CN106060045B - 面向带宽消耗型攻击的过滤位置选择方法 - Google Patents

面向带宽消耗型攻击的过滤位置选择方法 Download PDF

Info

Publication number
CN106060045B
CN106060045B CN201610375191.9A CN201610375191A CN106060045B CN 106060045 B CN106060045 B CN 106060045B CN 201610375191 A CN201610375191 A CN 201610375191A CN 106060045 B CN106060045 B CN 106060045B
Authority
CN
China
Prior art keywords
dependency
tree
link congestion
congestion
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610375191.9A
Other languages
English (en)
Other versions
CN106060045A (zh
Inventor
鲁宁
崔锴倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northeastern University China
Original Assignee
Northeastern University China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northeastern University China filed Critical Northeastern University China
Priority to CN201610375191.9A priority Critical patent/CN106060045B/zh
Publication of CN106060045A publication Critical patent/CN106060045A/zh
Application granted granted Critical
Publication of CN106060045B publication Critical patent/CN106060045B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向带宽消耗型攻击的过滤位置选择方法,包括以下步骤:建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树;所有的链路拥塞依赖树组成链路拥塞依赖森林;所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。通过采用本发明的过滤位置选择方法,只需要使用已有的过滤策略25%的过滤路由节点就清除了所有拥塞链路,使二者达到平衡,极大地减小了由于路由器过滤导致的网络延迟。

Description

面向带宽消耗型攻击的过滤位置选择方法
技术领域
本发明涉及一种防御带宽消耗型攻击的方法,尤其是一种面向带宽消耗型攻击的过滤位置选择方法。
背景技术
互联网的迅速发展,极大地方便了人们的生活,推动了社会诸多方面的进步,但是伴随着互联网的发展而产生的安全问题也不容小觑。我们知道,在IP协议中,主机只有IP地址一种识别信息,这样当发送方改变自己的IP地址向接收方发送信息时,接收方由于无法辨别其真伪,必须接受信息再进行裁决。拒绝服务攻击(DenialofServiceattack,DoS攻击)就是利用这样的协议漏洞(即《Lee.J.Scalable multicast based filtering andtracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt,2004,14:1-14.》)实施网络入侵,从而导致服务器或者网络瘫痪。带宽耗尽型攻击是Dos攻击中最常见的一种,攻击者通过控制规模宏大的僵尸机,向某一特定目标主机发送密集的无用攻击流,消耗目标主机的带宽资源,使正常数据由于网络拥塞而被丢弃,最终使目标主机无法向正常用户提供服务,并且无法与外界联系。据NSFOCUS公司2013年所发布的《年终DDOS威胁报告》(即《NSFOCUS,NSFOCUS Mid-Year DDoS Threat Report,[EB/OL],URL:http://en.nsfocus.com,2013.》)中指出:攻击流量带宽从2012年的4.47Gbps快速增长到2013年的49.24Gpbs,其中带宽攻击的总量增加了34%,平均攻击带宽增加了925%。显然,带宽耗尽型攻击已经成为造成网络安全的主要威胁(即《Prolexic,Prolexic QuarterlyGlobal DDoS Attack Report,[EB/OL],URL:http://www.Valley-talk.org,2013.》)。但是,今天的互联网仍然没有合适的应对策略来抵制这种攻击。
根据带宽耗尽型攻击的特点可知,防御分为两个步骤:识别攻击路径(IP溯源技术)和实施过滤(包过滤技术)。IP溯源是指通过跟踪IP包的转发路径找到真正的攻击源(如《Shui Y,Zhou W,Robin D and Weijia J,Traceback ofDDoS attacks usingentropyvariations[J],IEEE Transactions on Parallel and Distributed Systems,2011,22(3):412-425.》、《Foroushani V.A and Zincir H.A,Deterministic andAuthenticated Flow Marking for IP Traceback[J],in Proc.of AdvancedInformation Networking andApplications,2013:397-404.》、《Yang M and Yang M,RIHT:A novel hybrid IP traceback scheme[J],IEEET ransaction on InformationForensics and Security,2012,7(2):789-797.》《Lu N,Wang Y.L,Su S and Yang F.C,Anovel path-based approach for single-packet IP traceback[J], Security andCommunication Networks,2013,7(2):309-321.》);实施过滤是指将攻击源发来的数据包过滤掉。路由器可以提供过滤功能,其实质是一组规则,用来判断该路由器能否转发当前的数据包。但是开启路由器的过滤功能,虽然不会影响路由器的吞吐量(如《H.Beitollahiand G.Deconinck,Analyzing well-known countermeasures against distributeddenial of service attacks[J],Computer Communications,2012,35:1312-1332.》、《Newman D,Cisco Catalyst 4948-10GE acesperformancetests,[EB/OL],http://www.networkworld.com/reviews/2005/090505-cisco-test.》),却会导致网络延迟,带来间接伤害。美国《网络世界》杂志对市场流行的路由器进行包过滤开启后的相关性能测试,在测试中,某厂商的产品居然延迟了17秒,这对于对响应速度有极高要求的互联网来说是致命的。之所以产生延迟,是因为过滤路由不仅仅要常规的执行路径转发操作,还要检查IP包头,这个过程需要先解包和再封包。因此,过滤路由的数量既会影响过滤效果,又会影响网络性能,那么选择合理的位置,控制过滤路由的数量就显得尤为重要。
防御过程中还存在一种问题:攻击发生之后,恢复正常服务的时间越长,造成的经济损失就越大,当前已有的包过滤机制中,包过滤和IP溯源是同步进行的,可以对攻击快速反应,增强防御的效果(如《K.Argyraki and Cheriton.RD.Scalable network-layerdefense against internetbandwidth-flooding attacks[J].IEEE/ACM Transactionson Networking,2009,17:1284-1297.》、《D.Seo,H.Lee and A.Perig.PFS:probabilityfilter scheduling against distributeddenial-of-service attacks[J].inProc.ofLocal Computer Networks,2011:9-17.》、《M.S Fallah and N.Kahani,TDPF:atraceback-based distributed packet filter to mitigate spoofed DDoS attacks[J],Security and Communication Networks,2014.》、《M.Sung.and J.Xu,IP traceback-based intelligent packet filtering:a noveltech-nique for defending againstInternet DDoS attack[J],IEEE/ACM Transactionon Paralell and DistributedSystems,2003,14:861-872.》)。也就意味着随着溯源的深入不断有新的攻击链路被发现,攻击网络不断的更新,我们的防御网络也应该随着攻击网络的更新而更新。而新增加的一条链路相对于原有的攻击网络,是非常小的,若因为一条链路而重新计算原有的数据,显然会非常影响效率,我们应尽量减小这种重复计算带来的低效和冗余。
为了缓解Dos攻击对网络的威胁,许多种防御技术已经被提出。首先,按过滤位置的不同,可分为两种:一是攻击源端过滤策略,因为有较好的保护效果,近几年来受到广泛的关注。它是将在靠近攻击源位置的路由器设置为过滤路由,这样攻击流就无法进入网络,从而保护受害者的带宽资源(如《Lee.J.Scalable multicast based filtering andtracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt,2004,14:1-14.》、《K.Argyraki and Cheriton.RD.Scalable network-layer defenseagainst internetbandwidth-flooding attacks[J].IEEE/ACM Transactions onNetworking,2009,17:1284-1297.》、《D.Seo,H.Lee and A.Perig.PFS:probabilityfilter scheduling against distributeddenial-of-service attacks[J].inProc.ofLocal Computer Networks,2011:9-17.》、《X.Liu,X.Yand and Y.Lu.To filteror to authorize:network-layer DoS defense against multimillion-node botnets[J].ACM SIGCOMM ComputerCommunication Review,2008,38:195-206.》、《M.SFallah andN.Kahani,TDPF:a traceback-based distributed packet filter to mitigate spoofedDDoS attacks[J],Security and Communication Networks,2014》)。但是这样的方法会使用大量的过滤路由器,会使网络传输性能降低(如《H.Beitollahi and G.Deconinck,Analyzing well-known countermeasures against distributed denial of serviceattacks[J],Computer Communications,2012,35:1312-1332.》、《Newman D,CiscoCatalyst 4948-10GE aces performance tests,[EB/OL],http://www.networkworld.com/reviews/2005/090505-cisco-test.》)。因此就出现了另一种策略,即受害者端过滤策略,它只需要选择少量的靠近受害者的路由器作为过滤路由器,从而阻止所有攻击流抵达受害者。但是它并没有保护攻击者到受害者端的带宽,清除所有的拥塞链路,所以实际上没有实现对攻击的防御。其次,按过滤动作发生的时间,也可分为两种:主动式包过滤策略和反应式包过滤策略。主动式包过滤策略是无论Dos攻击是否发生,被部署的路由器需要判断每个转发包是否合法。而反应式包过滤策略,发生Dos攻击后,才会开启过滤。另外该技术不需要受害者相信任何网络实体,因此,该方法更适用于更一般的问题,如保护网络资源的问题。在过滤位置的选择问题上,大多数现有的工作主要是针对主动式包过滤(如《Armbruster B and Smith J.C,Apacket filter placement problem withapplication to defense against spoofed denial of service attacks[J],Europeanjournal of operational research,2007,176:1283-1292.》)。这些研究可以分为最优过滤路由器或边界过滤路由器。基于反应式包过滤的过滤位置问题有待深入研究。
根据带宽耗尽型攻击的特点,在基于反应式包过滤的源端过滤策略有以下几种经典方法。Lee等人提出一个基于组播的可扩展的防御架构(即《Lee.J.Scalable multicastbased filtering and tracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt,2004,14:1-14.》)。在该架构中,利用组播选择尽可能靠近攻击源的过滤位。为了减小部署成本,与AITF相似,StopIt也尽可能靠近攻击源的过滤位置。但是StopIt防御过滤路由消耗和带宽耗尽型攻击主要是通过防止过滤器及时建立(即《X.Liu,X.Yand and Y.Lu. To filter or to authorize:network-layer DoS defenseagainst multimillion-node botnets[J].ACM SIGCOMM ComputerCommunicationReview,2008,38:195-206.》)。Mehran等人提出基于过滤的实时溯源,将包过滤和IP溯源进行整合,从而可以进行及时防御(即《M.S Fallah and N.Kahani,TDPF:a traceback-baseddistributed packet filter to mitigate spoofed DDoS attacks[J],Security andCommunication Networks,2014.》)。但是由于使用过量的过滤路由,该方法造成网络性能的严重下降。
综合这些已有的策略,可以发现,目前所有的包过滤都是基于设计好的分类器和如何设计过滤规则,并没有考虑到过量过滤路由的使用会给网络带来负影响(如《Lee.J.Scalable multicast based filtering and tracing framework fordefeatingdistributed DoS attacks[J].Int.J.Network Mgmt,2004,14:1-14.》、《K.Argyraki and Cheriton.RD.Scalable network-layer defense againstinternetbandwidth-flooding attacks[J].IEEE/ACM Transactions on Networking,2009,17:1284-1297.》、《D.Seo,H.Lee and A.Perig.PFS:probability filterscheduling against distributeddenial-of-service attacks[J].in Proc.ofLocalComputer Networks,2011:9-17.》、《X.Liu,X.Yand and Y.Lu.To filter or toauthorize:network-layer DoS defense against multimillion-node botnets[J].ACMSIGCOMM ComputerCommunication Review,2008,38:195-206.》、《M.S Fallah andN.Kahani,TDPF:a traceback-based distributed packet filter to mitigate spoofedDDoS attacks[J],Security and Communication Networks,2014》),也没有考虑重复计算的弊端。例如,攻击者源端过滤策略是通过开启了离攻击者较近的过滤路由来阻止攻击流进入网络,因此可以很好地保护所有的链路。但是如果僵尸攻击网络的规模不断增大,超过了摩尔定律,随之需要开启的过滤路由的数量也增加,这将对网络的性能造成极大的影响。这就要求我们提出一个更优化的过滤策略。
发明内容
本发明的目的在于,提供一种面向带宽消耗型攻击的过滤位置选择方法,它可以实现选择合适的过滤位置,既能清除所有的拥塞链路,又能最小化过滤路由器的投入数量,使二者达到平衡,从而提高网络传输性能,减小网络延迟。
为解决上述技术问题,本发明采用如下的技术方案:一种面向带宽消耗型攻击的过滤位置选择方法,包括以下步骤:建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树;所有的链路拥塞依赖树组成链路拥塞依赖森林;所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤 位置。
优选的,所述的建立攻击树中路由节点的链路拥塞完全依赖集合CDSset具体包括以下步骤:
步骤1,建立攻击树中路由节点的最简候选集Candset,所述最简候选集Candset中的元素为攻击树中各个拥塞链路的上游路由节点;
步骤2,根据链路拥塞依赖关系,将最简候选集Candset中的各个路由节点划分为一个或多个链路拥塞完全依赖子集;
步骤3,所有的链路拥塞完全依赖子集组成链路拥塞完全依赖集合CDSset
步骤3中,可根据CDSset中的任意链路拥塞完全依赖子集CDSRi建立链路拥塞依赖树D-Tree(Ri);所有的链路拥塞依赖树组成链路拥塞依赖森林。
本发明通过定义最简候选集(最优过滤位置一定是从这个最简候选集中产生的,也就是说,只检索这个最简候选集中的路由即可,而无需检索攻击网络中的所有路由),从而缩减了状态空间,简化了计算,提高了确定最优过滤路由节点位置的效率;另外,本发明根据链路拥塞依赖关系,通过将最简候选集Candset中的各个路由节点划分为一个或多个链路拥塞完全依赖子集,从而实现了将状态空间分割为几个互不相关的子空间,并通过借鉴动态规划的思想,把过滤位置优化问题分为几个相似的子问题,降低了问题的复杂度。从而进一步减少了冗余计算,实现最大化被保护的带宽资源的同时最小化过滤路由器的投入数量。
优选的,步骤2中,如果消除了所有经过链路拥塞依赖子集中路由节点的攻击流,相应的以路由节点Ri为直接上游节点的链路的拥塞也会消除,则判定路由节点Ri具有链路拥塞完全依赖关系;计算路由节点Ri的并集,即得链路拥塞完全依赖子集其中链路拥塞依赖子集表示Ri的上游路由节点集,和Ri均为Candset中的元素。通过定义链路拥塞完全依赖关系,从而进一步减少了冗余计算,提高了最优过滤路由节点的位置选择的效率。
前述的面向带宽消耗型攻击的过滤位置选择方法中,对于链路拥塞完全依赖集合CDSset中的任意链路拥塞完全依赖子集CDSRi,建立相应的链路拥塞依赖树D-Tree(Ri)具体包括以下步骤:
步骤1,对于链路拥塞完全依赖子集CDSRi中的任意节点Rk,建立相应的链路拥塞依赖子集所有的链路拥塞依赖子集组成链路拥塞依赖集合
步骤2,利用拥塞链路之间的上下游关系,将中所有的链路拥塞依赖子集按层次连接成 链路拥塞依赖树D-Tree(Ri),其中Ri是树根节点。从而实现了根据链路拥塞完全依赖子集快速建立链路拥塞依赖树,为查找路由最优过滤位置奠定了基础。
优选的,步骤1还包括:按照链路拥塞依赖子集之间的包含关系,修剪链路拥塞依赖集合——对于链路拥塞依赖集合中的任意链路拥塞依赖子集如果链路拥塞依赖集合中还存在链路拥塞依赖子集UPRj包含于则将中属于UPRj的元素删除。从而消除了链路拥塞依赖子集中的冗余路由节点,进一步提高了建树效率,也即提高了最优过滤路由节点的位置选择的效率。
前述的面向带宽消耗型攻击的过滤位置选择方法中,采用增量式方法处理新加入的拥塞链路,更新链路拥塞依赖森林,选出面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。通过采用上述方法,本发明无需再重新处理所有的数据,从而大大减少了计算量,避免了重复计算带来的低效和冗余的问题。
优选的,若要将新增拥塞链路lRj,Rk插入原链路拥塞依赖森林中,其中,Rj是该拥塞链路的上游路由节点,则对于原链路拥塞依赖森林中的每棵链路拥塞依赖树执行以下操作:判断经过路由节点Rj的攻击流是否包含于经过各个树根节点的攻击流中,如果没有任何一棵树包含经过路由节点Rj的攻击流,说明Rj不属于任何一棵已有树,则建立一棵只有根节点的树D-Tree(Rj),并将其插入原链路拥塞依赖森林中;如果有且只有一棵树D-Tree(Rm)包含经过路由节点Rj的攻击流,并且Rm与Rj之间还存在拥塞依赖关系,则将Rj插入到原链路拥塞依赖树D-Tree(Rm)中;如果有多棵树包含经过路由节点Rj的攻击流,并且这些树与Rj之间存在拥塞依赖关系,则利用相关树的路由节点集和路由节点Rj建立一棵新的树,并将其插入原链路拥塞依赖森林中,修剪更新后的链路拥塞依赖森林,删除其中多余的树。通过采用上述方法来处理新的拥塞链路,本发明无需再重新处理所有的数据,从而大大减少了计算量,避免了重复计算带来的低效和冗余的问题。
更优选的,所述的将Rj插入到原链路拥塞依赖树D-Tree(Rm)中具体包括以下步骤:判断经过Rj的攻击流的集合与经过树根节点Rm的攻击流的集合是否相等,如果相等,则将Rm的所有子节点赋给Rj,然后删除Rm的所有子节点,并使Rj成为Rm新的子节点;如果不相等,则对原链路拥塞依赖树D-Tree(Rm)进行层次遍历,并对每个树节点Rk执行以下操作:重新计算UPRk;如果节点Rj属于UPRk且Rk不是叶子节点,则将Rj迭代插入到以Rk为根节点的链路拥塞依赖树D-Tree(Rk)中;如果节点Rj属于UPRk且Rk是叶子节点,则将节点Rj链接到节点Rk下,使其成为节点Rk的叶子节点。通过采用以上方法,从而可以将路由节点Rj准确的插入原链路拥塞依赖树中,精确、快速的更新链路拥塞依赖森林,并 准确、高效的查找出更新后的最佳过滤位置。
与现有技术相比,本发明具有以下有益效果:
1、本发明将路由过滤位置的选择问题形式化为一个整数线性规划问题;通过建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;再根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树;所有的链路拥塞依赖树组成链路拥塞依赖森林;所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。通过采用本发明的过滤位置选择方法,只需要使用已有的过滤策略25%的过滤路由节点就能清除所有的拥塞链路,使二者达到了平衡,极大地减小了由于路由器过滤导致的网络延迟;
2、本发明深入分析了拥塞链路的上下游关系,并根据拥塞链路的上下游关系定义了最简候选集,最优过滤位置一定是从这个候选集中产生的,也就是说,只需要检索这个集合中的路由即可,而无需检索攻击网络中的所有路由,从而缩减了状态空间,简化了计算,提高了确定最优过滤路由节点位置的效率;另外,本发明根据链路拥塞依赖关系,通过将最简候选集Candset中的各个路由节点划分为一个或多个链路拥塞完全依赖子集,从而实现了将状态空间分割为几个互不相关的子空间,并通过借鉴动态规划的思想,把过滤位置优化问题分为几个相似的子问题,降低了问题的复杂度。从而进一步减少了冗余计算,实现最大化被保护的带宽资源的同时最小化过滤路由器的投入数量;
3、对于新增加拥塞链路需要重新计算的问题,本发明提出了增量式计算的方法,通过计算新加入的拥塞链路与链路拥塞依赖森林中其他链路拥塞依赖树的依赖程度,只需修改与其相关的树,而不必再重新处理所有的数据,从而大大减少了计算量,避免了重复计算带来的低效和冗余的问题。
为了更好地说明上述效果,发明人将本发明的方法整合到已有的反应式包过滤架构中去评估本发明中的过滤位置选择方法的性能,并且在基于真实拓扑和Transit-Stub的DoS攻击模拟场景中实现了这个整合后的过滤策略。
实验设置如下:
通过在以下两个拓扑上进行模拟仿真实验,验证本发明算法的性能:
(1)Skitter拓扑(ITDK 9812)。它是CAIDA公司在2011年3月使用Archipelag监视器搜集的未经加工的路由器级拓扑,每个路由器都直接连接一个主机。
(2)Transit-stub拓扑。它是由ReaseGUI生成的人工Transit-Stub拓扑。人工拓扑包含10个Transit自治域和40个Stub自治域,其中Transit自治域的路由器被认为是核心路由 器,Stub自治域的路由器被认为是边界路由器,需要指出的是只有Stub AS的路由器会连接一个主机。
表1 拓扑参数
攻击网络的搭建是基于网络仿真框架OMNET++4.1,IP网络仿真工具箱INET以及DoS攻击仿真工具ReaSE,该网络的运行环境是Intel2.40GHzdual-coreCPU,4GB内存和Windows7。图5为Skitter拓扑示意图。
为了保证真实性,拥塞阈值CW设定为80%。为了模拟DoS攻击场景,首先指定一个特定的主机作为受害者,攻击者则随机分布在终端主机中。每个主机都以一定的概率向受害者发包。因为带宽,攻击流速率等参数的绝对值不能有效评估算法的效果,发明人选择带宽使用率作为评估的参数。
因为
所以
式中,为链路的流量,为链路的带宽使用率,为链路的容量,为在链路上传播的攻击流速率,为在链路上传播的正常流速率,为链路上正常流的带宽利用率,为攻击流的带宽利用率。其中都是比率,是用单位“1”来量化表示实际的速率。假设有g个攻击者,那么[g/CW]单位每秒表示每条链路的容量,每个主机发送正常流的速率是1单位每秒。因此,在没有攻击流的情况下,所有链路都不会拥塞。并且设定,所有的攻击者发送攻击流的速率是一样的。
表2 过滤位置优化问题的控制参数和对比算法
由表2可知,可采用FRratio=f/n,来衡量算法效果,其中f是过滤路由的数量,n是攻击者的数量。在控制参数中,链路共享率LSR是量化攻击路径的收敛程度;d=n/m,其中n是攻击者数,m是主机数;b=攻击者的发包量/链路容量。给定b,对于链路其中,m是经过的正常流量,n是经过的攻击流量,是由d和LSR决定。
通过以上实验验证了(1)链路共享率LSR(2)攻击者比率d(3)发包率b三个参数的变化对算法性能的影响,其结果分别如图6~图11所示。根据实验结果可知道,无论攻击场景如何变化,本发明的E-filtering算法(即本发明的过滤路由选择方法)只使用源端过滤算法(即TDPF)25%的过滤路由节点就可以清除所有拥塞链路,极大减少了防御系统中过滤路由节点的投入量。其次,通过简单的理论分析可知本发明的时间开销只有o(3n),其中n是BDoS攻击造成的拥塞链路数量。
附图说明
图1为带宽耗尽型攻击网络示意图;
图2为根据图1得到的防御网络示意图;
图3为由图1得到的D-Tree示意图;
图4为由图1得到的D-Forest示意图;
图5为Omnetpp模拟运行Skitter拓扑示意图;
图6为Transit-stub拓扑中不同的LSR,TDPF、SF-LOC和E-Filtering对应的FRratio值比较示意图;
图7为CAIDA拓扑中不同的LSR,TDPF、SF-LOC和E-Filtering对应的FRratio值比较示意图;
图8为Transit-stub拓扑中增加攻击者比例示意图;
图9为Skitter拓扑中增加攻击者比例示意图;
图10为Transit-stub拓扑中FRratio与攻击者发包率关系(小规模攻击)示意图;
图11为Skitter拓扑中FRratio与攻击者发包率关系(小规模攻击)示意图;
图12是本发明的方法流程图;
图13是实验例中加入一种新增拥塞链路后的攻击网络示意图;
图14是与图13对应的更新后的D-Forest示意图;
图15是实验例中加入另一种新增拥塞链路后的攻击网络示意图;
图16是与图15对应的更新后的D-Forest示意图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
本发明的实施例:一种面向带宽消耗型攻击的过滤位置选择方法,如图12所示,包括以下步骤:建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树;所有的链路拥塞依赖树组成链路拥塞依赖森林;所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。
优选的,所述的建立攻击树中路由节点的链路拥塞完全依赖集合CDSset具体包括以下步骤:
步骤1,建立攻击树中路由节点的最简候选集Candset,所述最简候选集Candset中的元素为攻击树中各个拥塞链路的上游路由节点;
步骤2,根据链路拥塞依赖关系,将最简候选集Candset中的各个路由节点划分为一个或多个链路拥塞完全依赖子集;
步骤3,所有的链路拥塞完全依赖子集组成链路拥塞完全依赖集合CDSset
具体的说,步骤2中,如果消除了所有经过链路拥塞依赖子集中路由节点的攻击流,相应的以路由节点Ri为直接上游节点的链路的拥塞也会消除,则判定路由节点Ri具有链路拥塞完全依赖关系;计算路由节点Ri的并集,即得链路拥塞完全依赖子集其中链路拥塞依赖子集表示Ri的上游路由节点集,和Ri均为Candset中的元素。
优选的,对于链路拥塞完全依赖集合CDSset中的任意链路拥塞完全依赖子集CDSRi,建立相应的链路拥塞依赖树D-Tree(Ri)具体包括以下步骤:
步骤1,对于链路拥塞完全依赖子集CDSRi中的任意节点Rk,建立相应的链路拥塞依赖子集所有的链路拥塞依赖子集组成链路拥塞依赖集合
步骤2,利用拥塞链路之间的上下游关系,将中所有的链路拥塞依赖子集按层次连接成 链路拥塞依赖树D-Tree(Ri),其中Ri是树根节点。
更优选的,步骤1还包括:按照链路拥塞依赖子集之间的包含关系,修剪链路拥塞依赖集合——对于链路拥塞依赖集合中的任意链路拥塞依赖子集如果链路拥塞依赖集合中还存在链路拥塞依赖子集UPRj包含于则将中属于UPRj的元素删除。
上述的面向带宽消耗型攻击的过滤位置选择方法,采用增量式方法处理新加入的拥塞链路,更新链路拥塞依赖森林,选出面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。
优选的,若要将新增拥塞链路lRj,Rk插入原链路拥塞依赖森林中,其中,Rj是该拥塞链路的上游路由节点,则对于原链路拥塞依赖森林中的每棵链路拥塞依赖树执行以下操作:判断经过路由节点Rj的攻击流是否包含于经过各个树根节点的攻击流中,如果没有任何一棵树包含经过路由节点Rj的攻击流,说明Rj不属于任何一棵已有树,则建立一棵只有根节点的树D-Tree(Rj),并将其插入原链路拥塞依赖森林中;如果有且只有一棵树D-Tree(Rm)包含经过路由节点Rj的攻击流,并且Rm与Rj之间还存在拥塞依赖关系,则将Rj插入到原链路拥塞依赖树D-Tree(Rm)中;如果有多棵树包含经过路由节点Rj的攻击流,并且这些树与Rj之间存在拥塞依赖关系,则利用相关树的路由节点集和路由节点Rj建立一棵新的树,并将其插入原链路拥塞依赖森林中,修剪更新后的链路拥塞依赖森林,删除其中多余的树。
更优选的,所述的将Rj插入到原链路拥塞依赖树D-Tree(Rm)中具体包括以下步骤:判断经过Rj的攻击流的集合与经过树根节点Rm的攻击流的集合是否相等,如果相等,则将Rm的所有子节点赋给Rj,然后删除Rm的所有子节点,并使Rj成为Rm新的子节点;如果不相等,则对原链路拥塞依赖树D-Tree(Rm)进行层次遍历,并对每个树节点Rk执行以下操作:重新计算UPRk;如果节点Rj属于UPRk且Rk不是叶子节点,则将Rj迭代插入到以Rk为根节点的链路拥塞依赖树D-Tree(Rk)中;如果节点Rj属于UPRk且Rk是叶子节点,则将节点Rj链接到节点Rk下,使其成为节点Rk的叶子节点。
实验例:图1是给定的攻击网络(可采用溯源方法构建),图2是相应的防御模型。经过对攻击行为的深入分析,可将带宽耗尽型攻击网络定义为一个多源单汇的图,表示为GS={VS,LS,SS,DS,RS,FS,CS,TS},式中,GS表示攻击网络,VS表示攻击网络GS中的节点集合,Ls表示攻击网络GS中的链路集合,Ss表示攻击网络GS中的攻击源集合,Ds表示攻击网络GS中的根节点,RS表示攻击网络GS中的攻击流速率集合,FS表示攻击网络中节点和攻击路径的关系集合,CS表示攻击网络GS中链路的带宽使用率,Ts表示每 条链路的实际流量集合。
其中,节点集合其中Ai是攻击路径,是指从攻击者Ai到受害者V的唯一且有序的路由器列表,是Ai中所有中间节点的集合;AS是所有攻击路径的集合;攻击路径Ai是由两部分组成,节点集和链路集其中Rj表示路由器,表示从Ri到Rj的链路。可采用已有方法(如PSIT)精确识别攻击路径AS={Ai|0<i<m+1}。
链路集合
攻击源集合其中,表示攻击路径Ai的入口路由;
攻击流速率集合其中是攻击者Ai向受害者发包速率,该值可以通过计算入口路由到达流量得到;可采用已有方法测量网络流量,如NetFlow、MRTG等;
攻击网络GS中链路的带宽使用率Cs其中是Ri向Rj的接口传输的最大速率,可以通过SNMP计算得知;
关系集合Fs其中
链路流量集合其中是Ri向Rj的接口传输的流量,可以通过SNMP、NetFlow计算得知。
对于链路它的流量表示为容量表示为其中链路的带宽使用率表示为CW∈[0,1],判定链路为拥塞。
图1中,共有6条拥塞链路,分别是其中入口路由旁边的数字表示攻击流的发包率,节点旁边的括号内表示经过该节点的攻击流,链路旁边的方框内分别表示该链路的容量,流量和带宽使用率。
以图1为例,具体介绍本发明的方法流程,具体分为两步:建立链路拥塞依赖森林D-Forest和增量更新。
一、建链路拥塞依赖森林D-Forest:
(1)建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;具体包括以下步骤:
步骤1,建立攻击树中路由节点的最简候选集Candset(即{R2,R3,R4,R5,R8,R10}),所述最简候选集Candset中的元素为攻击树中各个拥塞链路的上游路由节点;
步骤2,根据链路拥塞依赖关系,将最简候选集Candset中的各个路由节点划分为一个或多个 链路拥塞完全依赖子集(即划分为3个链路拥塞完全依赖子集:CDSR2={R2,R3,R4,R5}、CDSR8={R8}和CDSR10={R10});
步骤3,所有的链路拥塞完全依赖子集组成链路拥塞完全依赖集合CDSset
(2)根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树,具体的说,针对链路拥塞完全依赖集合CDSset中的任一子集CDSRi,建立相应的链路拥塞依赖树(即如图3、图4所示);
(3)所有的链路拥塞依赖树组成链路拥塞依赖森林(如图4所示);所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置(即最优路由过滤位置为R4、R5、R8、R10)。
步骤2中,如果消除了所有经过链路拥塞依赖子集中路由节点的攻击流,相应的以路由节点Ri为直接上游节点的链路的拥塞也会消除,则判定路由节点Ri具有链路拥塞完全依赖关系;计算路由节点Ri的并集,即得链路拥塞完全依赖子集其中链路拥塞依赖子集表示Ri的上游路由节点集,和Ri均为Candset中的元素。比如消除了所有经过UPR2路由节点的攻击流,相应的以路由节点R2为直接上游节点的链路(即R2到R1的链路)的拥塞也会消除,则判定路由节点R2与UPR2具有链路拥塞完全依赖关系,CDSR2={R2,R3,R4,R5}。
对于链路拥塞完全依赖集合CDSset中的任意链路拥塞完全依赖子集CDSRi(比如CDSR2={R2,R3,R4,R5}),建立相应的链路拥塞依赖树D-Tree(Ri)(即D-Tree(R2))具体包括以下步骤:
步骤1,对于链路拥塞完全依赖子集CDSRi中的任意节点Rk,建立相应的链路拥塞依赖子集(比如)所有的链路拥塞依赖子集组成链路拥塞依赖集合
按照链路拥塞依赖子集之间的包含关系,修剪链路拥塞依赖集合——对于链路拥塞依赖集合中的任意链路拥塞依赖子集如果链路拥塞依赖集合中还存在链路拥塞依赖子集UPRj包含于则将中属于UPRj的元素删除;(比如包含于 则可将中的R4,R5删除),即得
步骤2,利用拥塞链路之间的上下游关系,将中所有的链路拥塞依赖子集按层次连接成链路拥塞依赖树D-Tree(Ri),其中Ri是树根节点。如图3所示。
二、增量更新:
采用增量式方法处理新加入的拥塞链路,更新链路拥塞依赖森林,选出面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。
具体的,若在图1中新增一条攻击流A7,从而引入新的拥塞链路lRj,Rk,其中Rj是该拥塞链路的上游路由节点,把它插入原链路拥塞依赖森林中需要对每棵树执行以下操作:判断经过路由节点Rj的攻击流是否包含于经过各个树根节点的攻击流中,如果没有任何一棵树包含经过路由节点Rj的攻击流,说明Rj不属于任何一棵已有树,则建立一棵只有根节点的树D-Tree(Rj),并将其插入原链路拥塞依赖森林中(如图13所示,拥塞链路为lR11,R1,其中R11是上游路由节点,由于经过R11的攻击流与已有树都不相关,因此直接在原链路拥塞依赖森林中建立一棵以R11为根节点的树,如图14所示);如果有且只有一棵树D-Tree(Rm)包含经过路由节点Rj的攻击流,并且Rm与Rj之间还存在拥塞依赖关系,则将Rj插入到原链路拥塞依赖树D-Tree(Rm)中(如图15所示,拥塞链路为lR11,R9,其中R11是上游路由节点,由于只有经过D-Tree(R8)的攻击流包含经过R11的攻击流且它们彼此存在链路拥塞依赖关系,因此直接将路由节点R11插入到原链路拥塞依赖树D-Tree(R8)中,更新后的链路拥塞依赖森林如图16所示);如果有多棵树包含经过路由节点Rj的攻击流,并且这些树与Rj之间存在拥塞依赖关系,则利用相关树的路由节点集和路由节点Rj建立一棵新的树,并将其插入原链路拥塞依赖森林中,修剪更新后的链路拥塞依赖森林,删除其中多余的树。
更具体的,如果有且只有一棵树D-Tree(Rm)包含经过路由节点Rj的攻击流,并且Rm与Rj之间还存在拥塞依赖关系,则将Rj插入到原链路拥塞依赖树D-Tree(Rm)中具体包括以下步骤:判断经过Rj的攻击流的集合与经过树根节点Rm的攻击流的集合是否相等,如果相等,则将Rm的所有子节点赋给Rj,然后删除Rm的所有子节点,并使Rj成为Rm新的子节点;如果不相等,则对原链路拥塞依赖树D-Tree(Rm)进行层次遍历,并对每个树节点Rk执行以下操作:重新计算UPRk;如果节点Rj属于UPRk且Rk不是叶子节点,则将Rj迭代插入到以Rk为根节点的链路拥塞依赖树D-Tree(Rk)中;如果节点Rj属于UPRk且Rk是叶子节点,则将节点Rj链接到节点Rk下,使其成为节点Rk的叶子节点。
对于单独的一条拥塞链路而言,由于攻击流的方向性,最优的路由过滤位置一定是在这条拥塞链路的上游路由节点,以下进行论证:
对于链路的上游节点集一共有两种情况:
(1)当时,意味着只有一个上游节点,也就是说,这个节点是一个入口路由。那么,为了解决拥塞只能选这个节点作为过滤路由。如图1,只有在R4开启过滤可以 解决的拥塞。
(2)当时,上游节点可以分为两类:直接上游节点Ri和间接上游节点如图1,对于拥塞链路,它的直接上游节点是R2以下证明Ri更适合做过滤路由:在攻击网络Gs中,每个节点都有一个参数表示通过该节点的攻击流集合。对于 (1)如果那么Ri的过滤效果比Rk好。如图2,对于拥塞链路 R8能比R9过滤更多的攻击流。(2)如果那么Ri和Rk过滤效果一样,如图1但是,与Ri有一样效果的Rk不一定存在,为了保证本发明方法的适用性,Ri是最适合的过滤位置。

Claims (6)

1.一种面向带宽消耗型攻击的过滤位置选择方法,其特征在于,包括以下步骤:建立攻击树中路由节点的链路拥塞完全依赖集合CDSset;根据所述的链路拥塞完全依赖集合CDSset中链路的上下游依赖关系,建立相应的链路拥塞依赖树;所有的链路拥塞依赖树组成链路拥塞依赖森林;所述链路拥塞依赖森林中每棵链路拥塞依赖树的叶子路由节点,即为面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置;其中,所述的建立攻击树中路由节点的链路拥塞完全依赖集合CDSset具体包括以下步骤:
步骤1,建立攻击树中路由节点的最简候选集Candset,所述最简候选集Candset中的元素为攻击树中各个拥塞链路的上游路由节点;
步骤2,根据链路拥塞依赖关系,将最简候选集Candset中的各个路由节点划分为一个或多个链路拥塞完全依赖子集;其中,如果消除了所有经过链路拥塞依赖子集中路由节点的攻击流,相应的以路由节点Ri为直接上游节点的链路的拥塞也会消除,则判定路由节点Ri具有链路拥塞完全依赖关系;计算路由节点Ri的并集,即得链路拥塞完全依赖子集其中链路拥塞依赖子集表示Ri的上游路由节点集,和Ri均为Candset中的元素;
步骤3,所有的链路拥塞完全依赖子集组成链路拥塞完全依赖集合CDSset
2.根据权利要求1所述的面向带宽消耗型攻击的过滤位置选择方法,其特征在于,对于链路拥塞完全依赖集合CDSset中的任意链路拥塞完全依赖子集CDSRi,建立相应的链路拥塞依赖树D-Tree(Ri),具体包括以下步骤:
步骤1,对于链路拥塞完全依赖子集CDSRi中的任意节点Rk,建立相应的链路拥塞依赖子集所有的链路拥塞依赖子集组成链路拥塞依赖集合
步骤2,利用拥塞链路之间的上下游关系,将中所有的链路拥塞依赖子集按层次连接成链路拥塞依赖树D-Tree(Ri),其中Ri是树根节点。
3.根据权利要求2所述的面向带宽消耗型攻击的过滤位置选择方法,其特征在于,步骤1还包括:按照链路拥塞依赖子集之间的包含关系,修剪链路拥塞依赖集合——对于链路拥塞依赖集合中的任意链路拥塞依赖子集如果链路拥塞依赖集合中还存在链路拥塞依赖子集包含于则将中属于的元素删除。
4.根据权利要求1~3中任一项所述的面向带宽消耗型攻击的过滤位置选择方法,其特征在于,采用增量式方法处理新加入的拥塞链路,更新链路拥塞依赖森林,选出面向带宽消耗型攻击的攻击树中路由节点的最优过滤位置。
5.根据权利要求4所述的面向带宽消耗型攻击的过滤位置选择方法,其特征在于,若要将新增拥塞链路lRj,Rk插入原链路拥塞依赖森林中,其中,Rj是该拥塞链路的上游路由节点,则对于原链路拥塞依赖森林中的每棵链路拥塞依赖树执行以下操作:判断经过路由节点Rj的攻击流是否包含于经过各个树根节点的攻击流中,如果没有任何一棵树包含经过路由节点Rj的攻击流,说明Rj不属于任何一棵已有树,则建立一棵只有根节点的树D-Tree(Rj),并将其插入原链路拥塞依赖森林中;如果有且只有一棵树D-Tree(Rm)包含经过路由节点Rj的攻击流,并且Rm与Rj之间还存在拥塞依赖关系,则将Rj插入到原链路拥塞依赖树D-Tree(Rm)中;如果有多棵树包含经过路由节点Rj的攻击流,并且这些树与Rj之间存在拥塞依赖关系,则利用相关树的路由节点集和路由节点Rj建立一棵新的树,并将其插入原链路拥塞依赖森林中,修剪更新后的链路拥塞依赖森林,删除其中多余的树。
6.根据权利要求5所述的面向带宽消耗型攻击的过滤位置选择方法,其特征在于,所述的将Rj插入到原链路拥塞依赖树D-Tree(Rm)中具体包括以下步骤:判断经过Rj的攻击流的集合与经过树根节点Rm的攻击流的集合是否相等,如果相等,则将Rm的所有子节点赋给Rj,然后删除Rm的所有子节点,并使Rj成为Rm新的子节点;如果不相等,则对原链路拥塞依赖树D-Tree(Rm)进行层次遍历,并对每个树节点Rk执行以下操作:重新计算UPRk;如果节点Rj属于UPRk且Rk不是叶子节点,则将Rj迭代插入到以Rk为根节点的链路拥塞依赖树D-Tree(Rk)中;如果节点Rj属于UPRk且Rk是叶子节点,则将节点Rj链接到节点Rk下,使其成为节点Rk的叶子节点。
CN201610375191.9A 2016-05-31 2016-05-31 面向带宽消耗型攻击的过滤位置选择方法 Expired - Fee Related CN106060045B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610375191.9A CN106060045B (zh) 2016-05-31 2016-05-31 面向带宽消耗型攻击的过滤位置选择方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610375191.9A CN106060045B (zh) 2016-05-31 2016-05-31 面向带宽消耗型攻击的过滤位置选择方法

Publications (2)

Publication Number Publication Date
CN106060045A CN106060045A (zh) 2016-10-26
CN106060045B true CN106060045B (zh) 2019-12-06

Family

ID=57171548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610375191.9A Expired - Fee Related CN106060045B (zh) 2016-05-31 2016-05-31 面向带宽消耗型攻击的过滤位置选择方法

Country Status (1)

Country Link
CN (1) CN106060045B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1719829A (zh) * 2004-07-09 2006-01-11 北京航空航天大学 利用mpls显式路由实施流量控制和防御dos攻击
CN101083563A (zh) * 2007-07-20 2007-12-05 杭州华三通信技术有限公司 一种防分布式拒绝服务攻击的方法及设备
CN101282340A (zh) * 2008-05-09 2008-10-08 华为技术有限公司 网络攻击处理方法及处理装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015036860A2 (en) * 2013-09-10 2015-03-19 Haproxy S.A.R.L. Line-rate packet filtering technique for general purpose operating systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1719829A (zh) * 2004-07-09 2006-01-11 北京航空航天大学 利用mpls显式路由实施流量控制和防御dos攻击
CN101083563A (zh) * 2007-07-20 2007-12-05 杭州华三通信技术有限公司 一种防分布式拒绝服务攻击的方法及设备
CN101282340A (zh) * 2008-05-09 2008-10-08 华为技术有限公司 网络攻击处理方法及处理装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DFA: Traceback-based Defense against DDoS Attacks;Vahid Aghaei Foroushani;《2014 IEEE 28th International Conference on Advanced Information Networking and Applications》;IEEE;20140619;全文 *
基于贝叶斯方法的网络攻击定位和追踪模型;胡振宇;《郑州大学学报(理学版)》;20080915(第3期);全文 *

Also Published As

Publication number Publication date
CN106060045A (zh) 2016-10-26

Similar Documents

Publication Publication Date Title
Ballani et al. Off by default!
Abliz Internet denial of service attacks and defense mechanisms
Jamal et al. Flow Table Congestion in Software Defined Networks
Dang et al. Sdn-based syn proxy—a solution to enhance performance of attack mitigation under tcp syn flood
CN104954367B (zh) 一种互联网全向跨域DDoS攻击防护方法
US7487541B2 (en) Flow-based method for tracking back single packets
Bohacek et al. Enhancing security via stochastic routing
Lu et al. A novel path‐based approach for single‐packet IP traceback
Chen et al. Isolation forest based interest flooding attack detection mechanism in ndn
Guo et al. LDBT: A lightweight DDoS attack tracing scheme based on blockchain
Kong et al. Random flow network modeling and simulations for DDoS attack mitigation
CN113810405A (zh) 一种基于sdn网络的路径跳变动态防御系统及方法
Nur et al. Single packet AS traceback against DoS attacks
Beitollahi et al. A cooperative mechanism to defense against distributed denial of service attacks
Thing et al. Enhanced ICMP traceback with cumulative path
Jones et al. IP traceback solutions based on time to live covert channel
CN106060045B (zh) 面向带宽消耗型攻击的过滤位置选择方法
Nowak et al. Cognitive routing for improvement of IoT security
CN109104437B (zh) 路由域、用于在路由域中处理ip报文的方法和装置
Kiremire et al. A prediction based approach to ip traceback
Feng et al. A Blockchain-enabled Multi-domain DDoS Collaborative Defense Mechanism.
AbrahamYaar StackPi: A New Defense Mechanism against IP Spoofing and DDoS Attacks
Kotenko et al. Packet level simulation of cooperative distributed defense against Internet attacks
Shyamaladevi et al. Analyze and Determine the IP Spoofing Attacks Using Stackpath Identification Marking and Filtering Mechanism
Murugesan et al. UDP based IP Traceback for Flooding DDoS Attack.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20191206

CF01 Termination of patent right due to non-payment of annual fee