CN105337983A - 一种防御DoS攻击的方法 - Google Patents
一种防御DoS攻击的方法 Download PDFInfo
- Publication number
- CN105337983A CN105337983A CN201510805535.0A CN201510805535A CN105337983A CN 105337983 A CN105337983 A CN 105337983A CN 201510805535 A CN201510805535 A CN 201510805535A CN 105337983 A CN105337983 A CN 105337983A
- Authority
- CN
- China
- Prior art keywords
- agent
- ids
- attack
- main frame
- dos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防御DoS攻击的方法,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。该方法实施简单,基于现有分布式IDS机构,具有较强抗攻击性,能很好地对抗DoS攻击。
Description
技术领域
本发明涉及信息技术领域,具体为一种防御DoS攻击的方法。
背景技术
随着计算机网络的迅速发展,网络安全问题日益突出。传统的防火墙由于无法控制网络内用户的行为、无法处理合法用户的非法行为以及不能阻止未知恶意代码的攻击等局限性,已无法满足某些部门的需要。作为对防火墙这种静态防护技术的补充;入侵检测系统以其动态防护特点而成为解决网络安全问题的新策略,然而不容忽视IDS自身的安全问题,由于IDS的特殊性,其往往最先受到黑客的攻击,各种攻击之中,对IDS最致命的就是拒绝服务攻击。
根据IDS资源使用层次和保护级别的不同,存在以下几种对抗DoS攻击的方法:
1.IDS主动响应
某些IDS可以增改外部路由器和防火墙的过滤规则,在IDS探测器检测到DoS攻击之后,可以迅速地重新配置相应的路由规则来阻止攻击;但这种方法存在以下缺点:(1)为了实时响应并有效阻止floodingDoS攻击,IDS必须控制大部分路由器;(2)经常改变路由器的过滤规则会降低其性能从而影响正常合法的通讯;(3)IDS往往需要一定时间来检测攻击并对其做出响应,攻击者可利用这个时间间隙来对IDS发动DoS攻击。
2.设计纯分布式IDS
纯分布式IDS的部件之间不相互依赖,具有很好的容错性,能有效地对抗多种DoS攻击,但因开销和复杂度等因素的影响,很难设计出一个实用化的系统。
发明内容
本发明旨在克服现有技术的不足,基于分布式IDS结构,提供一种系统结构简单、容错性强且易于部署的防御DoS攻击的方法。
本发明提供的一种防御DoS攻击的方法,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
所述IDS机构包括通过总线通信的若干域,所述域内包括与总线之间通信的主干以及与主干间进行通信的若干区域;所述主干中包括关键主机构成的关键集以及代理主机构成的代理集,所述区域中包括子主机构成的子集;各主机上运行各对应agent。
所述机构内安全主机间建立连接的规则具体为:首先主机之间采用sha1或者MD5加密的方式进行信息摘要加密,其次,使用时间戳加随机数方式防止重放攻击。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
该防御DoS攻击的方法基于IDS机构,通过对移动agent的移动范围以及主机间建立连接的相关规则做限制,有效隔离了关键部件与其他部件间的通信,使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;一旦受到攻击,移动agent将关键部件转移,并用备份的agent来替代受到攻击失效的agent,始终保持IDS机构的完整性。
附图说明
以下将结合附图对本发明作进一步说明:
图1为本发明中分布式IDS机构的整体结构图;
图2为本发明中分布式IDS机构的一个域的网络架构图。
具体实施方式
本发明提供一种防御DoS攻击的方法,为使本发明的目的,技术方案及效果更加清楚,明确,以及参照附图并举实例对本发明进一步详细说明。应当理解,此处所描述的具体实施仅用以解释本发明,并不用于限定本发明。
如图1至2所示,本发明提供的防御DoS攻击的方法基于以下IDS机构模型:
把路由器、主机等各种网络设备分成一些集合,包含所有设备的总集叫机构(enter-prise),机构由许多域(domain)组成,域之间通过机构总线(enterprisebus)通信,每个域中有一个主干(backbone)和一些区域(region),主干中的网络设备(如防火墙、交换机等)都具有一定的抗攻击性,区域中一般只有主机和服务器,主干直接与总线相连,机构总线可能包含部分Internet或其他公共网络,主干里的网络设备之间以高带宽线路相连,此高带宽线路与攻击者可以访问的公共网络相连,区域仅与它所在域的主干相连。
三种安全主机——关键(critical)主机、代理(proxy)主机和子(child)主机组成三种集合——关键集、代理集和子集,相应地存在三种移动agent:关键agent、代理agent和子agent,为防止被攻击者发现,关键主机与非关键主机的通信经过一个中介一代理主机,关键主机和代理主机位于主干内,子主机位于区域内,各agent分别位于各种主机内,关键agent进行入侵检测分析、控制,是防止系统遭受攻击的最重要的部分,子agent负责采集和分析各种事件。代理agent提供子agent与关键agent之间的通信服务。
系统安全模型正在由最初的静态系统模型逐渐过渡到动态安全模型,IDS作为一种积极主动的安全防护技术对网络安全起着不可估量的作用,正因为如此,攻击者就会在攻击目标网络之前,先攻击IDS使其瘫痪,我们认为DoS攻击是对IDS的最大威胁,本文在详细分析了分布式IDS的缺陷以及攻击者的攻击方法之后,提出了一种基于移动agent的分布式IDS模型,分析表明此模型具有较强抗攻击性,能很好地对抗DoS攻击。
本方法基于该方法基于上述分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
由于总线可能包含公共网络或Internet,因此域之间通过总线通信时,对信息的验证和加密必不可少,域内的三种主机及agent只允许以特定的方式通信,移动agent能在它所属的集内随意移动。由于采集事件的子agent所在的区域可能不太安全,所以为防止恶意agent的传播,仅允许子agent在代理集和区域之间移动;另外也不允许代理agent移动到关键集内,因为代理agent提供子agent与关键agent之间的通信服务,而子agent所在的区域可能存在攻击者,这样就可能暴露关键主机的位置。此外,还禁止一个集内的agent申请与其他集内的agent连接,这里所说的申请连接类似于建立TCP连接,一旦连接建立。就由连接双方决定传送的内容,这就存在极大的安全隐患;本模型中有两个申请连接的限制,一是为了避免子集内的攻击者发现关键主机的位置,不允许关键主机申请与子主机的连接。二是不允许子集内的主机申请与其他集内主机的连接,这个限制是为了使子主机不知道其他集内安全主机的位置,因为子主机是可攻破的,而其所在的区域又可能存在攻击者,这样子主机及其相应的agent仅仅知道与其通信的代理agent的位置,这是加强模型安全性的一个重要特性。代理agent的作用仅是路由网络通信,规定每个区域仅由惟一的代理主机来代理,这样区域内的攻击者通过sniffing仅能发现这个区域里的代理主机,从而有效地隐藏了关键主机,由于域之间通过总线通信,总线上的攻击者就可对任意域发动DoS攻击,切断域之间的通信,但不会影响域内的通信,因为假设域内的防火墙能有效地阻止DoS的攻击数据包。因此本模型中的每个域的功能如同一个独立的IDS,既然总线上的攻击者能切断域之间的通信,所有用于收集、分析攻击信息的agent都应该位于域内,因此不允许agent在域间移动,子集之间的通信也被禁止。因为子集内的攻击者可能由此发现其他域内安全主机的位置,仅仅允许不同域内关键集之间的通信,这是本模型分析不同域内数据的惟一方法。
本发明提供的防御方法通过隐藏IDS主机使攻击者无法通过sniffing和probing等技术探测IDS拓扑结构;在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
(1)对抗sniffing和probing
由于主干上的所有网络设备如路由器、交换机、防火墙等都很难攻破,攻击者也就无法在主干上侦听,同样由于从关键主机发往非关键主机的信息都要通过代理主机,攻击者在非关键主机附近监听也不能确定关键主机的位置,虽然不难发现代理主机的位置,但在我们的模型中,代理主机有许多备份,另外只要将一些简单的过滤规则加到IP层就可以阻止绝大部分主动probing攻击。
(2)对抗Dos攻击
尽管隐藏了关键IDS主机,攻击者仍可能对一个随机的IP地址发动floodingDoS攻击,如果这个地址恰好对应着一台关键IDs主机,这个IDS主机就会逐渐变慢直到最后完全瘫痪,本模型中。
每个关键agent都有多个备份agent,它们都位于同一个域内的不同关键主机中,一旦某个关键agent失效,备份agent相互协商决定谁来替代原agent,替代agent取代原agent的所有功能并关闭原agent,其余备份agent又成为这个替代agent的备份。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (4)
1.一种防御DoS攻击的方法,其特征在于,该方法基于分布式IDS机构,首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件;其次在IDS受到攻击时,利用移动agent技术转移关键部件,并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。
2.根据权利要求1所述的一种防御DoS攻击的方法,其特征在于,所述IDS机构包括通过总线通信的若干域,所述域内包括与总线之间通信的主干以及与主干间进行通信的若干区域;所述主干中包括关键主机构成的关键集以及代理主机构成的代理集,所述区域中包括子主机构成的子集;各主机上运行各对应移动agent。
3.根据权利要求2所述的一种防御DoS攻击的方法,其特征在于,所述移动agent包括:
关键agent,其进行入侵检测分析、控制;
子agent,其负责采集和分析各种事件;
代理agent,提供子agent与关键agent之间的通信服务。
4.根据权利要求1所述的一种防御DoS攻击的方法,其特征在于,所述机构内安全主机间建立连接的规则具体为:首先主机之间采用sha1或者MD5加密的方式进行信息摘要加密,其次,使用时间戳加随机数方式防止重放攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510805535.0A CN105337983A (zh) | 2015-11-20 | 2015-11-20 | 一种防御DoS攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510805535.0A CN105337983A (zh) | 2015-11-20 | 2015-11-20 | 一种防御DoS攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105337983A true CN105337983A (zh) | 2016-02-17 |
Family
ID=55288266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510805535.0A Pending CN105337983A (zh) | 2015-11-20 | 2015-11-20 | 一种防御DoS攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337983A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN112291270A (zh) * | 2020-12-08 | 2021-01-29 | 北京和利时系统工程有限公司 | 一种数据传输方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889458A (zh) * | 2005-06-29 | 2007-01-03 | 友讯科技股份有限公司 | 网络信息安全区域联合侦防系统 |
| CN101867571A (zh) * | 2010-05-12 | 2010-10-20 | 上海电机学院 | 基于协同多个移动代理的智能网络入侵防御系统 |
| US20140109230A1 (en) * | 2003-07-01 | 2014-04-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
-
2015
- 2015-11-20 CN CN201510805535.0A patent/CN105337983A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140109230A1 (en) * | 2003-07-01 | 2014-04-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| CN1889458A (zh) * | 2005-06-29 | 2007-01-03 | 友讯科技股份有限公司 | 网络信息安全区域联合侦防系统 |
| CN101867571A (zh) * | 2010-05-12 | 2010-10-20 | 上海电机学院 | 基于协同多个移动代理的智能网络入侵防御系统 |
Non-Patent Citations (2)
| Title |
|---|
| 李宏权: "一种基于移动agent的抗攻击性IDS模型", 《计算机工程与设计》 * |
| 王帅等: "一种移动Agent的安全认证方案的设计与实现", 《武汉大学学报(理学版)》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109639648B (zh) * | 2018-11-19 | 2020-07-07 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN112291270A (zh) * | 2020-12-08 | 2021-01-29 | 北京和利时系统工程有限公司 | 一种数据传输方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385236B (zh) | 一种基于网络诱骗的动态防御系统 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| Portokalidis et al. | Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots | |
| Mell et al. | A denial-of-service resistant intrusion detection architecture | |
| US20080301812A1 (en) | Method and system for counting new destination addresses | |
| Fraunholz et al. | Cloxy: A context-aware deception-as-a-service reverse proxy for web services | |
| Achbarou et al. | Securing cloud computing from different attacks using intrusion detection systems | |
| Eder-Neuhauser et al. | Malware propagation in smart grid networks: metrics, simulation and comparison of three malware types | |
| Stewart et al. | CommunityGuard: A crowdsourced home cyber-security system | |
| KR101039092B1 (ko) | IPv6 네트워크 내 호스트 보호 및 격리방법 | |
| Ahmed et al. | A Linux-based IDPS using Snort | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| CN105337983A (zh) | 一种防御DoS攻击的方法 | |
| Araújo et al. | EICIDS-elastic and internal cloud-based detection system | |
| Achbarou et al. | Cloud security: a multi agent approach based intrusion detection system | |
| AT&T | ||
| Park | A study about dynamic intelligent network security systems to decrease by malicious traffic | |
| Ibrahim | A comprehensive study of distributed denial of service attack with the detection techniques | |
| Bhumika et al. | Use of honeypots to increase awareness regarding network security | |
| Hashmi et al. | Intrusion Prevention System based Defence Techniques to manage DDoS Attacks | |
| Buvaneswari et al. | IHONEYCOL: a distributed collaborative approach for mitigation of DDoS attack | |
| Hunter et al. | Tartarus: A honeypot based malware tracking and mitigation framework. | |
| Gupta et al. | Distributed Denial of Service (DDOS) Attacks in Cloud Computing: A Survey | |
| Ambika et al. | Architecture for real time monitoring and modeling of network behavior for enhanced security | |
| Akhil et al. | Distributed Denial of Service (DDoS) Attacks and Defence Mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160217 |
|
| RJ01 | Rejection of invention patent application after publication |