CN111385235A - 一种基于动态变换的DDoS攻击防御系统和方法 - Google Patents

Abstract

本发明提出一种基于动态变换的DDoS攻击防御系统及方法，打破传统被动防御、静态防御的特征，其基本思想是：在正常流量下，采用少量的代理节点来传递用户与应用服务器之间的通信，满足正常通信需求并节约了资源；在遭受DDoS攻击时，启用大量动态的代理节点来传递用户与应用服务器之间的通信，不断地使用备用的代理节点替代受攻击的代理节点，把用户流量迁移到新的代理节点上并关闭受攻击的代理节点，从而迅速降低DDoS攻击的强度，实现以较小的带宽防御大流量攻击的目标。此外，代理节点的动态变化使得攻击者无法获得系统的内部网络拓扑结构，因而能有效阻断攻击者对系统的扫描探测。系统不增加用户负载，对用户透明，为用户提供持续稳定的服务。

Description

一种基于动态变换的DDoS攻击防御系统和方法

技术领域

本发明涉及网络安全领域，尤其涉及一种基于动态变换的DDoS攻击防御系统和方法。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击指借助于客户/服务器技术，通过控制多台主机作为攻击平台，向一台或多台受害主机发送大量数据包，使得受害主机的资源过度消耗而无法正常提供服务。随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布，DDoS攻击的实施越来越容易，DDoS攻击事件正在成上升趋势，并成为威胁网络安全的重要来源。出于商业竞争、打击报复和网络敲诈等多种因素，很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰。并且随着带宽增长，DDoS攻击的成本约来越低，但给用户和社会造成的损失却越来越大。

针对此种情况，人们提出了很多方法和技术来防御DDoS攻击。

申请号为CN201310384694.9的发明专利公开了一种智能防御DDoS攻击的方法和装置，该发明提供一种智能防御DDoS攻击的方法，包括下列步骤：1)基于IP信息记录各数据流的数据流量特征；所述数据流量特征包括：数据流的日平均流量字节数，日流量标准差，数据包平均字节数；2)对于每个数据流，根据数据流量特征，计算该数据流的可信度；3)实时捕获数据包，提取其IP信息，并根据该IP信息所对应的数据流的可信度判断是否放行该数据包。本发明开销小，效率高，但对DDoS攻击仍无法有效抵抗。

申请号为CN201510621808.6的发明专利公开了自动防御DNS解析请求DDoS攻击的方法及装置，其特征在于，包括：统计历史发送过查询请求的客户端数量；根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间，获取所述预设时间段的时长；获取当前实际发送查询请求的客户端所使用的查询时间段；根据所述查询时间段的时长调整所述预设时间段的时长，获取调整后的预设时间段。该发明能抵抗一定DDoS攻击，但也影响了正常流量的访问。

申请号为CN201511021292.8的发明专利公开了防御分布式拒绝服务攻击的方法、装置、客户端及设备，其特征在于，包括：截取客户端向服务器发送的业务报文；根据与所述客户端约定的规则，获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息：按照与客户端约定的哈希算法，对所述固有信息以及至少一个添加信息进行哈希处理，得到哈希结果；确定所述哈希结果与所述第一预设字段携带的信息不同时，丢弃所述业务报文。该发明能抵抗一定DDoS攻击，但也增加了用户的负载。

总的来说，上述防御技术在一定程度上能防御DDoS攻击，但存在以下问题：

1、大流量DDoS攻击防御性能差

目前采用的DDoS防御措施和方法大多是基于静态防御、被动防御，现有的防御手段基本都是带宽和资源的比拼，对于超预期的DDoS流量攻击无法取得良好的防御效果。攻击者不仅可以轻易地形成远超出服务器网络带宽的攻击流量，而且还可以选择千变万化的攻击方式，针对不同的网络服务采用不同的攻击方式。

2、慢速DDoS攻击防御效果差

某些DDoS攻击不希望应用服务器立刻觉察到攻击行为，而是希望在已经造成一定的攻击效果后才被发现或者始终不被发现，于是出现了一些低速的DDoS攻击，如脉冲式DDoS攻击。脉冲式DDoS攻击利用TCP拥塞控制机制的协议缺陷，通过造成瞬间的网络拥塞，使得TCP滑动窗口迅速减小。慢速DDoS攻击隐蔽性很强，现有的检测防御手段防御效果较差。

3、DDoS攻击防御成本高

由于目前采用的DDoS攻击防御措施和方法大多是需要大量的硬件和带宽投入，无论是用户自建DDoS攻击防御系统还是租用DDoS攻击防御服务，都将导致在正常流量下浪费了资源，提高了成本。

发明内容

本发明的目的在于克服上述已有技术的缺点，打破传统被动防御、静态防御的特征，提出一种基于动态变换的DDoS攻击防御系统和方法，其基本思想是：在正常流量下，采用少量的代理节点来传递用户与应用服务器之间的通信，一方面满足了正常通信需求，另一方面节约了资源，节省了成本；在异常流量下，采用大量隐藏的、动态的代理节点来传递用户与应用服务器之间的通信，不断地使用备用的代理节点替代受攻击的代理节点，把用户流量迁移到新的代理节点上，一方面实现了对流量的牵引，迅速地降低了DDoS攻击的攻击强度，另一方面使得外部攻击者无法获得系统的网络拓扑结构和其它代理节点的真实信息，无法进一步开展有效的攻击，同时隔离了内部攻击者，从而实现了有效防御DDoS攻击、提高网络安全的目标。该系统不仅防御性能好，防御成本低，而且不增加用户负载，对用户透明，为用户提供持续稳定的服务。

为实现上述发明目的，本发明所提供的技术方案是：

一种基于动态变换的DDoS攻击防御系统，包括：

代理节点检测单元，用于实时检测代理节点池中每一个代理节点的流量状态，把检测结果反馈给代理节点管理单元；

代理节点管理单元，负责管理代理节点池，并根据代理节点检测单元统计的检测结果判断是否有DDoS攻击发生，是否需要从代理节点池中启用新的节点或关闭受攻击的代理节点；

DNS配置单元，用于动态配置顶级DNS服务器，使受保护的应用服务器的域名对应的IP地址在启用的代理节点中不断变化，从而实现DNS动态引流，把用户流量分散到不同的代理节点上；

管理单元，给系统配置代理节点的数目、IP的范围、发生DDoS攻击时应用服务器域名对应的IP动态变换的时间周期、正常情况下应用服务器域名对应的IP动态变换的时间周期等。

进一步地根据上述基于动态变换的DDoS攻击防御系统，所述代理节点管理单元根据所述代理节点检测单元上报的信息进行DDoS攻击检测，如果代理节点的平均网络速率与系统总带宽的比值在管理单元配置的检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)，则认定为攻击情况，否则认定为正常情况：

(一)、在正常流量下，只有少部分代理节点时处于启用状态，可以满足用户与应用服务器之间的正常通信；

(二)、判定有DDoS攻击发生时，从代理节点池中启用新的代理节点，为其分配IP地址，同时把当前启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等信息)发送至所述DNS配置单元，同时产生日志信息发送至所述管理单元，其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的带宽、网络速率等信息；

(三)、判定DDoS攻击消失时，关闭无流量的代理节点，同时把当前还在启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等)发送至所述DNS配置单元)。

进一步地根据上述基于动态变换的DDoS攻击防御系统，所述DNS配置单元包括IP地址分配模块和DNS服务器配置模块，其中IP地址分配模块根据负载均衡调度算法周期性地选取当前网络流量负载较小的代理节点，为受保护的应用服务器的域名(或其CNAME记录)分配代理节点的IP地址，用户可通过代理节点与应用服务器进行通信，于此同时通知DNS服务器配置模块把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址。

进一步地根据上述基于动态变换的DDoS攻击防御系统，所述管理单元包括配置模块、审计模块和显示模块，其中配置模块用于系统配置并发送至代理节点管理单元，所述配置信息包括代理节点的数目、IP的范围、发生DDoS攻击时应用服务器域名对应的IP动态变换的时间周期、正常情况下应用服务器域名对应的IP动态变换的时间周期(如果正常情况下只启用一个代理节点，优选的可以把该周期设置为0，表示域名对应的IP地址不进行动态变换)、代理节点管理单元攻击检测时间窗口和攻击检测阈值等信息。其中审计模块主要负责日志记录和管理，提供丰富的攻击日志和报表统计功能，包括攻击前正常流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息，便于了解网络流量状况。其中显示模块实现对用户网络的实时流量、异常流量、DDoS攻击实时分析，动态呈现，通过丰富的报表多维度呈现，实现全网威胁可视化。

进一步地根据上述基于动态变换的DDoS攻击防御系统，针对CC(ChallengeCollapsar)攻击的防御，代理节点需要缓存应用服务器上的内容并定期同步，当用户的访问请求到达代理节点时，代理节点直接对用户进行响应，只有当代理节点上没有查询到用户请求的资源时，才把访问请求发送至应用服务器。

进一步地根据上述基于动态变换的DDoS攻击防御系统，针对CC(ChallengeCollapsar)攻击的防御，代理节点检测单元实时检测代理节点池中每一个启用的代理节点的系统资源利用率(优选的包括CPU利用率、内存利用率)，把每个代理节点的系统资源利用率实时地上报给代理节点管理单元。代理节点管理单元根据代理节点检测单元上报的信息进行DDoS攻击检测，如果代理节点的平均系统资源利用率在管理单元配置的检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率)，则认定为攻击情况，否则认定为正常情况：

(一)、在正常情况下，只有少部分代理节点时处于启用状态，可以满足用户与应用服务器之间的正常通信；

(二)、判定有CC攻击发生时，从代理节点池中启用新的代理节点，为其分配IP地址，同时把当前启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均系统资源利用率、当前是否有DDoS攻击发生等信息)发送至DNS配置单元，同时产生日志信息发送至管理单元，其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的系统资源利用率、网络速率等信息。

(三)、判定CC攻击消失时，关闭无流量的代理节点，同时把当前还在启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均系统资源利用率、当前是否有DDoS攻击发生等)发送至DNS配置单元。

一种基于动态变换的DDoS防御方法，包括以下步骤：

步骤(1)、为代理节点池中的代理节点动态分配IP地址；

步骤(2)、配置顶级DNS服务器上受保护的应用服务器域名(或其CNAME记录)对应的IP地址为代理节点的IP地址，使用户通过代理节点转发访问应用服务器；

步骤(3)、实时检测代理节点池中各代理节点的流量状态和资源利用情况，如果代理节点的平均网络速率与系统总带宽的比值在管理单元(14)配置的检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)或者代理节点的平均系统资源利用率在管理单元配置的检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率)，则认定为攻击情况，否则认定为正常情况：

(3-1)：在正常流量下，只有少部分代理节点处于启用状态，根据负载均衡调度算法从代理节点池中选择代理节点，满足用户与应用服务器之间的正常通信；

(3-2)：当遭受DDoS攻击，启用备用代理节点，根据负载均衡调度算法周期性地从代理节点池中选取备用代理节点，把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址，使DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址在动态启用的代理节点中动态变化，于此同时关闭受攻击的代理节点，保证用户与应用服务器之间的正常通信。

(3-3)当DDoS消失时，关闭无流量的代理节点，恢复正常流量下的工作模式。

本发明所述的基于动态变换的DDoS防御系统部署在互联网上，位于用户和防护的应用服务器之间。

本发明的有益效果：

1)、本发明打破传统DDoS防御的静态防御、被动防御特征，通过采用大量隐藏的、动态的代理节点来传递用户与应用服务器之间的通信，实现了对流量的牵引，迅速地降低了DDoS攻击的攻击强度，使得外部攻击者无法获得系统的网络拓扑结构和其它代理节点的真实信息，无法进一步进行有效攻击，同时隔离了内部攻击者，从而实现了有效防御DDoS攻击、提高网络安全的目标。

2)、在正常流量下和异常流量下采用不同的代理节点使用机制来提高资源的利用率，而且不增加用户负载，对用户透明。相对于传统的基于带宽和资源比拼的防御手段，本发明另辟蹊径，采用动态变换的思路，通过引入动态的代理节点，能在较小带宽的条件下防御大流量的DDoS攻击，有效降低了防御成本。

3)、攻击者只能攻击到代理节点而无法攻击到应用服务器，隐藏的、动态的代理节点有效地分散了攻击者的流量并且隔离了应用服务器，隐藏了应用服务器的真实网络地址信息。

4)、本发明能有效防御慢速DDoS攻击，系统通过检测代理节点的瞬时网络速率来判断是否有攻击发生，当某个代理节点由于遭受慢速DDoS攻击而产生网络拥塞时，系统启用备用的代理节点，把用户流量迁移到新的代理节点上，同时关闭受攻击的代理节点，从而有效防御了慢速DDoS攻击。

5)、经样机使用实践证明，本发明能有效防御DDoS攻击行为，且本发明所述方案实现在现有网络中容易布置、操作简单、安全可靠，具有显著的经济社会效益和广阔的市场推广应用前景。

附图说明

图1是本发明所述一种基于动态变换的DDoS防御系统总体结构框图；

图2是DNS配置单元(13)框图；

图3是管理单元(14)框图；

图中各附图标记的含义如下：

11-代理节点检测单元，12-代理节点管理单元，13-DNS配置单元，14-管理单元；

13-1-DNS配置单元的IP地址分配模块，13-2-DNS配置单元的DNS服务器配置模块；

14-1-管理单元的配置模块，14-2-管理单元的显示模块，14-3-管理单元的审计模块。

具体实施方式

以下结合附图对本发明的技术方案进行详细的描述，以使本领域技术人员能够更加清楚的理解本发明的方案，但并不因此限制本发明的保护范围。

随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，DDoS攻击会导致网站打开缓慢影响工作，造成了网站服务器资源被耗尽，严重的甚至会造成被迫关闭服务器，DDoS攻击严重的影响到企业的形象和效益。传统DDoS防御往往采取静态防御、被动防御，攻击者往往能进行有效攻击，因此针对DDoS攻击，可以采取主动防御、动态防御的思路，通过采用大量隐藏的、动态的代理节点来迅速地降低DDoS攻击的攻击强度。

首先说明本发明的技术创新原理。现有的互联网架构下用户一般通过域名访问应用服务器，本发明所述应用服务器包括但不限于WEB服务器、邮件服务器、FTP服务器等。为了方便叙述，假设应用服务器的域名为www.server.com，其对应的IP地址为1.1.1.1。用户访问应用服务器时，首先向DNS服务器发出域名解析的DNS请求，向DNS服务器查询www.server.com对应的IP地址，DNS服务器收到用户的DNS请求后，对用户进行响应，把www.server.com对应的IP地址1.1.1.1发送给用户，然后用户通过1.1.1.1发起对应用服务器的访问。

应用服务器接入本防御系统后，系统会把域名www.server.com所指定的顶级DNS服务器上www.server.com对应的IP地址修改成系统代理节点池中某个代理节点的IP地址，又或者系统可以给域名www.server.com设定一个CNAME记录(别名)，例如www.servercname.com，然后系统把CNAME记录www.servercname.com所指定的顶级DNS服务器上www.servercname.com对应的IP地址修改成系统代理节点池中某个代理节点的IP地址，这两种方法的本质效果是一样的，进行这样的设置后，用户向DNS服务器查询www.server.com对应的IP地址，会最终获得代理节点的IP地址，用户对应用服务器的访问请求会首先到达代理节点，然后由代理节点转发。类似的，当攻击者对应用服务器发起DDoS攻击时，首先解析应用服务器域名对应的IP地址，获得代理节点的IP地址，攻击者会误认为代理节点就是应用服务器，将以当前代理节点为攻击目标。DDoS攻击使得受攻击的代理节点瘫痪而无法正常工作，但此时系统检测到DDoS攻击，将启用若干新的代理节点，同时修改顶级DNS服务器上应用服务器域名www.server.com(或者其CNAME记录www.servercname.com)对应的IP地址，使该IP地址在新启用的代理节点中动态变化，同时给该IP地址设置一个很小的生存时间(Time To Live，TTL)。于此同时关闭受攻击的代理节点，这样用户正常的访问将被迁移到新的代理节点上，从而迅速降低了DDoS攻击的强度，以较小的带宽防御了大流量的DDoS攻击。

本发明所述的基于动态变换的DDoS防御系统部署在互联网上，如图1所示，用户通过代理节点池中的代理节点访问应用服务器。代理节点检测单元(11)实时检测代理节点池中每一个代理节点的流量状态。代理节点管理单元(12)负责管理代理节点池，并根据代理节点检测单元(11)统计的检测结果判断是否有DDoS攻击发生，是否需要从代理节点池中启用新的节点或关闭受攻击的代理节点：在正常流量下，代理节点管理单元(12)从代理节点池中选择少量代理节点，保证用户与应用服务器之间的正常通信；在异常流量下，如遭受DDoS攻击，代理节点管理单元(12)根据负载均衡调度算法从代理节点池中启用大量备用的代理节点，通过动态修改顶级DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址，不断地使用备用代理节点替换受攻击的代理节点，把用户流量迁移到新的代理节点上，同时关闭受攻击的代理节点，保证用户与应用服务器之间的正常通信。所述调度算法优选的可采用轮循算法和加权轮循算法，所述轮询算法是指新的连接被依次轮询分发到各个代理节点，所述加权轮循算法是指根据代理节点的不同带宽和当前的网络速率，给每个代理节点赋予不同的权重，使其能够接受相应权重数的用户服务请求。DNS配置单元(13)通过动态配置顶级DNS服务器，使受保护的应用服务器的域名对应的IP地址在启用的代理节点中不断变化，从而实现DNS动态引流，把用户流量分散到不同的代理节点上，当其中某个代理节点由于遭受DDoS攻击而瘫痪时，用户仍能通过其它代理节点正常访问应用服务器。管理单元(14)给系统配置代理节点的数目、IP的范围、发生DDoS攻击时应用服务器域名对应的IP动态变换的时间周期、正常情况下应用服务器域名对应的IP动态变换的时间周期(如果正常情况下只启用一个代理节点，优选的可以把该周期设置为0，表示域名对应的IP地址不进行动态变换)、代理节点管理单元(12)攻击检测时间窗口和攻击检测阈值等，同时存储、展示相关报警信息和日志信息。

通过采用大量隐藏的、动态的代理节点来传递用户与应用服务器之间的通信，实现了对流量的牵引，迅速地降低了DDoS攻击的攻击强度，同时使得外部攻击者无法获得系统的网络拓扑结构和其它代理节点的真实信息，无法进一步进行有效攻击，同时隔离了内部攻击者，从而实现了有效防御DDoS攻击、提高网络安全的目标。

下面结合附图具体描述本发明所述基于动态变换的DDoS防御系统的结构原理和工作过程，优选的包括如下实施方式。

第一优选实施方式

如图1所示，作为第一优选实施方式，本发明所述的基于动态变换的DDoS防御系统包括代理节点检测单元(11)、代理节点管理单元(12)、DNS配置单元(13)、管理单元(14)。其中所述代理节点检测单元(11)连接于代理节点管理单元(12)和代理节点池；所述代理节点检测单元(12)连接于DNS配置单元(13)、管理单元(14)和代理节点池；所述DNS配置单元(13)连接于DNS服务器；所述管理单元(14)连接于代理节点检测单元(11)、代理节点管理单元(12)、DNS配置单元(13)。

代理节点检测单元(11)实时检测代理节点池中每一个启用的代理节点的流量状态，把每个代理节点的网络速率实时地上报给代理节点管理单元(12)。

代理节点管理单元(12)根据代理节点检测单元(11)上报的信息进行DDoS攻击检测，如果代理节点的平均网络速率与系统总带宽的比值在管理单元(14)配置的攻击检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)，则认定为攻击情况，否则认定为正常情况：

(一)、在正常流量下，只有少部分代理节点时处于启用状态，可以满足用户与应用服务器之间的正常通信；

(二)、判定有DDoS攻击发生时，从代理节点池中启用新的代理节点，为其分配IP地址，同时把当前启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等信息)发送至DNS配置单元(13)，同时产生日志信息发送至管理单元(14)，其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的带宽、网络速率等信息。

(三)、判定DDoS攻击消失时，关闭无流量的代理节点，同时把当前还在启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等)发送至DNS配置单元(13)。

DNS配置单元(13)包括IP地址分配模块和DNS服务器配置模块，其中IP地址分配模块根据负载均衡调度算法周期性地选取当前网络流量负载较小的代理节点，为受保护的应用服务器的域名(或其CNAME记录)分配代理节点的IP地址，用户可通过代理节点与应用服务器进行通信，于此同时通知DNS服务器配置模块把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址。

管理单元(14)包括配置模块、审计模块和显示模块，其中配置模块用于系统配置并发送至代理节点管理单元(12)，所述配置信息包括代理节点的数目、IP的范围、发生DDoS攻击时应用服务器域名对应的IP动态变换的时间周期、正常情况下应用服务器域名对应的IP动态变换的时间周期(如果正常情况下只启用一个代理节点，优选的可以把该周期设置为0，表示域名对应的IP地址不进行动态变换)、代理节点管理单元(12)攻击检测时间窗口和攻击检测阈值等信息。其中审计模块主要负责日志记录和管理，提供丰富的攻击日志和报表统计功能，包括攻击前正常流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息，便于了解网络流量状况。其中显示模块实现对用户网络的实时流量、异常流量、DDoS攻击实时分析，动态呈现，通过丰富的报表多维度呈现，实现全网威胁可视化。

这样在布置本发明所述基于动态变换的DDoS防御系统的互联网上，在异常流量下，如遭受DDoS攻击情况下，通过采用大量隐藏的、动态的代理节点来传递用户与应用服务器之间的通信，实现了对流量的牵引，迅速地降低了DDoS攻击的攻击强度，使得外部攻击者无法获得系统的网络拓扑结构和其它代理节点的真实信息，无法进一步进行有效攻击，同时隔离了内部攻击者，从而实现了有效地防御DDoS攻击、提高了网络安全的目标。攻击者只能攻击到代理节点而无法攻击到应用服务器，隐藏的、动态的代理节点有效地分散了攻击者的流量并且隔离了应用服务器。

本发明进一步的提出基于上述DDoS防御系统的动态变换DDoS防御方法，包括以下步骤：

步骤(1)、为代理节点池中的代理节点动态分配IP地址；

步骤(2)、配置顶级DNS服务器上受保护的应用服务器域名(或其CNAME记录)对应的IP地址为代理节点的IP地址，使用户通过代理节点转发访问应用服务器；

步骤(3)、实时检测代理节点池中各代理节点的流量状态，如果代理节点的平均网络速率与系统总带宽的比值在管理单元(14)配置的攻击检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)，则认定为攻击情况，否则认定为正常情况：

(3-1)：在正常流量下，只有少部分代理节点处于启用状态，根据负载均衡调度算法从代理节点池中选择代理节点，满足用户与应用服务器之间的正常通信；

(3-2)：当遭受DDoS攻击，启用备用代理节点，根据负载均衡调度算法周期性地从代理节点池中选取备用代理节点，把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址，使DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址在动态启用的代理节点中动态变化，于此同时关闭受攻击的代理节点，保证用户与应用服务器之间的正常通信。

(3-3)当DDoS消失时，关闭无流量的代理节点，恢复正常流量下的工作模式。

第二优选实施方式

第一优选实施方式主要针对DDoS流量攻击进行防御，本实施方式主要针对DDoS中的CC(Challenge Collapsar)攻击进行防御。CC攻击是DDoS攻击中的一种，是指攻击者联合多台“肉鸡”向应用服务器发送大量需要消耗应用服务器较多系统资源的操作，如某些复杂的数据库查询等，导致服务器由于持续进行大量计算而系统资源耗尽，无法对外提供正常服务。与第一实施方式不同，在本实施方式中，代理节点需要缓存应用服务器上的内容并定期同步，这样用户的访问请求到达代理节点时，代理节点直接对用户进行响应，只有当代理节点上没有查询到用户请求的资源时，才把访问请求发送至应用服务器。

在本实施方式中，代理节点检测单元(11)实时检测代理节点池中每一个启用的代理节点的系统资源利用率(优选的包括CPU利用率、内存利用率)，把每个代理节点的系统资源利用率实时地上报给代理节点管理单元(12)。

代理节点管理单元(12)根据代理节点检测单元(11)上报的信息进行DDoS攻击检测，如果代理节点的平均系统资源利用率在管理单元(14)配置的攻击检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率)，则认定为攻击情况，否则认定为正常情况：

(一)、在正常情况下，只有少部分代理节点时处于启用状态，可以满足用户与应用服务器之间的正常通信；

(二)、判定有CC攻击发生时，从代理节点池中启用新的代理节点，为其分配IP地址，同时把当前启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均系统资源利用率、当前是否有DDoS攻击发生等信息)发送至DNS配置单元(13)，同时产生日志信息发送至管理单元(14)，其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的系统资源利用率、网络速率等信息。

(三)、判定CC攻击消失时，关闭无流量的代理节点，同时把当前还在启用的代理节点的信息(包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均系统资源利用率、当前是否有DDoS攻击发生等)发送至DNS配置单元(13)。

DNS配置单元(13)和管理单元(14)工作模式与第一优选实施方式相同。本发明进一步的依据本实施方式提出了基于动态变换DDoS攻击防御方法，包括以下步骤：

步骤(1)、为代理节点池中的代理节点动态分配IP地址，缓存应用服务器内容至代理节点上并定期同步；

步骤(2)、配置顶级DNS服务器上受保护的应用服务器域名(或其CNAME记录)对应的IP地址为代理节点的IP地址，使用户通过代理节点访问应用服务器；

步骤(3)、实时检测代理节点池中各代理节点的系统资源利用率(优选的包括CPU利用率和内存利用率)，如果代理节点的平均系统资源利用率在管理单元(14)配置的检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统平均系统资源利用率)，则认定为攻击情况，否则认定为正常情况：

(3-1)：在正常情况下，只有少部分代理节点处于启用状态，根据负载均衡调度算法从代理节点池中选择代理节点，满足用户与应用服务器之间的正常通信；

(3-2)：当遭受CC攻击，启用备用代理节点，根据负载均衡调度算法周期性地从代理节点池中选取备用代理节点，把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址，使DNS服务器上受保护的应用服务器的域名对应的IP地址在动态启用的代理节点中动态变化，于此同时关闭受攻击的代理节点，保证用户与应用服务器之间的正常通信。

(3-3)当CC攻击消失时，关闭无流量的代理节点，恢复正常情况下的工作模式。

上述调度算法优选的可采用轮循算法和加权轮循算法，所述轮询算法是指新的连接被依次轮询分发到各个代理节点，所述加权轮循算法是指根据代理节点的不同带宽和当前系统资源利用率，给每个代理节点赋予不同的权重，使其能够接受相应权重数的用户服务请求。

本发明打破传统DDoS防御的静态防御、被动防御特征，提出一种基于动态变换的DDoS防御系统及方法，通过采用大量隐藏的、动态的代理节点来传递用户与应用服务器之间的通信，实现了对流量的牵引，迅速地降低了DDoS攻击的攻击强度，使得外部攻击者无法获得系统的网络拓扑结构和其它代理节点的真实信息，无法进一步进行有效攻击，同时隔离了内部攻击者，从而实现了有效防御DDoS攻击、提高了网络安全的目标。

以上仅是对本发明的优选实施方式进行了描述，并不将本发明的技术方案限制于此，本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴，本发明具体的保护范围以权利要求书的记载为准。

Claims (6)

1.一种基于动态变换的DDoS攻击防御系统，其特征在于，包括：

代理节点检测单元，用于实时检测代理节点池中每一个代理节点的流量状态，把检测结果反馈给代理节点管理单元；

代理节点管理单元，负责管理代理节点池，并根据代理节点检测单元统计的检测结果判断是否有DDoS攻击发生，是否需要从代理节点池中启用新的节点或关闭受攻击的代理节点；

DNS配置单元，用于动态配置顶级DNS服务器，使受保护的应用服务器的域名对应的IP地址在启用的代理节点中不断变化，从而实现DNS动态引流，把用户流量分散到不同的代理节点上。

2.根据权利要求1所述的基于动态变换的DDoS攻击防御系统，其特征在于，所述代理节点管理单元根据所述代理节点检测单元上报的信息进行DDoS攻击检测，如果代理节点的平均网络速率与系统总带宽的比值在检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)，则认定为攻击情况，否则认定为正常情况：

(一)、在正常流量下，只有少部分代理节点时处于启用状态，可以满足用户与应用服务器之间的正常通信；

(二)、判定有DDoS攻击发生时，从代理节点池中启用新的代理节点，为其分配IP地址，同时把当前启用的代理节点的信息(包括但不限于代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等信息)发送至所述DNS配置单元，同时产生日志信息发送至所述管理单元，其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的带宽、网络速率等信息；

(三)、判定DDoS攻击消失时，关闭无流量的代理节点，同时把当前还在启用的代理节点的信息(包括但不限于代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率、当前是否有DDoS攻击发生等)发送至所述DNS配置单元。

3.根据权利要求1-2所述的基于动态变换的DDoS攻击防御系统，其特征在于，所述DNS配置单元包括IP地址分配模块和DNS服务器配置模块，其中IP地址分配模块根据负载均衡调度算法周期性地选取当前网络流量负载较小的代理节点，为受保护的应用服务器的域名(或其CNAME记录)分配代理节点的IP地址，用户可通过代理节点与应用服务器进行通信，于此同时通知DNS服务器配置模块把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址。

4.根据权利要求1-3所述的基于动态变换的DDoS攻击防御系统，其特征在于，针对CC(Challenge Collapsar)攻击的防御，代理节点需要缓存应用服务器上的内容并定期同步，当用户的访问请求到达代理节点时，代理节点直接对用户进行响应，只有当代理节点上没有查询到用户请求的资源时，才把访问请求发送至应用服务器。

5.根据权利要求4所述的基于动态变换的DDoS攻击防御系统，其特征在于，针对CC(Challenge Collapsar)攻击的防御，代理节点检测单元实时检测代理节点池中每一个启用的代理节点的系统资源利用率(优选的包括CPU利用率、内存利用率)，把每个代理节点的系统资源利用率实时地上报给代理节点管理单元。代理节点管理单元根据代理节点检测单元上报的信息进行DDoS攻击检测，如果代理节点的平均系统资源利用率在检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率)，则认定为攻击情况，否则认定为正常情况。

6.一种基于动态变换DDoS防御方法，其特征在于，包括以下步骤：

步骤(1)、为代理节点池中的代理节点动态分配IP地址；

步骤(2)、配置顶级DNS服务器上受保护的应用服务器域名(或其CNAME记录)对应的IP地址为代理节点的IP地址，使用户通过代理节点转发访问应用服务器；

步骤(3)、实时检测代理节点池中各代理节点的流量状态和资源利用情况，如果代理节点的平均网络速率与系统总带宽的比值在检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值)或者代理节点的平均系统资源利用率在检测时间窗口内均大于正常阈值(所述攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率)，则认定为攻击情况，否则认定为正常情况：

(3-1)：在正常流量下，只有少部分代理节点处于启用状态，根据负载均衡调度算法从代理节点池中选择代理节点，满足用户与应用服务器之间的正常通信；

(3-2)：当遭受DDoS攻击，启用备用代理节点，根据负载均衡调度算法周期性地从代理节点池中选取备用代理节点，把DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址修改为当前选择的代理节点的IP地址，使DNS服务器上受保护的应用服务器的域名(或其CNAME记录)对应的IP地址在动态启用的代理节点中动态变化，于此同时关闭受攻击的代理节点，保证用户与应用服务器之间的正常通信。

(3-3)当DDoS消失时，关闭无流量的代理节点，恢复正常流量下的工作模式。

Images