CN109302427A - 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 - Google Patents

一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 Download PDF

Info

Publication number
CN109302427A
CN109302427A CN201811459308.7A CN201811459308A CN109302427A CN 109302427 A CN109302427 A CN 109302427A CN 201811459308 A CN201811459308 A CN 201811459308A CN 109302427 A CN109302427 A CN 109302427A
Authority
CN
China
Prior art keywords
attack
target
link
network
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811459308.7A
Other languages
English (en)
Other versions
CN109302427B (zh
Inventor
马小博
彭嘉豪
焦洪山
师马玮
安冰玉
李剑锋
赵延康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201811459308.7A priority Critical patent/CN109302427B/zh
Publication of CN109302427A publication Critical patent/CN109302427A/zh
Application granted granted Critical
Publication of CN109302427B publication Critical patent/CN109302427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开的一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施,找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的,弥补了目前对于考虑攻击精度的混合链路洪泛攻击的策略防御措施的空缺。

Description

一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法
技术领域
本发明涉及网络基础设施安全领域,具体为一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法。
背景技术
近年来频繁发生的网络基础设施攻击事件受到全世界的广泛关注,企业和个人也十分重视网络的安全性。分布式拒绝服务攻击(Distributed Denial of Service,DDoS)指攻击者控制大量在线设备向攻击目标发送大量正常或非正常的请求,由于目标主机的网络资源(如文件描述符、缓冲区等)有限,攻击者操纵的大量请求会耗尽资源,使得被攻击的主机无法为合法用户提供正常的服务。2015年网易旗下部分服务因骨干链路遭受攻击而不可用,这是最近发现的一类新型DDoS攻击,链路洪泛攻击(Link Flooding Attack,LFA),也可称为骨干链路DDoS攻击。传统的分布式拒绝服务攻击的直接目标是终端计算机服务,而链路泛洪攻击的攻击目标是构成互联网骨干网络的中间关键链路。在吸引学术界很长时间后,目前已有攻击者在实际网络中进行链路洪泛攻击,对大型地区性网络造成了严重的威胁。链路洪泛可能会出现攻击牵连的问题,从而限制了攻击的适用性。当攻击者的目的是通过攻击网络中的某个特定链路来切断某个特定网络的网络连接时,该网络周围网络的网络连接可能受到牵连(即攻击牵连)。由于攻击牵连的存在,链路洪泛攻击在攻击特定网络的同时会意外的牵连周围无辜网络的网络连接,因此链路洪泛攻击的攻击精度降低了。为了提高攻击精度,攻击者可能使用考虑攻击精度的骨干链路DDoS攻击策略。
目前的寻找链路洪泛攻击的目标链路集的方法主要针对传统攻击方式,没有考虑到攻击者可能采用的考虑攻击精度的方式。
发明内容
针对现有技术中存在的问题,本发明提供一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,能够准确找出的攻击者可能攻击的目标链路,进行有效的防御。
本发明是通过以下技术方案来实现:
一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源PlanetLab服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
步骤2:将攻击者可能攻击的目标链路集设置为空集,攻击者切断的通往目标网络的路由设置为空集,同时设置一个攻击者切断的通往目标网络路由数量的目标值以及攻击者选择目标链路数量的预选上限值Φ;
其中,为可能攻击的目标网络,为攻击者可能误伤的网络,为源服务器到的路由,为源服务器到的路由,中出现过的链路集;
步骤3:对于traceroute数据中的每一条链路l,计算攻击每一条链路l切断的通往目标网络的路由数
步骤4:计算攻击每一条链路l和目标链路集切断的通往目标网络的路由数与攻击每一条链路l和目标链路集切断的通往无辜网络的路由数的差值Δ1,公式如下;
计算攻击目标链路集切断的通往目标网络的路由数与攻击切断的通往无辜网络的路由数的差值Δ2,公式如下;
计算差值Δ1与差值Δ2之间的差值公式如下;
找出具有最大的链路l1,将链路l1插入到目标链路集将攻击链路l1切断的通往目标网络的路由加入到
步骤5:对差集中的每一条链路l,计算攻击l切断的通往目标网络的路由数;
步骤6:重复步骤4和步骤5,直至攻击切断的通往目标网络的路由数大于或等于目标值或攻击者选择目标链路数量大于或等于预选上限Φ,得到的目标链路集即为攻击者要攻击的目标链路集。
可选的,还包括以下步骤;
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠。
与现有技术相比,本发明具有以下有益的技术效果:
该定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施,找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的。
附图说明
图1为本发明定位攻击目标链路的方法的原理图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,所述是对本发明的解释而不是限定。
一种寻找考虑攻击精度的混合链路洪泛攻击策略的防御措施,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
步骤2:将攻击者可能攻击的目标网络设为将攻击者可能误伤的网络设为将从源服务器到的路由设置为将从源服务器到的路由设置为中出现过的链路集设置为将攻击者可能攻击的目标链路集设置为空集,攻击者切断的通往目标网络的路由设置为空集,同时设置一个攻击者切断的通往目标网络路由数量的目标值以及攻击者选择目标链路数量的预选上限值Φ;
步骤3:对于traceroute数据中的每一条链路l,计算攻击每一条链路l切断的通往目标网络的路由数;
例如,对于traceroute数据中的每一条链路l,如'(130.206.245.94)','(83.97.88.129)','(62.40.98.73)','(62.40.98.152)'中的链路['(130.206.245.94)','(83.97.88.129)']、链路['(83.97.88.129)','(62.40.98.73)']和链路['(62.40.98.73)','(62.40.98.152)'],计算攻击l切断的通往目标网络的路由数,如链路['(62.40.98.73)','(62.40.98.152)']出现在5条traceroute路由数据中,则攻击链路['(62.40.98.73)','(62.40.98.152)']切断的通往目标网络的路由数为5。
步骤4:计算攻击每一条链路l和目标链路集切断的通往目标网络的路由数与攻击每一条链路l和目标链路集切断的通往无辜网络的路由数的差值Δ1
计算攻击目标链路集切断的通往目标网络的路由数与攻击切断的通往无辜网络的路由数的差值Δ2,公式如下;
根据以上两个路由数的差值计算公式如下;
找出具有最大的链路l1,将链路l1插入到目标链路集将攻击链路l1切断的通往目标网络的路由加入到
步骤5:对网络路由数据中所有链路组成的集合与目标链路集的差集,计算攻击差集中的每一条链路l切断的通往目标网络的路由数;
步骤6:重复步骤4和步骤5,直至攻击切断的通往目标网络的路由数大于或等于目标值或攻击者选择目标链路数量大于或等于预选上限Φ,得到的目标链路集即为攻击者要攻击的目标链路集。
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠,以及提高链路重要性分配到不同网络的熵。
本发明提出的一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,弥补了目前对于考虑攻击精度的骨干链路DDoS攻击的防御措施的空缺,考虑攻击精度的骨干链路DDoS攻击策略阻止攻击流量流向那些造成更严重的攻击牵连的链路,而选择将攻击流量导向到攻击牵连更小而攻击精度更高的链路。
模拟测试及结果
如图1所示,攻击者部署的僵尸主机协调发出巨大的网络流量,到目标受害网络中的公共服务器(或掩体服务器、僵尸主机)。掩体服务器是指目标网络外提供开放服务的公共服务器(如HTTP、FTP服务器)。攻击者协调发出的巨大的攻击流量将极大的聚集在目标链路。这些大量攻击流量是低频、看起来很像合法流量同时可以欺骗网络协议的。在造成大量的网络瘫痪之前,通常攻击流量是很难被识别的。洪泛目标链路也将导致无辜受害网络的网络连接受到影响,这是因为无辜受害网络内的主机与无辜网络外部的主机的数据连通同样会经过攻击者选出的目标链路。考虑攻击精度的骨干链路DDoS攻击策略即考虑到攻击对无辜受害网络的影响,调整攻击策略实现精准打击,将对无辜网络的网络连接的影响降低,而对目标受害网络的攻击效果不变。精准防御考虑攻击精度的骨干链路DDoS攻击有一定的难度。
本申请模拟了攻击者采用考虑攻击精度的攻击策略,从分布在全球的81个源服务器模拟攻击957台位于新加坡的主机。如果攻击者采用考虑攻击精度的攻击策略试图切断50%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有47.59%的攻击路由能被防御者发现并防御。如果攻击者采用考虑攻击精度的攻击策略试图切断60%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有53.67%的攻击路由能被防御者发现并防御。如果攻击者采用考虑攻击精度的攻击策略试图切断70%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有61.39%的攻击路由能被防御者发现并防御。如防御者考虑到攻击者可能采用考虑攻击精度的攻击策略,那么理论上100%的攻击路由都能被防御者成功地发现。
链路洪泛攻击作为一种新型DDoS攻击,对大规模网络产生巨大的威胁。因链路洪泛攻击不直接攻击目标网络,而是通过攻击网络中的骨干链路来切断目标网络的网络连接,所以对链路洪泛攻击的防御难度较大。同时攻击者可能改良传统的链路洪泛攻击方法,来增加链路洪泛攻击的精度,减少对其他区域的误伤,实现精准打击。针对考虑攻击精度的链路洪泛攻击,需针对这种攻击策略的特点部署具有针对性的防御策略。如果只是使用防御传统链路洪泛攻击的策略,无法有效防御攻击者可能使用的新型考虑攻击精度的攻击方法,无法防御链路洪泛攻击,攻击者可能对目标网络产生长期的影响,同时因为其他网络的所受影响较小,可能使防御者混淆攻击者采用的攻击方式,从而可能采取错误的防御方式。
本申请充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施。找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。

Claims (2)

1.一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,其特征在于,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源PlanetLab服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
步骤2:将攻击者可能攻击的目标链路集设置为空集,攻击者切断的通往目标网络的路由设置为空集,同时设置一个攻击者切断的通往目标网络路由数量的目标值以及攻击者选择目标链路数量的预选上限值Φ;
其中,为可能攻击的目标网络,为攻击者可能误伤的网络,为源服务器到的路由,为源服务器到的路由,中出现过的链路集;
步骤3:对于traceroute数据中的每一条链路l,计算攻击每一条链路l切断的通往目标网络的路由数
步骤4:计算攻击每一条链路l和目标链路集切断的通往目标网络的路由数与攻击每一条链路l和目标链路集切断的通往无辜网络的路由数的差值Δ1,公式如下;
计算攻击目标链路集切断的通往目标网络的路由数与攻击切断的通往无辜网络的路由数的差值Δ2,公式如下;
计算差值Δ1与差值Δ2之间的差值公式如下;
找出具有最大的链路l1,将链路l1插入到目标链路集将攻击链路l1切断的通往目标网络的路由加入到
步骤5:对差集中的每一条链路l,计算攻击l切断的通往目标网络的路由数;
步骤6:重复步骤4和步骤5,直至攻击切断的通往目标网络的路由数大于或等于目标值或攻击者选择目标链路数量大于或等于预选上限Φ,得到的目标链路集即为攻击者要攻击的目标链路集。
2.根据权利要求1所述定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,还包括以下步骤;
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠。
CN201811459308.7A 2018-11-30 2018-11-30 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 Active CN109302427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811459308.7A CN109302427B (zh) 2018-11-30 2018-11-30 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811459308.7A CN109302427B (zh) 2018-11-30 2018-11-30 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法

Publications (2)

Publication Number Publication Date
CN109302427A true CN109302427A (zh) 2019-02-01
CN109302427B CN109302427B (zh) 2020-06-19

Family

ID=65141976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811459308.7A Active CN109302427B (zh) 2018-11-30 2018-11-30 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法

Country Status (1)

Country Link
CN (1) CN109302427B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157446A (zh) * 2021-10-15 2022-03-08 西安交通大学 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262373A (zh) * 2008-04-18 2008-09-10 北京启明星辰信息技术股份有限公司 一种计算机网络入侵定位系统和方法
CN101447899A (zh) * 2008-11-14 2009-06-03 北京工业大学 无线Mesh网络中基于端到端的虫洞攻击检测方法
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测系统及检测方法
CN105007271A (zh) * 2015-07-17 2015-10-28 中国科学院信息工程研究所 一种DDoS攻击僵尸网络的识别方法及系统
CN105791275A (zh) * 2016-02-25 2016-07-20 上海交通大学 基于模运算的拒绝服务攻击返回追踪方法
CN108289104A (zh) * 2018-02-05 2018-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262373A (zh) * 2008-04-18 2008-09-10 北京启明星辰信息技术股份有限公司 一种计算机网络入侵定位系统和方法
CN101447899A (zh) * 2008-11-14 2009-06-03 北京工业大学 无线Mesh网络中基于端到端的虫洞攻击检测方法
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测系统及检测方法
CN105007271A (zh) * 2015-07-17 2015-10-28 中国科学院信息工程研究所 一种DDoS攻击僵尸网络的识别方法及系统
CN105791275A (zh) * 2016-02-25 2016-07-20 上海交通大学 基于模运算的拒绝服务攻击返回追踪方法
CN108289104A (zh) * 2018-02-05 2018-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王志刚: "" DDoS网络攻击的检测方法研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157446A (zh) * 2021-10-15 2022-03-08 西安交通大学 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
CN109302427B (zh) 2020-06-19

Similar Documents

Publication Publication Date Title
Ehrenkranz et al. On the state of IP spoofing defense
Peng et al. Adjusted probabilistic packet marking for IP traceback
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
Seo et al. APFS: adaptive probabilistic filter scheduling against distributed denial-of-service attacks
CN106060015B (zh) 一种基于sdn的ip源地址验证方法
Devi et al. Detection of application layer DDoS attacks using information theory based metrics
Mahimkar et al. Game-based analysis of denial-of-service prevention protocols
Seo et al. PFS: Probabilistic filter scheduling against distributed denial-of-service attacks
Devi et al. A hybrid approach to counter application layer DDoS attacks
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
CN109302427A (zh) 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法
Tanachaiwiwat et al. Differential packet filtering against DDoS flood attacks
Farhat Protecting TCP services from denial of service attacks
CN114157446B (zh) 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质
Chen et al. A novel DDoS attack defending framework with minimized bilateral damages
Subramanian et al. Two layer defending mechanism against ddos attacks.
Sachdeva et al. A comprehensive survey of distributed defense techniques against DDoS attacks
Wang et al. An IP-traceback-based packet filtering scheme for eliminating DDoS attacks
Fu et al. Club: a cluster based framework for mitigating distributed denial of service attacks
Malliga et al. Filtering spoofed traffic at source end for defending against DoS/DDoS attacks
Tajane et al. Effective detection and prevention of ddos in cloud computing environment
Selvi et al. Game theory based mitigation of Interest flooding in Named Data Network
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
Buvaneswari et al. Ihoneycol: a collaborative technique for mitigation of DDoS attack
Kuppusamy et al. An effective prevention of attacks using gI time frequency algorithm under dDoS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant