CN108429761B

CN108429761B - 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法

Info

Publication number: CN108429761B
Application number: CN201810316213.3A
Authority: CN
Inventors: 刘颖; 陈明虎; 张宏科; 支婷
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2018-04-10
Filing date: 2018-04-10
Publication date: 2020-06-16
Anticipated expiration: 2038-04-10
Also published as: CN108429761A

Abstract

本发明提供了一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法。该方法包括：当智慧协同网络中数据包传输情况符合连接迁移条件时，将网络组件与资源适配解析服务器之间的连接迁移到缓存服务器，缓存服务器再连接到资源适配解析服务器；缓存服务器接收并缓存网络组件发送给资源适配解析服务器的服务请求包，根据服务请求包的特征元组使用决策树算法来检测资源适配解析服务器是否受到了DDoS攻击；检测出DDoS攻击后，使用基于权重优先级队列的防御策略区分化转发服务请求包。本发明使用决策树检测算法结合多个特征属性建立二叉树分支，对全网服务请求信息进行特征提取，能够更加准确地判断攻击状态，及时采取防御措施来减轻DDoS攻击带来的影响。

Description

智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法。

背景技术

互联网自从过去几十年出现以来，对人类社会的发展产生了巨大的影响。然而，在互联网如此高速的发展下，传统互联网体系架构因为其静态和僵化的特征，逐渐暴露出可扩展性、移动性、安全性、可管可控、绿色节能等植根于原始设计思想的问题，导致其无法满足未来网络“高速”、“高效”、“智慧”、“节能”等通信需求。同时，传统互联网全分布式的架构特点，使得网络管理错综复杂，而这种复杂性也导致了网络的脆弱性，给传统网络带来了巨大的安全隐患，如前缀劫持攻击、IP欺骗攻击、DDoS攻击等。在这些攻击方式中，DDoS攻击的使用最为广泛，统计表明，近年来DDoS攻击的数量一直呈快速增长趋势。

根据美国计算机应急响应中心的报告，到目前为止，还没有很好的办法真正解决分布式拒绝服务DDoS攻击问题。DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看是合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络淹没，导致合法用户无法正常访问服务器的网络资源，并且可能对受害者造成巨大损失。虽然软件定义网络(SDN,Software-DefinedNetworking)、命名数据网络(NDN,Named Data Networking)和智慧协同网络(SINET,SmartIdentifer Network)等新型互联网架构在改善互联网安全问题方面取得了一些成果，但攻击者同时也在分析这些新型网络架构的特点，从而找到新的攻击方法。

智慧协同网络于2013年被提出。智慧协同网络创新地提出了以“三层”、“两域”为典型特征的体系结构模型，并建立了智慧服务层、资源适配层和网络组件层的基本理论，实现了服务的“资源与位置”分离、网络的“身份与位置”及数据的“控制与转发”分离。智慧协同网络的“三层、两域”总体系架构模型如图1所示。“三层”即：智慧服务层、资源适配层和网络组件层。“智慧服务层”主要负责服务的标识和描述，以及服务的智慧查找与动态匹配等；“资源适配层”通过感知服务需求与网络状态，动态地适配网络资源并构建网络族群，以充分满足服务需求进而提升用户体验，并提高网络资源利用率；“网络组件层”主要负责数据的存储与传输，以及网络组件的行为感知与聚类等。“两域”指实体域和行为域。实体域使用服务标识SID(Service ID)来标记一次智慧服务，实现服务的“资源和位置分离”；使用族群标识FID(Family ID)来标记一个族群功能模块，使用组件标识NID(Node ID)来标记一个网络组件设备，实现网络的“控制和数据分离”及“身份与位置分离”；行为域使用服务行为描述SBD(Service BehaviorDescription)、族群行为描述FBD(Family BehaviorDescription)和组件行为描述NBD(Node Behavior Description)来分别描述实体域中服务标识、族群标识和组件标识的行为特征。

在智慧协同网络中，资源适配解析服务器是网络族群资源模块间智慧协同工作的关键，它为未来互联网提供了一定的智慧特性。资源适配解析服务器是智慧协同网络的核心组件，起到了中心控制器的作用。通过控制信息交互及时感知网络状态，也为族群聚类提供了依据。资源适配解析服务器完成了资源的动态适配和智慧决策，为每个网络服务提供最优的转发路径，大大提高了网络的资源利用率，降低了时延，同时提升了用户体验。

图2为智慧协同网络中的网络组件协同工作机理示意图，具体包括：首先，客户端A发起了服务请求，并将服务请求包发送到相邻的NSR1。NSR1收到服务请求包后，解析服务请求包包头，并将服务请求包包头与本地保存的转发表项进行匹配。由于NSR1第一次收到服务请求包，本地转发表项并没有匹配规则，因此NSR1向资源适配服务系统发送服务请求消息，询问针对此类服务的转发规则。资源适配服务系统通过感知到的网络拓扑状态信息以及组件资源信息，为该服务选择最优的组件资源集合，最终，客户端A接收到了服务应答与相应的服务资源。

在智慧协同网络中，网络组件收到未知流量，需要向资源适配解析服务器发出服务请求包，请求资源适配解析服务器下发对于未知流量的处理策略。资源适配解析服务器收到服务请求包后，触发相应事件，并将服务请求包交由对相应事件添加了监听的模块来处理，然后下发处理策略，完成对未知流量的资源适配。从上述智慧协同网中未知流量的处理流程可以总结出针对资源适配解析服务器的DDoS攻击形式。图3为现有技术中的一种针对智慧协同网络中的资源适配解析服务器的DDoS攻击形式示意图，攻击者会首先获得网络中的部分傀儡主机的控制权，然后运用这些傀儡主机制造恶意的伪造流量。之所以称这些流量为伪造流量，是因为这些流量的源和目的可能都不是有效的网络主机，它们产生和传播的目的只是为了触发网络组件的服务请求包，从而对资源适配解析服务器产生大量无效请求。这些无效的请求大量地消耗资源适配解析服务器的各项资源，比如CPU资源、存储资源、描述符等。当这些无效请求到达一定的数量后，资源适配解析服务器可能无法为正常的请求进行服务，即造成了针对资源适配解析服务器的DDoS攻击。

现有技术中的第一种智慧协同网络中资源适配解析服务器DDoS攻击检测方法为：基于流量特征的检测方法。在统计学方法中，流量自学习模型能较好地检测出攻击。流量自学习模型比较灵活，用户可以自定义流量学习周期，通过周期的统计和观测，系统可以获得某个流的具体特征，多个周期结合可以分析流量的具体分布，生成具有明显特征的流量模型。其中统计的参数也可以自定义，如源IP速率、特定IP地址的流量统计、协议种类、带宽占用情况、端口变化情况等。最终生成用户的流量对比基准线，作为异常流量的判断标准。

在DDoS攻击的过程中，产生了大量未知流量，通过对这些未知流量特征的统计、监测和对比，如果发现流量特征不符合特征基线，即认为发生了DDoS攻击。Beitollahi和Deconinck通过统计连续时间内具有相同IP地址和端口号的数据包，计算出平均包速率作为参考基线，以此来作为异常流量的检测标准。

上述现有技术中的第一种智慧协同网络中资源适配解析服务器DDoS攻击检测方法的缺点为：通过简单的流量特征模型很难应对不同的攻击方式，流量特征基线随着攻击方式的不同，也很难确定一个合适的值。单一的流量特征检测，很难检测多种攻击，同时，也容易发生误判。

现有技术中的第二种智慧协同网络中资源适配解析服务器DDoS攻击防御方法为：基于虚拟源地址边缘验证的IP欺骗DDoS防御方法。该方法包括：通过控制器对源地址的验证，过滤掉攻击流。作者通过分析SDN流量的容量和动态更新流表的能力，预防了IP欺骗。当一个数据包到达交换机时，查看是否有匹配的流规则，如果没有，则将数据包转发至控制器进行源地址验证，被检测出是IP欺骗后，控制器将下发一条流规则过滤相同源地址的数据包。

上述现有技术中的第二种智慧协同网络中资源适配解析服务器DDoS攻击防御方法的缺点为：该方法利用控制器进行源地址验证，再下发相应流规则对数据包进行过滤，增大了开销，同时也造成了一定的时延。当控制器遭受攻击时，此方案将不能有效实施。

发明内容

本发明的实施例提供了一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法，以实现有效地检测出并防御针对资源适配解析服务器的DDoS攻击。

为了实现上述目的，本发明采取了如下技术方案。

一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法，在智慧协同网络中设置缓存服务器，包括：

当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时，将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器，同时所述缓存服务器再连接到所述资源适配解析服务器；

所述缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包，根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击；

所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，使用基于权重优先级队列的防御策略区分化转发所述服务请求包。

进一步地，所述的当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时，将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器，同时所述缓存服务器再连接到所述资源适配解析服务器，包括：

所述连接迁移条件包括：资源适配解析服务器的负载过重，接收服务请求包的速率高于预先设置的速率阈值；和/或，网络组件转发表空间不足，转发表占用空间高于预先设置的空间阈值，当所述连接迁移条件满足时将触发连接迁移操作，由智慧协同网络中的控制模块下发连接迁移命令到网络组件，网络组件断开其与资源适配解析服务器之间的连接、建立其与缓存服务器之间的连接，同时缓存服务器再连接到资源适配解析服务器。

进一步地，所述的缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包，包括：

所述缓存服务器在不进行服务请求包的DDoS攻击防御时，采用单队列模式，将接收到的所述网络组件发送过来的服务请求包进行缓存，不对缓存的服务请求包进行DDoS攻击检测和防御处理，转发缓存的服务请求包至资源适配解析服务器，并限制服务请求包的转发速率；

当未检测出DDoS攻击时，由智慧控制模块下发连接回迁命令到网络组件，网络组件断开其与缓存服务器之间的连接、建立其与资源适配解析服务器之间的连接，网络组件直接向资源适配解析服务器发送服务请求包，同时，缓存服务器继续将缓存的服务请求包发往资源适配解析服务器，直至缓存为空。

进一步地，所述的根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击，包括：

提取所述缓存服务器缓存的服务请求包的特征元组，该特征元组包括流包中位数、源端口增速、源ID增速、转发表项增速和对流比五项在一定时间内的统计结果；

将服务请求包的特征属性作为决策树的分裂属性，根据已知数据集统计的所述特征五元组的值及攻击状态组成训练数据集，利用所述训练数据集使用CART决策树算法训练决策树，生成二叉判决树并剪枝，将获取的特征五元组取值输入到训练好的决策树进行判决，根据判决结果确定所述资源适配解析服务器是否遭受DDoS攻击。

进一步地，所述的缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，使用基于权重优先级队列的防御策略区分化转发所述服务请求包，包括：

所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，向资源适配解析服务器获取源ID信任度表，该源ID信任度表中包括每个用户对应的信任度值，信任度值越大，表明该用户是攻击者的可能性越小，根据服务请求包的源ID对应的信任度值将服务请求包分配到相应的优先级队列中；

所述缓存服务器计算出每个优先级队列对应的服务请求包调度权重值，将每个优先级队列中服务请求包调度权重值对应的服务请求包数在一个轮询周期内转发到资源适配解析服务器。

进一步地，所述的根据服务请求包的源ID对应的信任度值将服务请求包分配到相应的优先级队列中，包括：

设建立了Q_num个优先队列，那么信任度值为V的用户的服务请求包将分配到编号为q的优先级队列，其计算方式如下：

其中，V_max、V_min分别表示源ID信任度表中最大和最小的信任度值。

进一步地，每个优先级队列对应的服务请求包调度权重值w_i的计算公式为：

其中，

表示分配到优先级队列i中的所有源ID信任度的平均值；Q_num是优先级队列个数；u表示资源适配解析服务器能够处理服务请求包的最大速率。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例提出了基于决策树的检测算法，可以结合多个特征属性建立二叉树分支，能够更加准确地判断攻击状态，及时地采取相应的防御措施来减轻DDoS攻击带来的影响。本发明实施例利用资源适配解析服务器的集中管控的能力，能够对全网服务请求信息进行特征提取，更好地分析网络中的流量情况，检测出针对资源适配解析服务器的DDoS攻击。同时，在检测出针对资源适配解析服务器的DDoS攻击后，能够及时采取防御措施，对资源适配解析服务器及整个网络起到一定的防护作用。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中的一种智慧协同网络的“三层、两域”总体系架构模型示意图；

图2为现有技术中的一种智慧协同网络中的网络组件协同工作机理示意图；

图3为现有技术中的一种针对智慧协同网络中的资源适配解析服务器的DDoS攻击形式示意图。

图4为本发明实施例提供的一种智慧协同网络中资源适配解析服务器DDoS攻击防御方法的处理流程图；

图5为本发明实施例提供的一种缓存服务器的防御过程示意图。

图6为本发明实施例提供的一种智慧协同网络中的资源适配解析服务器进行DDoS攻击检测防御的实例示意图；

图7为本发明实施例提供的一种基于服务请求包的特征五元组检测资源适配解析服务器是否遭受了DDoS攻击的实现原理示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例在智慧协同网络中提供了一种针对资源适配解析服务器DDoS攻击的检测与防御方法，通过使用决策树算法对攻击情况进行检测，并启用权重优先级队列对攻击进行响应以减轻攻击带来的影响，为智慧协同网络提供安全保障，提高了智慧协同网络的安全性与可靠性。

为了防御智慧协同网络中的资源适配解析服务器面临的DDoS攻击，本发明实施例提出了连接迁移、基于决策树检测和权重优先级队列防御的方案。

本发明实施例提供的一种智慧协同网络中资源适配解析服务器DDoS攻击防御方法的处理流程如图4所示，包括如下的处理步骤：

步骤S410、在智慧协同网络中设置缓存服务器。

为了集中收集服务请求包，并将服务请求包转发给资源适配解析服务器，缓存服务器应当设置在靠近资源适配解析服务器侧。在实际网络运营中，根据网络规模、业务量、所涉及的网络设备性能等灵活地配置缓存服务器以及资源适配解析服务器的数量。一般在一个局域网络或校园网络中，可配备一台资源适配解析服务器和一台缓存服务器。

缓存服务器端的工作分为了三个阶段：

第一阶段是资源适配解析服务器保护阶段，应用连接迁移方法，将缓存服务器作为代理，缓存并转发服务请求包，并对服务请求包的转发速率进行限制；

第二阶段是流量特征的收集和检测，对DDoS攻击作出判断；

第三阶段是攻击防御，区分化地转发服务请求包，提高对合法用户的服务率。这些功能原本都可以在网络组件或资源适配解析服务器端完成，但通过资源的整合，缓存服务器能够更好的发挥代理中间件的优势，减轻资源适配解析服务器的负担。

步骤S420、当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时，将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器，同时所述缓存服务器再连接到所述资源适配解析服务器。

考虑资源适配解析服务器的资源限制，本发明实施例提出了缓存服务器代理的机制，将网络组件和资源适配解析服务器的一些功能集中到缓存服务器，由缓存服务器统一完成。

当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时，将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器，同时所述缓存服务器再连接到所述资源适配解析服务器。

上述连接迁移条件可以为：当资源适配解析服务器的负载过重，接收服务请求包的速率高于预先设置的速率阈值；和/或，网络组件转发表空间不足，转发表空间占用高于预先设置的空间阈值。当上述连接迁移条件满足时将触发连接迁移操作，由智慧协同网络中的控制模块下发连接迁移命令到网络组件，网络组件断开其与资源适配解析服务器之间的连接、建立其与缓存服务器之间的连接，同时缓存服务器再连接到资源适配解析服务器。简而言之，缓存服务器就是网络组件与资源适配解析服务器间的代理，完全不影响它们之间的信息交互。缓存服务器顾名思义需要缓存网络组件发往资源适配解析服务器的服务请求包，然后再进行转发。在防御策略执行前，并不对服务请求包进行处理，只是简单地在转发服务请求包至资源适配解析服务器时限制转发速率，该情况下并不能解决突发流量或者攻击带来的影响，只是保证了资源适配解析服务器能够正常工作。连接迁移为攻击的检测提供了便利条件，缓存服务器集中收集了来自不同网络组件的服务请求包，能够轻易地获取到全网流量特征。

当缓存服务器未检测出资源适配解析服务器受到了DDoS攻击时，需要将连接迁移回网络组件与资源适配解析服务器连接的状态。迁移的指标可以依据缓存服务器的缓存状况，当缓存服务器缓存的服务请求包数量低于某阈值时，由缓存服务器通告给资源适配解析服务器，由智慧控制模块下发连接回迁命令到网络组件，网络组件将其与缓存服务器之间的连接回迁到资源适配解析服务器，网络组件断开其与缓存服务器之间的连接、建立其与资源适配解析服务器之间的连接。然后，网络组件直接向资源适配解析服务器发送服务请求包。同时，缓存服务器继续将缓存服务请求包发往资源适配解析服务器，直至缓存为空。

步骤S430、缓存服务器接收并缓存网络组件发送给所述资源适配解析服务器的服务请求包，根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击。

CART(Classification And Regression Tree，二分决策树)算法，通过基尼系数将样本集划分为两个子集，并采用递归的方式生成简洁的二叉树。在分类问题中，假设样本D有K个类别，样本点属于第k类的概率为p_k，则概率分布的基尼指数定义为：

设C_k为D中属于第k类的样本子集，则基尼指数为：

设属性A将样本D划分为D₁和D₂两个样本子集，则通过属性A分类后的样本D的基尼指数为：

Gini(D,A)表示通过属性A划分后得到集合的不确定性，Gini(D,A)值越小，表示通过属性A分类的结果也越好。

CART算法实现步骤：

1)利用样本中每一个特征A，及A的每一个可能取值a，根据A≥a与A＜a将样本分为两部分，并计算Gini(D,A)值。

2)找出对应基尼指数最小Gini(D,A)的最优切分特征及取值，并判断是否满足对应样本数量的切分停止条件，满足则根据设定规则返回样本所属类别，否则返回最优切分点。

3)递归调用1)、2)生成CART决策树。

DDoS攻击者可以任意伪造报文，并且攻击方式是多样的，但是大多数攻击流量具有一定的规律性。因此，通过获取转发表项信息，可以分析单位时间内网络流量分布特性的变化，从而检测出攻击流。本发明通过收集流量的特征元组，并将特征元组作为决策树的分裂属性，能够准确的识别DDoS攻击流量。上述特征元组包括流包中位数、源端口增速、源ID增速、转发表项增速和对流比五项在一定时间内的统计结果；本发明中提到的源ID、目的ID和ID信任度表中的ID是对用户的一种标识，类似于现有网络中的IP地址。

同时，决策树的构建生成主要依赖于训练样本，因此决策树存在对所选样本集的过度适应问题。训练集中的数据如果通过该决策树分类，准确率可以达到100％，也就是决策树在分类其他新数据时，反而会产生较大误差。因此仅通过训练集生成决策树还远远不够，必须通过适当的剪枝来降低泛化误差。剪枝操作使得决策树规模变小，一定程度上提高准确率。本发明使用代价复杂度剪枝(Cost-Complexity Pruning,CCP)方式，完成生成CART树的剪枝。

图7为本发明实施例提供的一种基于服务请求包的特征五元组检测资源适配解析服务器是否遭受了DDoS攻击的实现原理示意图。本发明选取了服务请求包的特征五元组作为检测属性，缓存服务器通过统计计算一定时间内特征五元组流包中位数、源端口增速、源ID增速、转发表项增速和对流比的取值，输入到训练好的决策树中进行判定；具体过程包括：首先，将服务请求包的特征属性作为决策树的分裂属性，根据已知数据集统计的上述特征五元组的值及攻击状态组成训练数据集，利用上述训练数据集使用CART决策树算法训练训练决策树，生成二叉判决树并剪枝；其次，在缓存服务器端统计计算得出特征五元组取值；最后，将获取的特征五元组取值输入到训练好的决策树进行判决，根据判决结果确定所述资源适配解析服务器是否遭受DDoS攻击。

检测所涉及的模块，其中流量特征收集子模块在缓存模块中，通过统计经过缓存模块的请求包包头信息，计算出所需流量特征，并将特征元组发送到检测模块的特征分类子模块进行攻击判定。特征分类子模块中的决策树模型由决策树训练子模块训练生成。特征分类子模块对特征元组分类后将结果发送给防御模块的结果分析子模块。

步骤S440、缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，使用基于权重优先级队列的防御策略区分化转发所述服务请求包。

防御过程将在检测出攻击后触发，防御采用权重优先级队列的方式。资源适配解析服务器在接收到服务请求包后，将服务请求包依据每个源ID的信任度值缓存到不同优先级队列中，再通过权重值的计算得出调度每个队列的服务请求包数目。

图5给出了缓存服务器的防御过程示意图，具体处理过程包括：防御开始时，首先向资源适配解析服务器获取源ID信任度表，该源ID信任度表中包括每个用户对应的信任度值。然后队列管理子模块负责接收到服务请求包的分类，与服务请求包缓存子模块协作，将不同源ID的服务请求包分配到相应的优先级队列中，队列满时，将按照设计的规则丢弃掉部分服务请求包。最后通过调度管理子模块计算每个优先级队列对应的服务请求包调度权重值，由服务请求包调度子模块将每个优先级队列中服务请求包调度权重值对应的服务请求包数转发到资源适配解析服务器。

服务请求包分配到优先级队列的依据是源ID信任度表，本发明采用对信任度值归一化的方式，将不同信任度的源ID服务请求包分配到相应的优先级队列中。假设建立了Q_num个优先队列，那么信任度值为V的用户的服务请求包将分配到编号为q的优先级队列，计算方式如下：

队列调度规则依赖于优先级队列所获得的权重，本发明实施例所设计的权重计算方式区别于传统权重优先级队列的计算方法，在队列调度中，充分考虑了信任度值对优先级队列的影响，也考虑到资源适配解析服务器的处理能力。每个优先级队列对应的服务请求包调度权重值w_i的计算公式为：

其中，

表示分配到优先级队列i中的所有源ID信任度的平均值；Q_num是优先级队列个数；u表示资源适配解析服务器能够处理服务请求包的最大速率，服务请求包调度权重值w_i对应获得调度权时转发服务请求包的数目。

实施例二

该实施例提供的一种智慧协同网络中的资源适配解析服务器进行DDoS攻击检测防御的实例示意图如图6所示，合法用户为服务请求者，正常发起服务请求，攻击者A、B、C分别伪造大量未知流量发起对资源适配解析服务器的DDoS攻击。本发明在资源适配解析服务器的DDoS防御上，总共分为三个阶段。第一阶段是资源适配解析服务器保护阶段，应用连接迁移方法，将缓存服务器作为代理，缓存并转发请求包，并对转发速率进行限制；第二阶段是流量特征收集和检测，对DDoS攻击作出判断；第三阶段是攻击防御，区分化的转发请求包，提高对合法用户的服务率。这些功能原本都可以在网络组件或资源适配解析服务器端完成，但通过整合资源，缓存服务器能够更好的发挥代理中间件的优势。下面对缓存服务器的不同阶段进行了详细说明。

第一阶段是资源适配解析服务器保护阶段。当资源适配解析服务器负载过重或是网络组件转发表空间不足时，即资源适配解析服务器接收请求包的速率或是一定数量网络组件转发表空间达到预先设置的阈值时，将触发连接迁移，将现有网络组件与资源适配解析服务器之间的连接，迁移到网络组件与缓存服务器的连接，同时缓存服务器再连接到资源适配解析服务器。简而言之，缓存服务器就是网络组件与资源适配解析服务器间的代理，完全不影响它们之间的信息交互。缓存服务器需要缓存网络组件发往资源适配解析服务器的请求包，然后再进行转发。在防御策略执行前，并不对请求包进行处理，只是简单的在转发请求包至资源适配解析服务器时限制转发速率，该情况下并不能解决突发流量或者攻击带来的影响，只是保证了资源适配解析服务器能够正常工作。连接迁移为攻击的检测提供了便利条件，缓存服务器集中收集了来自不同网络组件的请求包，能够轻易的获取到全网流量特征，而在正常网络环境下，一般不需要检测。此时，需要将连接迁移回网络组件与资源适配解析服务器连接的状态。迁移的指标依据缓存服务器的缓存状况，当缓存的请求包数量低于某阈值时，由缓存服务器通告给资源适配解析服务器，由智慧控制模块下发迁移命令到网络组件，最后也由网络组件完成连接迁移。同时，缓存服务器继续将缓存请求包发往资源适配解析服务器，直至缓存为空。

第二阶段是攻击检测阶段。攻击检测包含了流量特征收集和攻击状态判定，网络组件将连接集中迁移到缓存服务器，当一个连接的请求包到达缓存服务器时，缓存服务器通过分析请求包的头部信息，可以记录请求包的网络信息配置，如源ID、目的ID、源端口、目的端口和协议类型等。通过周期性的统计，检测模块就可以计算出所需的流量特征，用于攻击的检测。攻击检测模块的执行发生在连接迁移后，与传统持续检测的方式有所不同。传统检测方式需要一直消耗资源适配解析服务器的大量处理资源，但实时性较好；而本发明提出的触发检测方式将检测任务从资源适配解析服务器转移到了缓存服务器，只在前期消耗资源适配服务较少的资源分析连接迁移条件。当连接迁移后，在缓存服务器端检测才开始，其实时性相比在资源服务器端有所降低。但低时延的连接迁移，使得该机制能对攻击及时采取应对策略，保护资源适配解析服务器安全。

第三阶段是攻击防御阶段。攻击防御借助了资源适配解析服务器端生成和维护的源ID信任度表，对不同源ID的请求包区分化的处理，保障合法用户的请求包优先得到服务。缓存服务器在攻击状态确定后，需要采用多优先级队列模式缓存不同源ID的请求包，其依据是源ID信任度表。通过源ID信任度表，缓存服务器对接收的请求包分类缓存，并按照一定的调度算法，转发请求包。通过源ID信任度表的方式，将可疑的攻击请求包在缓存服务器端过滤，有效地防御了针对资源适配解析服务器的DDoS攻击。

综上所述，本发明实施例针对单个特征属性对攻击的判断显得比较单薄，也容易出现误判。并且单个属性对攻击的识别能力也有限，不能对多种攻击进行有效的检测的问题。本发明实施例提出了基于决策树的检测算法，可以结合多个特征属性建立二叉树分支，能够更加准确的判断攻击状态，及时地采取相应的防御措施来减轻攻击带来的影响。

传统的检测对流量特征的收集能力有限，且局限于部分转发设备。智慧协同网络中，资源适配解析服务器通过其集中管控的能力，能够对全网服务请求信息进行特征提取，更好地分析网络中的流量情况，检测出针对资源适配解析服务器的DDoS攻击。同时，在检测出针对资源适配解析服务器的DDoS攻击后，能够及时采取防御措施，对资源适配解析服务器及整个网络起到一定的防护作用。

本发明中攻击检测防御方案部署在缓存服务器上，方便流量特征的收集和检测防御方法的实施。集中的部署提高了响应速度，能够快速降低攻击带来的影响。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法，其特征在于，在智慧协同网络中设置缓存服务器，包括：

所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，使用基于权重优先级队列的防御策略区分化转发所述服务请求包，具体包括：所述缓存服务器检测出所述资源适配解析服务器受到了DDoS攻击后，向资源适配解析服务器获取源ID信任度表，该源ID信任度表中包括每个用户对应的信任度值，信任度值越大，表明该用户是攻击者的可能性越小，根据服务请求包的源ID对应的信任度值将服务请求包分配到相应的优先级队列中；

2.根据权利要求1所述的方法，其特征在于，所述的当智慧协同网络中数据包传输情况符合预先设定的连接迁移条件时，将智慧协同网络中网络组件与资源适配解析服务器之间的连接迁移到所述缓存服务器，同时所述缓存服务器再连接到所述资源适配解析服务器，包括：

3.根据权利要求1所述的方法，其特征在于，所述的缓存服务器接收并缓存所述网络组件发送给所述资源适配解析服务器的服务请求包，包括：

4.根据权利要求1至3任一项所述的方法，其特征在于，所述的根据所述服务请求包的特征元组使用决策树算法来检测所述资源适配解析服务器是否受到了DDoS攻击，包括：

将服务请求包的特征属性作为决策树的分裂属性，根据已知数据集统计的所述特征元组的值及攻击状态组成训练数据集，利用所述训练数据集使用CART决策树算法训练决策树，生成二叉判决树并剪枝，将获取的特征五元组取值输入到训练好的决策树进行判决，根据判决结果确定所述资源适配解析服务器是否遭受DDoS攻击。

5.根据权利要求1所述的方法，其特征在于，所述的根据服务请求包的源ID对应的信任度值将服务请求包分配到相应的优先级队列中，包括：

6.根据权利要求1所述的方法，其特征在于，每个优先级队列对应的服务请求包调度权重值w_i的计算公式为：

其中，