CN105743907B - 一种基于虚拟环境的主动防御木马方法 - Google Patents
一种基于虚拟环境的主动防御木马方法 Download PDFInfo
- Publication number
- CN105743907B CN105743907B CN201610161710.1A CN201610161710A CN105743907B CN 105743907 B CN105743907 B CN 105743907B CN 201610161710 A CN201610161710 A CN 201610161710A CN 105743907 B CN105743907 B CN 105743907B
- Authority
- CN
- China
- Prior art keywords
- virtual controller
- server
- client
- virtual
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于虚拟环境的主动防御木马方法,本发明首次在现有的DDoS防御基础上,在客户端和服务端之间加入了虚拟控制器,服务端将不在直接暴露在客户端面前。客户端的请求从原来的直接访问服务端给映射到虚拟控制器上,由虚拟控制器在现有检测技术基础上进行行为检测,检测结果决定客户端是否有权利访问服务端。若虚拟控制器判定请求为DDoS攻击行为,客户端的请求将无法到达服务端,从而有效保护服务端的安全性。同时,虚拟控制器具有自我创建和销毁的能力,该能力确保了自身具有很强的资源虚拟化能力,能有效的抵御DDoS攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚拟控制器的DDoS主动防御方法。
背景技术
随着Internet的繁荣,网络入侵事件频繁发生,各种攻击手段也层出不穷,其中拒绝服务攻击DoS以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的网络攻击手段之一,极大地影响网络和主机系统的有效服务,尤其是分布式拒绝服务攻击DDoS,其潜伏期长、攻击并发程度高,隐蔽性更强、破坏性更大,严重威胁着Internet的安全。
目前对于防御DDoS攻击的常见方法有:
1、确保所有服务器采用最新系统,并打上安全补丁;
2、确保管理员对所有主机进行检查,而不仅针对关键主机;
3、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS;
4、确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限;
5、禁止内部网通过Modem连接至PSTN系统;
6、禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代;
7、限制在防火墙外与网络文件共享;
8、在防火墙上运行端口映射程序或端口扫描程序;
9、检查所有网络设备和主机/服务器系统的日志;
10、使用防火墙设备。
以上的各种方法,都是对服务端进行强化防护,还停留被动防御的基础上。没有针对DDoS攻击的行为特征进行有针对性的主动防御。DDoS攻击的基本行为特征是通过大量访问请求快速消耗服务端的资源,导致合法访问无法得到处理。该行为的特征最大的特点是:通过大量资源消耗瘫痪服务端。而导致这种现状的根本问题是:一是服务端直接暴露在攻击方面前,客户端可直接连接服务端;二是服务端要被动的接受大量的攻击,大量的资源用于处理攻击请求。
发明内容
本发明目的在于针对现有技术的不足,提供一种基于虚拟环境的主动防御木马方法。
本发明的目的是通过以下技术方案来实现的:一种基于虚拟控制器的DDoS主动防御方法,该方法包括以下步骤:
本发明的目的是通过以下技术方案来实现的:1、一种基于虚拟环境的主动防御木马方法,包括以下步骤:
(1)虚拟控制器的构建,该步骤主要包括如下两种情况:
(1.1)在系统初始化或运行过程中,自动构建虚拟控制器:C={ci|i=1,2,…,n},其中,n为构建的虚拟控制器的数量,ci为第i个虚拟控制器;
(1.2)在运行过程中,当所有的虚拟控制器ci工作队列中的任务量均大于阈值Taskmax时,自动创建新的虚拟控制器ci+1;
(2)虚拟控制器检测访问请求:该步骤通过以下子步骤来实现:
(2.1)对每次客户端的访问请求生成一个随机数t;
(2.2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器ck中,k=1,2,…,n;
(2.3)虚拟控制器ck对访问请求t进行DDoS行为检测,若检测为非法攻击,拒绝访问请求;若检测为安全行为,将访问请求t映射到服务端,建立通道pik;
(3)通过通道pik进行数据转发,使得服务端为客户端提供服务;
(4)在连接超时、遭遇非法攻击行为等条件下自动销毁通道pik;
(5)虚拟控制器的销毁:当虚拟控制器Ci工作队列在规定时间T内为空,或者队列受到非法攻击,进行自我销毁。
本发明的有益效果是:本发明基于DDoS攻击的行为特征,本发明使用虚拟的控制器,将所有的客户端请求接管过来,并对请求利用现有的检测方法进行合法性验证;若不通过,直接拒绝访问;若验证通过,将请求转发服务端,由服务端进行正常的业务处理。同时,虚拟控制器具有自我创建和销毁的能力,将大量的攻击从服务端转移到控制器上,使得DDoS攻击无法命中服务端,从而让服务端免受攻击。
附图说明
图1是虚拟环境生命周期图;
图2是主动防御层次结构图。
具体实施方式
下面根据附图详细描述本发明,本发明的目的和效果将变得更加明显。
如图1和图2所示,本发明基于虚拟环境的主动防御木马方法包括以下步骤:
1、虚拟控制器的构建,该步骤主要包括如下两种情况:
(1)在系统初始化或运行过程中,自动构建虚拟控制器:C={ci|i=1,2,…,n},其中n为构建虚拟控制器的数量,ci为第i个虚拟控制器;
(2)在运行过程中,当所有的虚拟控制器ci工作队列中的任务量大于阈值Taskmax,自动创建新的虚拟控制器ci+1。阈值Taskmax可根据实际情况自由确定,例如可以为10000。
2、虚拟控制器检测访问请求:该步骤通过以下子步骤来实现:
(1)对每次访问请求生成一个随机数t;
(2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器ck中,k=1,2,…,n;
一般来说,将t映射到任务量最少的虚拟控制器中。
(3)虚拟控制器对访问请求t进行DDoS行为检测,若检测为非法攻击,拒绝访问请求;若检测为安全行为,将访问请求t映射到服务端,建立通道pik;
所述虚拟控制器可采用现有的基于流量变化的检测方法(见《DDoS攻击检测和控制方法》,张永铮,肖军,云晓春,王风宇,软件学报,2012,23(8):2058-2072)对访问请求t进行DDoS行为检测。
3、通过通道pik进行数据转发,使得服务端为客户端提供服务;
4、在连接超时、遭遇非法攻击行为等条件下自动销毁通道pik;
5、虚拟控制器的销毁:当虚拟控制器Ci工作队列在规定时间T内为空,或者队列受到非法攻击,进行自我销毁;T可根据实际情况自由确定,例如可以为600秒。
本发明首次在现有的DDoS防御基础上,在客户端和服务端之间加入了虚拟控制器,服务端将不在直接暴露在客户端面前。客户端的请求从原来的直接访问服务端给映射到虚拟控制器上,由虚拟控制器在现有检测技术基础上进行行为检测,检测结果决定客户端是否有权利访问服务端。若虚拟控制器判定请求为DDoS攻击行为,客户端的请求将无法到达服务端,从而有效保护服务端的安全性。同时,虚拟控制器具有自我创建和销毁的能力,该能力确保了自身具有很强的资源虚拟化能力,能有效地抵御DDoS攻击。
Claims (1)
1.一种基于虚拟环境的主动防御木马方法,其特征在于,包括以下步骤:
(1)虚拟控制器的构建,该步骤主要包括如下两种情况:
(1.1)在系统初始化或运行过程中,自动构建虚拟控制器:C={ci|i=1,2,…,n},其中,n为构建的虚拟控制器的数量,ci为第i个虚拟控制器;
(1.2)在运行过程中,当所有的虚拟控制器ci工作队列中的任务量均大于阈值Taskmax时,自动创建新的虚拟控制器cn+1;
(2)虚拟控制器检测访问请求:该步骤通过以下子步骤来实现:
(2.1)对每次客户端的访问请求生成一个随机数t;
(2.2)根据各虚拟控制器中的任务量将t映射到一个虚拟控制器ck中,k=1,2,…,n;
(2.3)虚拟控制器ck对访问请求t进行DDoS行为检测,若检测为非法攻击,拒绝访问请求;若检测为安全行为,将访问请求t映射到服务端,建立通道pik;
(3)通过通道pik进行数据转发,使得服务端为客户端提供服务;
(4)在连接超时、遭遇非法攻击行为条件下自动销毁通道pik;
(5)虚拟控制器的销毁:当虚拟控制器ci工作队列在规定时间T内为空,或者队列受到非法攻击,进行自我销毁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610161710.1A CN105743907B (zh) | 2016-03-21 | 2016-03-21 | 一种基于虚拟环境的主动防御木马方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610161710.1A CN105743907B (zh) | 2016-03-21 | 2016-03-21 | 一种基于虚拟环境的主动防御木马方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105743907A CN105743907A (zh) | 2016-07-06 |
CN105743907B true CN105743907B (zh) | 2019-06-18 |
Family
ID=56251765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610161710.1A Active CN105743907B (zh) | 2016-03-21 | 2016-03-21 | 一种基于虚拟环境的主动防御木马方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105743907B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101076782A (zh) * | 2004-12-10 | 2007-11-21 | 英特尔公司 | 提供虚拟刀片服务器的方法和装置 |
CN102332069A (zh) * | 2011-08-05 | 2012-01-25 | 道里云信息技术(北京)有限公司 | 虚拟机全生命周期安全管理方法及系统 |
CN104767741A (zh) * | 2015-03-24 | 2015-07-08 | 杭州安恒信息技术有限公司 | 一种基于轻型虚拟机的计算服务分离与安全保护系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8775599B2 (en) * | 2012-06-19 | 2014-07-08 | Microsoft Corporation | Multi-tenant middleware cloud service technology |
-
2016
- 2016-03-21 CN CN201610161710.1A patent/CN105743907B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101076782A (zh) * | 2004-12-10 | 2007-11-21 | 英特尔公司 | 提供虚拟刀片服务器的方法和装置 |
CN102332069A (zh) * | 2011-08-05 | 2012-01-25 | 道里云信息技术(北京)有限公司 | 虚拟机全生命周期安全管理方法及系统 |
CN104767741A (zh) * | 2015-03-24 | 2015-07-08 | 杭州安恒信息技术有限公司 | 一种基于轻型虚拟机的计算服务分离与安全保护系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105743907A (zh) | 2016-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Modi et al. | A survey of intrusion detection techniques in cloud | |
CN102291390B (zh) | 一种基于云计算平台的防御拒绝服务攻击的方法 | |
Liu et al. | Botnet: classification, attacks, detection, tracing, and preventive measures | |
US10015193B2 (en) | Methods and devices for identifying the presence of malware in a network | |
Lam et al. | Puppetnets: Misusing web browsers as a distributed attack infrastructure | |
KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
CN109995794B (zh) | 一种安全防护系统、方法、设备及存储介质 | |
KR101951730B1 (ko) | 지능형 지속위협 환경에서의 통합 보안 시스템 | |
Ji et al. | The study on the botnet and its prevention policies in the internet of things | |
CN107911219A (zh) | 一种基于密钥签名的api防cc方法 | |
CN115065564B (zh) | 一种基于零信任机制的访问控制方法 | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
CN104378358A (zh) | 一种基于服务器日志的HTTP Get Flood攻击防护方法 | |
Kansal et al. | DDoS attack isolation using moving target defense | |
CN105743907B (zh) | 一种基于虚拟环境的主动防御木马方法 | |
Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
Challoo et al. | Detection of botnets using honeypots and p2p botnets | |
CN104378357A (zh) | 一种HTTP Get Flood攻击的防护方法 | |
Samani et al. | Intrusion detection system for DoS attack in cloud | |
Jinhui | The current main distributed denial of service and defence methods | |
KR102152395B1 (ko) | 슬로우 에이치티티피 포스트 도스 공격 탐지장치 | |
Prasad et al. | An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots | |
Ashwini et al. | Secure network system using Honeypot | |
CN109286637A (zh) | 一种D-Link Dir系列路由器配置接口漏洞的防御方法 | |
KR102621652B1 (ko) | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |