CN102882883A - P2P网络中基于节点分级的DDoS攻击防御方法 - Google Patents

Abstract

本发明公开了一种P2P网络中基于节点分级的DDoS攻击防御方法，其包括以下步骤：步骤一，以数据采集周期进行周期性地采集节点所需要的输入参数，输入参数主要包括节点的数据总流量、数据转发流量、节点和网络发送数据的延时和成功发送数据包总量；步骤二，以数据分析周期进行周期性地对采集到的输入参数进行分析，计算出节点当前的分级值和相应的数据转发率；步骤三，以数据转发周期进行周期性地依据各节点的数据转发率实施数据的转发，对DDoS攻击进行抑制防御。本发明通过在P2P网络中建立简单有效的节点分级评价机制，达到抵御DDoS攻击的目的。

Description

P2P网络中基于节点分级的DDoS攻击防御方法

技术领域

本发明属于网络安全技术领域，特别是涉及一种P2P网络中基于节点分级的DDoS攻击防御方法。

背景技术

P2P(Peer-To-Peer，对等网络)网络是一种与传统的客户机/服务器(C/S)的集中式结构不同的分散式网络结构，它属于一种分布式网络，网络的参与者共享所拥有的一部分资源，这些共享资源由网络提供服务和内容，能被其它对等结点直接访问而无需经过中间实体。在P2P网络中，参与者既是资源(服务和内容)提供者，又是资源获取者。

随着网络技术和计算机技术的快速融合，基于互联网的应用呈现出爆炸式的发展态势。由于P2P节点不依赖中心节点而是依靠网络边缘节点，实现自组织与对等协作的资源发现和共享，因此拥有自组织、可扩展性、鲁棒性、容错性以及负载均衡等优点。基于P2P技术的各类应用近年来逐渐占据了互联网应用中的重要地位。P2P技术被广泛应用于文件共享、网络视频、网络电话等领域。

P2P网络环境的灵活和开放性决定了其不安全性，从而也带来了很多问题和挑战。在P2P的资源安全中，DDoS（分布式拒绝服务）攻击是对资源可用性的主要威胁之一。利用P2P协议的漏洞可远程控制网络中大量计算机，形成一个用于发动DDoS攻击的“僵尸网络”，来产生足够大的流量，导致目标计算机瘫痪，即使目标计算机不属于P2P网络的一部分，如DNS服务器，也能到达相同的影响。

现有技术中基于P2P网络中的DDoS攻击的防御技术主要分为几下几类：

第一类，基于验证的防御方法：该类方法是指P2P节点收到任何消息后，首先通过一定措施验证消息中包含的地址是否有效，验证成功后再使用该信息。这是当前研究最多的一类方法。只有当P2P网络中的认证技术绝对安全时，该方法才可靠，但是，目前在P2P网络中的认证技术也是一个难题，还没有一套完整可信的解决方案。

第二类，基于信誉的防御方法：该类方法是指在P2P节点之间建立信誉机制，根据交互历史和预期，确定节点消息的可信度。这类方法对于利用大量网段进行攻击的情况防御效果并不好；另外，攻击者可以通过自己建立或者控制大量超级节点，以提高攻击网段的全局信誉值，所以这类方法在实现时有一定的限制。

第三类，基于成员管理的防御方法：这类方法是指通过改进P2P系统的通信架构以改变成员间的合作关系，从而来防御DDos攻击。这类方法都需要修改现行P2P协议，并且增加了P2P层叠网络流量。

第四类，受害者端的防御方法：该类方法是指通过在受害者端采取和部署特定的防御措施，过滤攻击报文，以减轻其被攻击的影响。这类方法大多是从一般网络中抵御DDoS攻击的方法中移植过来的，在P2P网络中还不太成熟有效。

发明内容

本发明所要解决的技术问题是提供一种P2P网络中基于节点分级的DDoS攻击防御方法，其通过在P2P网络中建立简单有效的节点分级评价机制，达到抵御DDoS攻击的目的。

本发明是通过下述技术方案来解决上述技术问题的：一种P2P网络中基于节点分级的DDoS攻击防御方法，其特征在于，所述P2P网络中基于节点分级的DDoS攻击防御方法包括以下步骤：

步骤一，以数据采集周期进行周期性地采集节点所需要的输入参数，输入参数主要包括节点的数据总流量、数据转发流量、节点和网络发送数据的延时和成功发送数据包总量；

步骤二，以数据分析周期进行周期性地对采集到的输入参数进行分析，计算出节点当前的分级值和相应的数据转发率；

首先，将接收的输入参数形成四个分级因子，四个分级因子包括流量因子、转发因子、发送数据延时因子和丢包因子，并对各分级因子进行归一化处理；

然后，将上述归一化处理后的四个分级因子合成，计算出节点当前的分级值；

最后，根据不同的节点分级值计算出最合适的数据转发率；

步骤三，以数据转发周期进行周期性地依据各节点的数据转发率实施数据的转发，对DDoS攻击进行抑制防御。

优选地，所述步骤一中的数据采集周期、步骤二中的数据分析周期和步骤三中的数据转发周期是由P2P网络规模、节点数和网络所提供服务类型因素共同决定，在实施时根据实际情况而设置。

优选地，所述步骤二中归一化处理使用的具体公式为：

$\left\{\begin{array}{cc}{x}^{\′}=\frac{x-\min \left(x\right)}{\max \left(x\right)-\min \left(x\right)}& \max \left(x\right)\≠\min \left(x\right)\\ x^{\′}=1& \max \left(x\right)=\min \left(x\right)\end{array}\right.$

其中x为归一化前的特征值，max(x)和min(x)分别表示对x取最大值和最小值，x'为归一化后的特征值。

优选地，所述P2P网络中基于节点分级的DDoS攻击防御方法采用数据收集模块、数据通信模块、分析模块和防御模块，数据收集模块、分析模块、防御模块都与数据通信模块连接，其中：

所述数据收集模块负责周期性地采集所需要的输入参数，并把收集到的各类数据经由数据通信模块传输至分析模块；

所述分析模块周期性地对采集到的参数进行分析，并通过数据通信模块传输至防御模块；

所述防御模块周期性地对各节点实施数据的转发，实现对DDoS攻击进行抑制防御；

所述数据通信模块负责在数据收集模块、分析模块和防御模块之间进行数据传输和通信；

所述数据收集模块、数据通信模块和防御模块在P2P网络的各节点上实现；

所述分析模块采取集中管理模式，指令P2P网络中的一个节点为分级管理中心，对各节点的分级值和转发率加以存储和管理。

本发明的积极进步效果在于：

（1）通用性强；本发明应用在网络的应用层，能用于绝大部分的P2P网络。

（2）工作量少，实时性高；本发明不对数据包的类型和内容进行检查，仅从数据流量和转发情况等方面进行攻击检测，从发现攻击到采取措施非常迅速且有效。

（3）自适应强、准确率高；节点的转发率能根据DDoS攻击强度动态更新，自适应地抑止攻击强度，准确率高，误报率低。

附图说明

图1为本发明P2P网络中基于节点分级的DDoS攻击防御方法的流程图。

图2为本发明P2P网络中基于节点分级的DDoS攻击防御方法采用的硬件的原理框图。

图3是节点上进行抑止防御方法的流程图。

具体实施方式

下面结合附图给出本发明较佳实施例，以详细说明本发明的技术方案。

如图1所示，本发明P2P网络中基于节点分级的DDoS攻击防御方法包括以下步骤：

步骤一，以数据采集周期进行周期性地采集节点所需要的输入参数，节点所需要的输入参数主要包括节点的数据总流量、数据转发流量、发送数据的延时量、成功发送数据包总量和接收数据包总量等参数。

数据总流量、数据转发流量、发送数据的延时量和成功发送数据包总量这四个指标是用来判别是否发生DDoS攻击的重要依据。在大多数DDoS攻击中，节点的流量在短时间内会大量聚集而发生异常，观察节点当前的总流量值是其发生DDoS攻击可疑程度的直观反映，当自身流量大于指定的阈值时，可认为该节点在进行DDoS攻击。因此，根据数据总流量形成一个分级因子（即流量因子）。

DDoS攻击的一个显著特性是其分布性，攻击者通过控制大量傀儡机在不同的网段一起发起攻击，在目标机出进行汇集形成巨大的数据流，使目标机不能处理而瘫痪，一般当节点转发的流量超过转发上限时，就可以判断该节点参与了DDoS攻击或该节点在DDoS攻击的路径上，因此，根据数据转发流量形成一个分级因子（即转发因子）。

数据总流量和数据转发流量是从节点本身特征来分析DDoS攻击是否发生，而P2P网络环境的因素也应考虑在内。发送数据的延时量就是从该节点所处网络环境的特征来分析的。当网络上产生DDoS攻击流时，网络中传输数据的速度明显变慢，这在攻击路径上格外明显。而如果一个节点不是DDoS攻击的发起者或傀儡机，但只要参与攻击流的转发，就要对该节点采取一定的限流措施。因此，根据发送数据的延时量形成一个分级因子（即发送数据延时因子）。

成功发送数据包总量可以从另一角度说明节点的丢包情况，成功发送数据包总量高就意味着丢包率低；如果网络中丢包率较低且稳定，说明网络质量好，没有发生DDoS攻击。成功发送数据包总量低就意味着丢包率高，如果某节点的丢包高可以说明两个情况，一是其正受到DDoS攻击，二是因参与攻击流的转发而被迫丢弃数据包。因此当前节点的丢包情况，也就是成功发送数据包总量实际是从该节点本身特征和所处网络环境两方面来综合考虑的。因此，形成一个分级因子（即丢包因子）。

步骤二，以数据分析周期进行周期性地对采集到的输入参数进行分析，即周期性地对数据收集模块传输的参数进行分析，计算出节点当前的分级值和相应的数据转发率。各节点的分级值和转发率也周期性地更新。

首先，将接收的输入参数形成四个分级因子并对各分级因子进行归一化处理，具体是分析模块根据传输得到的输入参数形成四个分级因子。这四个分级因子分别是：

流量因子L_i(t)的公式如下式（1）：

$L_i\left(t\right)=\left|\frac{F_i\left(t\right)-F_N}{E_i\left(t\right)-F_N}\right|\·\·\·\·\·\·\left(1\right)$

其中，E_i(t)<F_i(t)，F_i(t)是节点i在t时段内的数据总流量；E_i(t)是数据流量的期望值；F_N是节点正常数据流量的上限值。E_i(t)和F_N的值根据网络应用的日常规律预先设置。

转发因子Z_i(t) 的公式如下式（2）：

$Z_i\left(t\right)=\left|\frac{P_i\left(t\right)-Q_N}{\mathrm{Si}\left(t\right)-Q_N}\right|\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\left(2\right)$

其中，S_i(t)<P _i(t)，P_i(t)是节点i在t时段内的数据转发流量；S_i(t)是数据转发流量的期望值；Q_N是节点正常数据转发流量的上限值。S_i(t)和Q_N的值根据网络应用的日常规律预先设置。

发送数据延时因子T_i(t) 的公式如下式（3）：

$T_i\left(t\right)=\frac{\mathrm{\&Delta;t}}{{\mathrm{\&Delta;t}}_{\max }}\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\left(3\right)$

其中，△t是节点i在t时段内向其它邻居节点发送数据的平均延时；△t_max是网络中节点的平均延时最大值。

丢包因子D_i(t) 的公式如下式（4）：

$D_i\left(t\right)=1-\frac{D_s}{D_a}\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\left(4\right)$

其中，D_s是节点i在t时段内的成功发送数据包的总和；D_a是其它邻居节点在t时段内的发送给节点i的数据包的总和。

上述四个分级因子都在一个统计时间段t₁至t₂内（时间区间[t₁,t₂]）提取, 并对各因子进行归一化处理，将其线性地转化到[0,1]区间，转化公式如下式（5）：

$\left\{\begin{array}{cc}{x}^{\&prime;}=\frac{x-\min \left(x\right)}{\max \left(x\right)-\min \left(x\right)}& \max \left(x\right)\&NotEqual;\min \left(x\right)\\ x^{\&prime;}=1& \max \left(x\right)=\min \left(x\right)\end{array}\right.\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\left(5\right)$

其中x为归一化前的特征值，max(x)和min(x)分别表示对x取最大值和最小值，x'为归一化后的特征值。

然后，将上述归一化处理后的四个分级因子合成，计算出节点当前的分级值Y，具体步骤如下：

使用公式如下（6）：

其中，α,β,γ和

分别表示各分级因子的权重，

α,β,γ和

的取值受到P2P网络规模、节点数和网络所提供服务类型等多种因素的影响。分析这四个因子，它们都收敛于[0,1]，而

也就是说，α,β,γ和

的值也收敛于[0,1]，因此，节点的分级值Y的值必定收敛于[0,1]。

最后，根据不同的节点分级值计算出最合适的数据转发率。具体步骤如下：

把时间段t₁至t₂内发送的数据总量看作样本空间，各输出节点看成样本空间的一个有限划分，这样就可以将样本划分向量化。以各输出IP作为横坐标，以各IP流量占总量的百分比作为纵坐标，构造出二维向量空间。其次，将整个二维空间划分成多个不同转发率的分组，经过大量网络数据的测试，得到最合适的节点分级值和转发率的关系，如表1所示。经过计算，正常节点的Y值较小，全速工作；可疑节点的Y值较大，执行较高的转发率。

表1  节点分级值与转发率的对应关系表

步骤三 ，以数据转发周期进行周期性地依据节点上的数据转发率实施数据的转发，对DDoS攻击进行抑制防御。在节点上进行抑止防御的方法包括以下步骤：

首先，节点查询出当前的转发率p；

其次，启动计时器，并设初值。初值可根据需要部署不同的值，这里设为120s；

然后，以转发率p对数据包进行处理；

最后，计时器终止。

节点上进行抑止防御的方法的流程图如图3所示，伪代码如下：

步骤一中的数据采集周期、步骤二中的数据分析周期和步骤三中的数据转发周期是由P2P网络规模、节点数和网络所提供服务类型等多种因素共同决定，在实施时根据实际情况而设置。

如图2所示，本发明P2P网络中基于节点分级的DDoS攻击防御方法采用数据收集模块、数据通信模块、分析模块和防御模块，数据收集模块、分析模块、防御模块都与数据通信模块连接。所述数据收集模块、数据通信模块和防御模块在P2P网络的各节点上实现。本发明适用于一般安全需求的P2P网络，P2P网络结构的特点决定了各节点在网络中承担相同的角色，在每一个节点上部署数据收集模块、数据通信模块和防御模块，而分析模块采取集中管理模式，指定P2P网络中的一个节点为分级管理中心，对各节点的分级值和转发率加以存储和管理，不参与任何提供或使用的其它服务。

所述数据收集模块负责周期性地采集节点所需要的输入参数，节点所需要的输入参数主要包括节点的数据总流量、数据转发流量、节点和网络发送数据的延时和成功发送数据包总量等参数。并把收集到的各类数据经由数据通信模块传输至分析模块。

所述分析模块周期性地对采集到的参数进行分析，并通过数据通信模块传输至防御模块。

所述数据通信模块周期性从分析模块接收到各节点当前的数据转发率后，传输至防御模块。并且数据通信模块负责在数据收集模块、分析模块和防御模块之间进行数据传输和通信。数据通信模块用于在其它三个模块之间的通信，根据P2P网络的安全需要和用途，可在数据通信模块中设置加密和解密模块，以增强数据传输的安全性。

所述防御模块周期性地对各节点实施数据的转发，实现对DDoS攻击进行抑制防御。

本发明实施例中各集成的模块可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器、磁盘或光盘等。

本发明通过在P2P网络中建立简单有效的节点分级评价机制，首先对各节点是否受到DDoS攻击或是否协助发起DDoS攻击进行量化分析，得到相应分级值，再根据不同等级的分级值计算出不同的数据转发率，最后在各节点处采取不同的转发措施，达到抵御DDoS攻击的目的。本发明尽可能地减小攻击的扩散范围，削弱攻击对目标节点的影响，节点保持尽可能高的服务效率，尽量不影响到其它正常的节点。

以上所述的实例只是用于说明本发明，而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更，这些修改和变更仍然在本发明的保护范围内。

Claims (4)

1.一种P2P网络中基于节点分级的DDoS攻击防御方法，其特征在于，所述P2P网络中基于节点分级的DDoS攻击防御方法包括以下步骤： 

步骤一，以数据采集周期进行周期性地采集节点所需要的输入参数，输入参数主要包括节点的数据总流量、数据转发流量、节点和网络发送数据的延时和成功发送数据包总量；

步骤二，以数据分析周期进行周期性地对采集到的输入参数进行分析，计算出节点当前的分级值和相应的数据转发率；

首先，将接收的输入参数形成四个分级因子，四个分级因子包括流量因子、转发因子、发送数据延时因子和丢包因子，并对各分级因子进行归一化处理；

然后，将上述归一化处理后的四个分级因子合成，计算出节点当前的分级值；

最后，根据不同的节点分级值计算出最合适的数据转发率；

步骤三，以数据转发周期进行周期性地依据各节点的数据转发率实施数据的转发，对DDoS攻击进行抑制防御。

2.如权利要求1所述的P2P网络中基于节点分级的DDoS攻击防御方法，其特征在于，所述步骤一中的数据采集周期、步骤二中的数据分析周期和步骤三中的数据转发周期是由P2P网络规模、节点数和网络所提供服务类型因素共同决定，在实施时根据实际情况而设置。

3.如权利要求1所述的P2P网络中基于节点分级的DDoS攻击防御方法，其特征在于，所述步骤二中归一化处理使用的具体公式为：

 其中x为归一化前的特征值，max(x)和min(x)分别表示对x取最大值和最小值，x'为归一化后的特征值。

4.如权利要求1所述的P2P网络中基于节点分级的DDoS攻击防御方法，其特征在于，所述P2P网络中基于节点分级的DDoS攻击防御方法采用数据收集模块、数据通信模块、分析模块和防御模块，数据收集模块、分析模块、防御模块都与数据通信模块连接，其中：

所述数据收集模块负责周期性地采集所需要的输入参数，并把收集到的各类数据经由数据通信模块传输至分析模块；

所述分析模块周期性地对采集到的参数进行分析，并通过数据通信模块传输至防御模块；

所述防御模块周期性地对各节点实施数据的转发，实现对DDoS攻击进行抑制防御；

所述数据通信模块负责在数据收集模块、分析模块和防御模块之间进行数据传输和通信；

所述数据收集模块、数据通信模块和防御模块在P2P网络的各节点上实现；

所述分析模块采取集中管理模式，指令P2P网络中的一个节点为分级管理中心，对各节点的分级值和转发率加以存储和管理。

Images