用于在网络数据包捕获器捕获到攻击流量后,提取攻击流量的特征信息;
时间序列划分模块,用于将网络流量根据特征提取器提取的攻击流量的时间,按照时间序列划分成多个更小尺度的时间段;
R/S结合小波求解Hurst模块,用于根据时间序列划分模块对攻击流量时间划分的结果计算网络流量的Hurst值,并统计Hurst指数的方差;
异常判断模块,用于根据R/S结合小波求解Hurst模块的结果,判断网络流量是否为DDoS攻击流量;
图形用户接口,用于输出整个网络流量的检测过程。
因此,本发明所提供的防御DDoS攻击的方法及系统,具有以下的优点和特点:
1)本发明基于TPM的可信模式可以监控到恶意控制程序并阻止其进入用户主机,因此可以从根本上破坏僵尸网络的形成条件,从而大大减少了DDoS攻击的可能性,达到主动防御DDoS攻击的效果;并且,使源端既是DDoS攻击的发起者也是攻击的终结者,保证了节点的真实性、可信性和数据的隐私性、机密性。
2)本发明提供的DDoS防御软件采用依次进行防虚假检测、流量的异常检测、应用层协议分析、以及速率限制和DDoS流量修整的多层区分、层层剥离的防御策略,可大大提高检测的精度和效率。
附图说明
图1为本发明基于TPM防御DDoS攻击方法的实现流程图;
图2为本发明基于TPM和DDoS攻击防御软件防御DDoS攻击方法的实现流程图;
图3为本发明DDoS攻击防御软件防御DDoS攻击方法的实现流程图;
图4为本发明基于TPM防御DDoS攻击系统的结构示意图;
图5为本发明基于TPM可信平台的结构示意图;
图6为本发明基于TPM和DDoS攻击防御软件系统的结构示意图;
图7为本发明DDoS攻击防御模块的结构示意图;
图8为本发明DDoS攻击检测器中流量异常检测单元的结构示意图;
图9为本发明实施例的基于超级节点的混合P2P网络部署实施拓扑结构示意图;
图10为本发明实施例中的节点检测和防御DDoS攻击的流程图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明P2P网络中基于TPM防御DDoS攻击的方法,可以主动防御DDoS攻击,如图1所示,本发明基于TPM防御DDoS攻击的方法包括以下步骤:
步骤101:在网络的节点中设置基于TPM的TPM可信平台及支持TPM的安全操作系统;
步骤102:判断是否有恶意控制程序进入节点,如果有,则TPM可信平台认为有恶意程序入侵并提醒用户,并请求恢复到可信还原点,结束当前处理流程;如果没有,则直接结束当前处理流程。
这里,由于任何需要运行的程序首先要经过TPM可信平台的认证并被赋予一个Id值,这个Id值经过哈希运算后存放在TPM的注册表中,那么,TPM可信平台的判断具体为:如果TPM可信平台监控到某个Id值在未经自己允许的情况下发生改变时,比如:多了一个哈希值,或者某个哈希值被改变,则TPM可信平台就认为有恶意程序入侵,进而提醒用户,并要求重新启动,恢复到可信还原点;其中,所述可信还原点的哈希值可以是出厂时机器的初始值,也可以是用户自己设置的值。
进一步的,可将图1所述方法与DDoS攻击防御软件相结合,如此,可以更好的防御DDoS攻击,如图2所示,本发明基于TPM和DDoS攻击防御软件的防御DDoS攻击方法包括以下步骤:
步骤201:在网络的节点中设置TPM可信平台、支持TPM的安全操作系统、以及DDoS攻击防御软件;
步骤202:数据包流入节点时,TPM可信平台判断是否有恶意控制程序进入节点,如果有,则提醒用户,并请求恢复到可信还原点,结束当前流程;如果没有,则数据包流入安全操作系统;
步骤203:数据包进入安全操作系统后,DDoS攻击防御软件检测是否有DDoS攻击,如果有,则直接将数据包丢掉,追踪到攻击源,并生成攻击日志,结束当前处理流程;如果没有,则结束当前处理流程。
这里,DDoS攻击防御软件至少包括DDoS攻击检测器、DDoS攻击防御器和日志模块;其中,DDoS攻击检测器用于完成检测;检测到DDoS攻击后由DDoS攻击防御器完成防御;日志模块用于完成DDoS攻击日志的生成。
DDoS攻击防御软件采用层层区分、层层剥离的防御策略,以域名系统(DNS,Domain Name System)为例,如图3所示,基于DDoS攻击防御软件的防御DDoS攻击方法包括以下步骤:
步骤301:对网络上传输的动态数据流进行防虚假的检测;
这里,就是对虚假的DNS源进行检测并过滤;
步骤302:对过滤后的数据进一步进行流量异常的检测,如果发现异常网络流量,对异常网络流量进行过滤;
这里,所述过滤后的数据检测是指对视频、音频这样的数据流进行网络流量的分析检测;所述对异常网络流量进行过滤可采用DDoS攻击检测器中对流量异常检测的检测单元实现。
步骤303:过滤后的数据流进一步进行应用层协议分析;
本步骤采用深层数据包解析(Deep Packet Identify,DPI)技术,目的是为了防御应用层DDoS攻击;
步骤304:对经过滤的数据流进一步进行速率限制和DDoS流量修整;
这里,考虑到上述步骤在识别DDoS流量时可能出现的误差,再进行最后一次修整,目的是为了限制数据流的速率,防止网络拥塞。
基于图1描述的方法,本发明基于TPM防御DDoS攻击的系统如图4所示,包括TPM可信平台41以及安全操作系统42;其中,
TPM可信平台41,用于根据运行程序哈希值的变化,判断是否有恶意控制程序进入节点,有则提醒用户有恶意程序入侵,请求恢复到可信还原点;
安全操作系统42,用于根据经过TPM可信平台41判断后的程序和数据包,控制程序的运行。
其中,如图5所示,TPM可信平台包括I/O模块51、存储模块52、执行引擎模块53、以及安全模块54;其中,
I/O模块51,用于负责管理通信总线,具体任务包括执行内部总线和外部总线之间进行转换的通信协议,将消息发送到存储模块52、安全模块54等部件,执行对TPM进行操作的安全策略;
存储模块52,用于存储平台状态信息数据,包括:初始时机器的可信状态信息和平台实时状态信息;
执行引擎模块53,用于控制存储模块52和安全模块54程序的运行;
安全模块54,用于对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值传给存储模块52;具体包括:密钥生成、随机数生成、哈希算法以及平台身份认证密钥(AIK,Attestation Identity Key);
存储模块51,包括ROM存储器和PCR寄存器;其中,ROM存储器,用于保存机器在初始时的可信状态信息,是非易失性存储器,启动后数据不会丢失;PCR寄存器,用于存储平台状态信息数据,由8个160位的平台状态寄存器组成,PCR为易失性存储寄存器;
执行引擎模块52,包括选项控制(Opt-In)模块以及安全程序执行引擎模块;
其中,选项控制(Opt-In)模块,用于实现TPM功能的开启与关闭;安全程序执行引擎模块,用于控制存储模块52和安全模块54程序的运行。
基于TPM可信平台41的工作流程具体为:系统启动时,TPM可信平台41通过安全模块54对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值保存在存储模块52中的PCR存储器中;然后将度量的结果与TPM中预先存储在存储模块52的中ROM存储器的存储数据相比较,验证两者是否匹配,如果匹配,则认为TPM可信平台处于安全状态;如果不匹配,认为TPM可信平台处于不安全状态。
基于图2描述的方法,本发明基于TPM和DDoS攻击防御软件防御DDoS攻击的系统如图6所示,包括基于TPM可信平台61、安全操作系统62以及DDoS攻击防御模块63;其中,
TPM可信平台61,用于根据运行程序哈希值的变化,判断是否有恶意控制程序进入节点,有则提醒用户有恶意程序入侵,并请求恢复到可信还原点;
安全操作系统62,用于根据经过基于TPM可信平台61判断后的程序和数据包,控制程序的运行;
DDoS攻击防御模块63,用于将进入安全操作系统62的数据包进行DDoS攻击检测,并对检测到的DDoS攻击流量进行防御,同时生成攻击日志。
其中,如图5所示,TPM可信平台包括I/O模块51、存储模块52、执行引擎模块53、以及安全模块54;TPM可信平台的各个单元的具体处理过程已在上文中详述,这里不再赘述。
如图7所示,DDoS攻击防御模块63进一步包括DDoS攻击检测器71、DDoS攻击防御器72以及日志模块73;其中,
DDoS攻击检测器71,用于检测DDoS攻击,对于网络上传输的动态数据流依次进行防虚假检测、流量的异常检测、应用层协议分析以及速率限制和DDoS流量修整四个层次的检测;
DDoS攻击防御器72,用于将DDoS攻击检测器71检测到的具体的DDoS攻击采取直接丢弃数据包的方法进行防御;
日志模块73,用于将DDoS攻击检测器71检测到的DDoS攻击生成DDoS攻击日志,以便于责任追溯和对新型的DDoS攻击进行分析。
DDoS攻击检测器中对流量异常检测的检测单元如图8所示,包括网络数据包捕获器81、特征提取器82、时间序列划分模块83、R/S结合小波求解Hurst模块84、异常判断模块85以及图形用户接口86;其中,
网络数据包捕获器81,用于捕获网络数据流量;
特征提取器82,用于在网络数据包捕获器81捕获到攻击流量后,提取攻击流量的特征信息,如时间、包长等;
时间序列划分模块83,用于将网络流量根据特征提取器82提取的攻击流量的时间,按照时间序列划分成多个更小尺度的时间段;
R/S结合小波求解Hurst模块84,用于根据时间序列划分模块83对攻击流量时间划分的结果计算网络流量的Hurst值,并统计Hurst指数的方差;
异常判断模块85,用于根据R/S结合小波求解Hurst模块84的结果,判断网络流量是否为DDoS攻击流量;
图形用户接口86,用于输出整个网络流量的检测过程。
这里,本发明基于TPM可信平台和DDoS攻击防御软件的防御DDoS攻击系统中的各个单元的具体处理过程已在上文中详述,不再赘述。
下面将本发明防御DDoS攻击的方法及系统,应用到混合式P2P网络的部署当中,并对每种节点检测和防御DDoS攻击的工作流程进行详细的描述。
基于超级节点的混合式P2P网络具有网络资源检索速度快、抗攻击的特点,如图9所示,该网络由超级节点层和普通节点层组成。
网络中包含若干个节点,节点可以为固定的个人电脑(PC)、服务器(Server)等,也可以为移动的手机、掌上电脑(PDA)以及笔记本电脑等。在P2P网络中,节点类似于路由器的功能,负责转发数据流。
其中,性能最好、最稳定的节点为超级节点,其余节点为普通节点;超级节点负责管理普通节点,为普通节点提供索引服务;普通节点和超级节点的角色依据节点当前的状态可以互换。
本实施例中包含两种节点:一种为植入本发明TPM可信平台的节点,另一种为用户从网上免费下载安装DDoS软件的节点。其中,TPM可信平台的节点可以是超级节点,也可以是普通节点,要根据该节点当前的性能动态决定其所属的节点类型;同理,用户从网上免费下载安装DDoS软件的节点也可以是超级节点、或者普通节点。
依据地理位置将节点划分成不同的自治域(AS),每个AS内有固定的或者移动的节点。将本发明多层检测、层层隔离的DDoS攻击防御软件以分布式策略部署在每个节点,部署实施层次的拓扑图如图9所示。
僵尸网络是目前DDoS攻击的主流形式,它是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。
假设某个AS内的用户端操控一个僵尸网络,对网络中的节点进行攻击,网络中的节点防御DDoS攻击的实现流程如图10所示,包括以下步骤:
步骤1001:数据包进入节点后,节点判断是否有恶意控制程序进入节点;
这里,如果有,对于植入TPM可信平台的节点,则提醒用户有恶意控制程序进入本机,并要求重新启动,恢复到可信还原点;对于用户从网上免费下载安装DDoS软件的节点,则用现有的软件防火墙和杀毒软件进行查杀;如果没有,则结束当前处理流程;
步骤1002:数据包进入节点后,节点用DDoS攻击防御软件检测是否有DDoS攻击;
这里,由于每个节点都部署了DDoS攻击防御软件,所以对进入节点的数据包均需进行本步骤的DDoS攻击检测,该检测对植入TPM可信平台的节点和从网上免费下载安装DDoS软件的节点的处理方式相同。具体的,如果有DDoS攻击,则对检测到的DDoS攻击采取直接丢弃数据包的方式进行防御,追踪到攻击源,从网络中直接隔离并生成日志文件;如果没有DDoS攻击,则结束当前处理流程。
在实际应用中,步骤1001和步骤1002的执行顺序没有限制,可以先执行步骤1001,再执行步骤1002;也可以先执行步骤1002,再执行步骤1001;还可以同时执行。
从本实施例中可以看出,虽然随着节点性能的动态变化,会重新选出新的超级节点,从而使整个网络被重构。但是,由于节点中植入了本发明的TPM可信平台,可以很好的阻止僵尸网络的形成,加上进一步将DDoS攻击防御软件部署在每个节点上,能有效检测并防御DDoS攻击,因此,无论P2P网络如何动态变化,DDoS攻击如何变种,DDoS攻击的强度都会被大大削弱。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种P2P网络中防御DDoS攻击的方法,其特征在于,在网络的节点中设置基于可信赖平台模块(TPM)的TPM可信平台及支持TPM的安全操作系统;该方法包括以下步骤:
判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
其中,所述判断具体为:数据包流入节点时,TPM可信平台对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值与TPM中预先存储的初始可信状态信息相比较,其中,所述预先存储的初始可信状态信息指的是需要运行的BIOS和操作系统首先经过TPM可信平台认证后赋予的Id值;当所述哈希值与初始可信状态信息不匹配,则TPM可信平台处于不安全状态,有恶意控制程序进入节点。
2.根据权利要求1所述的方法,其特征在于,所述可信还原点为出厂时机器的初始状态,或为用户自己设置的状态。
3.一种P2P网络中防御DDoS攻击的方法,其特征在于,在网络的节点中设置TPM可信平台、支持TPM的安全操作系统、以及DDoS攻击防御软件;该方法包括:
数据包流入节点时,通过TPM可信平台和DDoS攻击防御软件防御DDoS攻击;
其中,所述TPM可信平台防御DDoS攻击具体为:判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
所述判断为:TPM可信平台对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值与TPM中预先存储的初始可信状态信息相比较,其中,所述预先存储的初始可信状态信息指的是需要运行的BIOS和操作系统首先经过TPM可信平台认证后赋予的Id值;当所述哈希值与初始可信状 态信息不匹配,则TPM可信平台处于不安全状态,有恶意控制程序进入节点;其中
当TPM可信平台判断没有恶意控制程序进入节点时,数据包流入安全操作系统,DDoS攻击防御软件防御DDoS攻击。
4.根据权利要求3所述的方法,其特征在于,所述DDoS攻击防御软件防御DDoS攻击具体为:检测是否有DDoS攻击,如果有,则直接将数据包丢掉,追踪到攻击源,并生成攻击日志;如果没有,则结束当前处理流程。
5.根据权利要求4所述的方法,其特征在于,所述检测是否有DDoS攻击具体为:
对网络上传输的动态数据流进行防虚假的检测;对过滤后的数据进一步进行流量异常的检测,发现异常网络流量时,对异常网络流量进行过滤;
对过滤后的数据流进一步进行应用层协议分析;对经过滤的数据流进一步进行速率限制和DDoS流量修整。
6.一种P2P网络中防御DDoS攻击的系统,其特征在于,该系统包括:TPM可信平台以及安全操作系统;其中,
TPM可信平台,用于判断是否有恶意控制程序进入节点,有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
其中,所述判断为:数据包流入节点时,TPM可信平台对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值与TPM中预先存储的初始可信状态信息相比较,其中,所述预先存储的初始可信状态信息指的是需要运行的BIOS和操作系统首先经过TPM可信平台认证后赋予的Id值;当所述哈希值与初始可信状态信息不匹配,则TPM可信平台处于不安全状态,有恶意控制程序进入节点;
安全操作系统,用于根据经过TPM可信平台判断后的程序和数据包,控制程序的运行。
7.根据权利要求6所述的系统,其特征在于,所述TPM可信平台包括:
I/O模块,用于负责管理通信总线,将消息发送到合适的部件,执行对TPM进行操作的安全策略;
存储模块,用于存储平台状态信息数据;
执行引擎模块,用于控制程序的运行;
安全模块,用于对基本输入输出系统和操作系统进行完整性度量。
8.根据权利要求7所述的系统,其特征在于,所述存储模块包括:
ROM存储器,用于保存机器在初始时的可信状态信息;
PCR寄存器,用于存储平台状态信息数据。
9.一种P2P网络中防御DDoS攻击的系统,其特征在于,该系统包括:TPM可信平台、安全操作系统以及DDoS攻击防御模块;其中,
TPM可信平台,用于判断是否有恶意控制程序进入节点有恶意控制程序进入节点时,TPM可信平台提醒用户有恶意程序入侵,并请求恢复到可信还原点;
其中,所述判断为:数据包流入节点时,TPM可信平台对基本输入输出系统(BIOS)和操作系统进行完整性度量,将度量生成的哈希值与TPM中预先存储的初始可信状态信息相比较,其中,所述预先存储的初始可信状态信息指的是需要运行的BIOS和操作系统首先经过TPM可信平台认证后赋予的Id值;当所述哈希值与初始可信状态信息不匹配,则TPM可信平台处于不安全状态,有恶意控制程序进入节点;
安全操作系统,用于根据经过TPM可信平台判断后的程序和数据包,控制程序的运行;
DDoS攻击防御模块,用于将进入安全操作系统的数据包进行DDoS攻击检测,并对检测到的DDoS攻击流量进行防御,生成攻击日志;
其中,当TPM可信平台判断没有恶意控制程序进入节点时,数据包流入安全操作系统,DDoS攻击防御模块防御DDoS攻击。
10.根据权利要求9所述的系统,其特征在于,所述TPM可信平台包括:
I/O模块,用于负责管理通信总线,将消息发送到合适的部件,执行对TPM进行操作的安全策略;
存储模块,用于存储平台状态信息数据;
执行引擎模块,用于控制程序的运行;
安全模块,用于对基本输入输出系统和操作系统进行完整性度量。
11.根据权利要求10所述的系统,其特征在于,所述存储模块包括:
ROM存储器,用于保存机器在初始时的可信状态信息;
PCR寄存器,用于存储平台状态信息数据。
12.根据权利要求9所述的系统,其特征在于,所述DDoS攻击防御模块包括:
攻击检测器,用于对网络上传输的动态数据流依次进行防虚假检测、流量的异常检测、应用层协议分析以及速率限制和DDoS流量修整;
攻击防御器,用于将DDoS攻击检测器检测到的DDoS攻击采取直接丢弃数据包的方法进行防御;
日志模块,用于将DDoS攻击检测器检测到的DDoS攻击生成DDoS攻击日志。
13.根据权利要求12所述的系统,其特征在于,所述攻击检测器中包括异常检测单元,所述异常检测单元包括:
网络数据包捕获器,用于捕获网络数据流量;
特征提取器,用于在网络数据包捕获器捕获到攻击流量后,提取攻击流量的特征信息;
时间序列划分模块,用于将网络流量根据特征提取器提取的攻击流量的时间,按照时间序列划分成多个更小尺度的时间段;
R/S结合小波求解Hurst模块,用于根据时间序列划分模块对攻击流量时间划分的结果计算网络流量的Hurst值,并统计Hurst指数的方差;
异常判断模块,用于根据R/S结合小波求解Hurst模块的结果,判断网络流量是否为DDoS攻击流量;
图形用户接口,用于输出整个网络流量的检测过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010033801.XA CN101771702B (zh) | 2010-01-05 | 2010-01-05 | 点对点网络中防御分布式拒绝服务攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010033801.XA CN101771702B (zh) | 2010-01-05 | 2010-01-05 | 点对点网络中防御分布式拒绝服务攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101771702A CN101771702A (zh) | 2010-07-07 |
| CN101771702B true CN101771702B (zh) | 2015-06-10 |
Family
ID=42504293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010033801.XA Active CN101771702B (zh) | 2010-01-05 | 2010-01-05 | 点对点网络中防御分布式拒绝服务攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771702B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895541B (zh) * | 2010-07-09 | 2012-12-26 | 浙江省公众信息产业有限公司 | 一种P2P网络中协作抵抗覆盖层DDoS攻击的方法 |
| CN103078771B (zh) * | 2013-02-01 | 2015-09-09 | 上海交通大学 | 基于p2p的僵尸网络分布式协作检测系统和方法 |
| CN103312689B (zh) * | 2013-04-08 | 2017-05-24 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| CN103780501B (zh) * | 2014-01-03 | 2017-02-15 | 濮阳职业技术学院 | 一种不可分小波支持向量机的对等网络流量识别方法 |
| CN104158823B (zh) * | 2014-09-01 | 2017-05-10 | 江南大学 | 一种面向LDoS与LDDoS的模拟方法 |
| CN105357187A (zh) * | 2015-10-12 | 2016-02-24 | 成都玩者天下网络技术有限公司 | 一种电子商务交易平台防御系统 |
| CN106411892B (zh) * | 2016-09-28 | 2019-08-30 | 广州华多网络科技有限公司 | Ddos系统地址信息传输、访问请求过滤方法、装置及服务器 |
| KR102461707B1 (ko) * | 2017-12-07 | 2022-11-02 | 삼성전자주식회사 | 서버 및 이를 이용한 악성 코드 방어 방법 |
| CN109587104A (zh) * | 2018-02-26 | 2019-04-05 | 新华三信息安全技术有限公司 | 一种异常流量检测方法、装置和设备 |
| US20210256116A1 (en) * | 2019-11-20 | 2021-08-19 | Nanotronics Imaging, Inc. | Securing industrial production from sophisticated attacks |
| CN114301796B (zh) * | 2021-12-20 | 2023-10-03 | 上海纽盾科技股份有限公司 | 预测态势感知的验证方法、装置及系统 |
| CN116805923B (zh) * | 2023-08-25 | 2023-11-10 | 淳安华数数字电视有限公司 | 基于边缘计算的宽带通信方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101042720A (zh) * | 2006-03-22 | 2007-09-26 | 富士通株式会社 | 具有启动验证功能的信息处理装置 |
| CN101599115A (zh) * | 2009-07-03 | 2009-12-09 | 北京交通大学 | 一种响应toctou攻击的轻量级方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2038806B1 (en) * | 2006-06-21 | 2013-09-25 | Wibu-Systems AG | Method for intrusion detection |
-
2010
- 2010-01-05 CN CN201010033801.XA patent/CN101771702B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101042720A (zh) * | 2006-03-22 | 2007-09-26 | 富士通株式会社 | 具有启动验证功能的信息处理装置 |
| CN101599115A (zh) * | 2009-07-03 | 2009-12-09 | 北京交通大学 | 一种响应toctou攻击的轻量级方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101771702A (zh) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101771702B (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及系统 | |
| Zhao et al. | Botnet detection based on traffic behavior analysis and flow intervals | |
| Gu et al. | Botminer: Clustering analysis of network traffic for protocol-and structure-independent botnet detection | |
| Patsakis et al. | Encrypted and covert DNS queries for botnets: Challenges and countermeasures | |
| Almutairi et al. | Hybrid botnet detection based on host and network analysis | |
| Shin et al. | EFFORT: efficient and effective bot malware detection | |
| Jiang et al. | Detecting P2P botnets by discovering flow dependency in C&C traffic | |
| Kaur et al. | Botnet and botnet detection techniques in cyber realm | |
| Narang et al. | PeerShark: flow-clustering and conversation-generation for malicious peer-to-peer traffic identification | |
| Kheir et al. | Botsuer: Suing stealthy p2p bots in network traffic through netflow analysis | |
| Amini et al. | Botnet detection using NetFlow and clustering | |
| Yin | Towards Accurate Node‐Based Detection of P2P Botnets | |
| Xue et al. | Design and implementation of a malware detection system based on network behavior | |
| Garg et al. | Scalable P2P bot detection system based on network data stream | |
| Hsu et al. | Detecting Web‐Based Botnets Using Bot Communication Traffic Features | |
| Stevanovic et al. | A collaborative approach to botnet protection | |
| Wang et al. | Identifying peer-to-peer botnets through periodicity behavior analysis | |
| Xing et al. | Peertrap: an unstructured P2P botnet detection framework based on SAW community discovery | |
| Hwa et al. | Review of peer-to-peer botnets and detection mechanisms | |
| Kheir et al. | Behavioral fine-grained detection and classification of P2P bots | |
| Alauthman | An efficient approach to online bot detection based on a reinforcement learning technique | |
| Estrada et al. | A survey on the use of traffic traces to battle internet threats | |
| Zhang et al. | A survey of defense against p2p botnets | |
| Al-Hammadi et al. | Behavioural correlation for detecting P2P bots | |
| Al-Shareeda et al. | Detection mechanisms for peer-to-peer Botnets: a comparative study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |