CN116094749B - 一种针对crossfire tcp流量攻击的检测防御方法及系统 - Google Patents
一种针对crossfire tcp流量攻击的检测防御方法及系统 Download PDFInfo
- Publication number
- CN116094749B CN116094749B CN202211489680.9A CN202211489680A CN116094749B CN 116094749 B CN116094749 B CN 116094749B CN 202211489680 A CN202211489680 A CN 202211489680A CN 116094749 B CN116094749 B CN 116094749B
- Authority
- CN
- China
- Prior art keywords
- network
- flow
- topology
- virtual topology
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 76
- 238000000034 method Methods 0.000 title claims abstract description 44
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 title claims abstract description 43
- 230000007123 defense Effects 0.000 title claims abstract description 40
- 230000003068 static effect Effects 0.000 claims abstract description 39
- 235000008694 Humulus lupulus Nutrition 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 239000000523 sample Substances 0.000 claims description 3
- 230000008901 benefit Effects 0.000 abstract description 8
- 230000006399 behavior Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000012216 screening Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统,涉及网络安全技术领域,具体方案为:计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御;本发明在软件定义网络架构下,借鉴蜜罐思想,充分利用SDN的优势,抓住Crossfire攻击以及TCP协议特点,对该攻击进行预防与检测防御,将Crossfire对网络的攻击损害尽可能地降低。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
传统的计算机网络通常由路由器、交换机和防火墙等一系列的网络设备构成,这些网络设备基于TCP/IP协议簇运行,不同设备支持不同的网络协议,为了实现设备的高性能转发,设备厂商会使用特定的嵌入式操作系统以及固定的配置命令;因此,网络管理员的工作受限于预定义的命令,并且只能遵循特定的协议和配置策略来响应各种网络事件和应用程序;网络管理员必须手动将制定的高级策略转换为低级配置命令,同时需要适应不断变化的网络环境;此外,网络管理员还需要使用非常有限的工具去完成一些复杂的任务,在网络安全方面,针对不同的设备启用不同的安全策略,而对于常见的DDoS攻击防御也只能依赖于常规入侵检测系统;由于这些设备都来自于不同的厂商,这就导致供应商依赖性较强、复杂性较高以及扩展性较弱;因此,传统计算机网络下的管理和性能调整给网络管理员带来了挑战性;如果能够将控制与转发分离从而以更灵活的方式对网络控制进行编程,那么支持多种协议和应用程序将变得更加简单高效,所以,SDN架构的出现弥补了传统网络的缺陷。
SDN出现和发展打破了传统网络架构的局限性,它不是一个具体的技术或协议,而是一种思想或框架;它将控制与转发完全分离,控制层实现集中控制,软件可编程,转发层通过硬件实现高速转发,控制层与转发层之间通过OpenFlow协议交互;在SDN中,交换机没有独立的大脑,仅具有转发功能,所有的路径计算策略等都在控制器执行,通过OpenFlow协议下发流表给交换机,交换机再根据流表进行快速转发;相比较于传统网络的分布式控制,SDN框架下的集中控制能够获取到网络的一个全局视角,这样就便于控制器通过编程制定出合适的网络转发策略;控制器能够根据网络的实时情况动态制定相应策略下发流表,因此能很在大程度上提高网络性能。
SDN在检测和防御常见的DDoS攻击方面有着更加灵活的优势,尤其是在学术圈,出现了大量的利用SDN检测防御DDoS攻击的文献资料;但是,多数学者所研究重点为保护关键节点服务器免受DDoS攻击,而忽略了近年来新出现了一种新型的DDoS攻击,被称为Crossfire攻击;攻击示意图如图1所示,这是一种链路泛洪攻击,这种攻击所针对的目标不再是常规的关键节点服务器,而是关键节点以及关键服务器集群周围的网络瓶颈链路,即攻击者攻击目标由节点转变为链路;若攻击者的最终攻击目标为服务器集群,则将服务器集群以及服务器集群周围的公共可访问服务器作为目标区域,这里的公共可访问服务器可以理解为学校、医院等公共可访问机构,该类服务器被作为创建攻击流的诱饵服务器;攻击者会控制大量的僵尸网络,首先调度僵尸Bots发送大量的探测流到目标区域的服务器集群,从而构建起一个僵尸网络到目标区域的网络拓扑图,并探测到拓扑中的流量密度等动态信息,攻击者会根据这些信息最终确定要淹没的网络链路瓶颈,这些链路瓶颈关系着目标区域与外界的通信;攻击者在确定好所要淹没的瓶颈链路之后,调动僵尸Bots向诱饵服务器集群发送大量的低速流量从而淹没瓶颈链路,最终导致目标区域的服务器集群与外界断开网络连接。这是一种通过间接攻击目标链路最终达到攻击目标区域的DDoS攻击手段。权威研究实验表明,Crossfire攻击有着不可检测性、攻击流不可区分性、目标选择的灵活性和持久性的特点,这使得常规入侵检测系统难以检测此类攻击;而TCP协议又是如今多数应用服务程序所使用的传输层协议,所以提出一种能够有效检测防御利用TCP流量进行Crossfire攻击的方法显得尤为重要。
发明内容
为克服上述现有技术的不足,在软件定义网络架构下,借鉴蜜罐思想,本发明提供了一种针对CROSSFIRE TCP流量攻击的检测防御方法及系统,充分利用SDN的优势,抓住Crossfire攻击以及TCP协议特点,对该攻击进行预防与检测防御,将Crossfire对网络的攻击损害尽可能地降低。
为实现上述目的,本发明的一个或多个实施例提供了如下技术方案:
本发明第一方面提供了一种针对CROSSFIRE TCP流量攻击的检测防御方法;
一种针对CROSSFIRE TCP流量攻击的检测防御方法,包括:
计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;
依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;
检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御。
进一步的,所述静态指标为:链路及节点的居间性、链路的最小切割集以及节点的中心度;
所述动态指标为:链路的流密度和消耗带宽比;
所述网络瓶颈,包括瓶颈链路与瓶颈节点。
进一步的,所述依据静态指标和动态指标选择网络瓶颈,具体为:
通过静态指标计算各节点和链路的分数,依据分数进行网络瓶颈的初步筛选;
从初步筛选的网络瓶颈中,选择流密度高、消耗带宽高比高的链路为最终的网络瓶颈。
进一步的,所述网络虚拟拓扑的生成方法为:基于BA模型生成无标度网络,通过判断网络瓶颈节点的位置,将瓶颈节点周围两跳之内的节点总数量作为生成无标度网络的节点数量,而网络虚拟拓扑中的虚拟链路,保证网络虚拟拓扑的静态指标不低于物理拓扑的静态指标。
进一步的,将生成的网络虚拟拓扑部署在网络瓶颈附近,并通过物理链路接入瓶颈节点。
进一步的,所述动态控制引入虚拟拓扑的流量,具体为:引入两类控制器,分别控制物理拓扑和虚拟拓扑,两类控制器通过交互两种拓扑的动态指标,特别是链路的流密度,控制流入虚拟拓扑的流量,保证虚拟拓扑的动态指标高于物理拓扑。
进一步的,所述检测可疑探测流,包括两种方式:
追踪可疑的traceroute数据包;
通过训练好的僵尸网络检测模型实时监测僵尸网络流量。
进一步的,所述通过下发丢弃流表进行主动防御,具体为:
维护IP-可疑行为记录表;
计算对应IP的可疑分数;
根据IP的可疑分数下发丢弃流表。
进一步的,还包括,攻击者成功发动对物理拓扑的攻击并造成主干链路的拥塞是,通过轻量级的简易负载均衡方法,快速实现负载均衡,具体为:
计算链路的Cost值,并选择Cost值最小的路径作为当前的最优路径;
在最优路径的相应设备上下发流表规则,快速实现负载均衡。
本发明第二方面提供了一种针对CROSSFIRE TCP流量攻击的检测防御系统。
一种针对CROSSFIRE TCP流量攻击的检测防御系统,包括网络瓶颈选择模块、虚拟拓扑生成模块和可疑检测防御模块:
网络瓶颈选择模块,被配置为:计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;
虚拟拓扑生成模块,被配置为:依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;
可疑检测防御模块,被配置为:检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御。
以上一个或多个技术方案存在以下有益效果:
本发明在软件定义网络架构下,借鉴蜜罐思想,充分利用SDN的优势,在获取数据平面各项参数方面具有很大的便利性与灵活性,抓住Crossfire攻击以及TCP协议特点,对该攻击进行预防与检测防御,将Crossfire对网络的攻击损害尽可能地降低。
本发明能够充分利用SDN架构优势快速确定网络瓶颈,从而提前预防CrossfireTCP攻击流量;同时在SDN架构下引入虚拟拓扑的方法,能够将Crossfire TCP攻击流量引入虚拟拓扑,是一种具有提前预防效果的主动防御方法。
本发明中的检测与防御是基于虚拟拓扑环境的,能够尽可能地减少攻击对物理拓扑造成的伤害,同时检测防御过程中引入了一个IP-可疑行为记录表,通过对流量的各项参数判断,尽可能的提高了对Crossfire TCP攻击流量的检测准确率,从而及时阻塞攻击流量;考虑到最坏的情况发生,本发明在最后引入了一种轻量级的能够快速实现负载均衡的方法,从而尽可能降低Crossfire TCP攻击流量对物理拓扑的损害。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为Crossfire攻击的原理图。
图2为第一个实施例的方法流程图。
图3为虚拟拓扑产生与部署应用图。
图4为第二个实施例的系统结构图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
实施例一
本实施例公开了一种针对CROSSFIRE TCP流量攻击的检测防御方法;
如图2所示,一种针对CROSSFIRE TCP流量攻击的检测防御方法,包括:
步骤S1:计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;
本实施例在软件定义网络架构下提出了一种选择网络瓶颈的方法;该方法不只针对Crossfire攻击,也能针对多数DDoS攻击,通过该方法能够提前选择网络瓶颈,包括瓶颈链路与瓶颈节点;通过选择网络瓶颈,能够提前定位到网络脆弱部分从而预防Crossfire攻击,也能够用来升级网络整体性能。此方法包括:
步骤S101:依据静态指标初步选择网络瓶颈,利用SDN控制器调用南向接口获取拓扑全局信息,计算拓扑内所有链路及节点的居间性H、链路的最小切割集M以及节点的中心度N,获取所有链路带宽。
居间性H指的是一个节点或者一条链路所通过的路径指标;已知源S和目的D,若计算某个节点或某条链路u的居间性H,则H(u)=pathsd(u)/pathsd,pathsd表示从源S到目的D的所有可能路径条数,pathsd(u)表示从源S到目的D中所有可能路径中经过u的那些路径。
最小切割集M的定义为:针对某一条链路v,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过v的次数即为链路v的最小切割集数M。指的是有一条链路被从源S到目的D所经过多条可能最短路径的次数。
中心度N的定义为:针对某一个节点,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过这一节点的次数即为这一节点的中心度N。
步骤S102:依据获取到的静态指标,将最小切割集M与链路带宽L一同计算得到平均最小切割集A=L/M,将中心度N与节点性能指数X一同计算得到平均中心度B=X/N,最后结合A、B以及H三个指标,初步筛选网络瓶颈。
对于A,是一个链路集合;对于B是一个节点集合;对于H是一个链路和节点的集合;将A、B由低到高排序,将H由高到低排序,并根据排序打分,排序越靠前,分数越高,分数量化为0-100分;然后将A、B、H三个集合中的相同的节点或者链路的分数相加,最终将分数量化为0-100分,排序之后,初步筛选网络瓶颈。
步骤S103:依据动态指标进一步筛选网络瓶颈,计算初步筛选的网络瓶颈链路的流密度以及消耗带宽比,最终确认网络瓶颈集合从而为后续的Crossfire攻击检测以及主动防御做准备。
流密度指的是链路中到达目标区域的流数量与链路中流总数的比值,该属性具有目标区域依赖性,即对于目标区域的流密度高可选为瓶颈链路,对于其他区域可能具有非常不同的密度;虽然这是一个动态变化的指标,但权威学者实验证明计算出的流密度至少在几个小时内基本保持不变。
消耗带宽比指的是链路当前已消耗的带宽与总带宽的比值,消耗带宽高比高的链路可选为瓶颈链路。
步骤S2:依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;
本实施例在软件定义网络架构下提出了一种利用虚拟拓扑吸引Crossfire攻击从而保护实际物理拓扑正常运作的方法;该方法核心是设计虚拟拓扑的静态以及动态网络瓶颈指标高于物理拓扑,从而吸引攻击者攻击虚拟拓扑;同时检测与防御环境也可由物理拓扑转移至虚拟拓扑,从而避免检测防御过程中对物理拓扑的性能影响,此方法包括:
步骤S201:基于BA模型生成无标度网络,无标度网络具有严重的异质性,这种网络中少数节点拥有大多数的链路,而大多数的节点只拥有少量的链路,生成这种无标度网络虚拟拓扑,能够保证虚拟拓扑的静态指标不低于物理拓扑。
步骤S202:关于部署虚拟拓扑的位置,在依据物理拓扑的静态指标初步筛选网络瓶颈之后,将生成的虚拟拓扑部署在初步筛选的网络瓶颈附近,并通过物理链路接入瓶颈节点,具体根据网络瓶颈的动态指标以及流量异常行为,最终确定是否启用物理链路并将流量导入虚拟拓扑。
步骤S203:通过物理拓扑与虚拟拓扑交互信息实现虚拟拓扑的动态变化。在这种SDN环境下,引入两类控制器,一类控制器控制物理拓扑,另一类控制器控制虚拟拓扑,两类控制器通过交互两种拓扑的动态指标,特别是链路的流密度,从而保证虚拟拓扑的动态指标高于物理拓扑。
针对虚拟拓扑结构,也可通过下发策略流表完全阻塞某条虚拟链路或者完全放开某条虚拟链路从而实现动态改变虚拟拓扑的结构。
利用本实施例提出的选择网络瓶颈的方法,选择虚拟拓扑中的网络瓶颈并部署监控代理,为后续基于虚拟拓扑的Crossfire攻击检测防御做准备。
步骤S3:检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御。
本实施例基于软件定义网络的架构在虚拟拓扑的环境下提供一种对CrossfireTCP流量攻击进行预防与检测防御的方法,包括:
步骤S301:对Crossfire TCP流量攻击进行预防,部署完虚拟拓扑之后,开始在部署虚拟拓扑的节点之处检测及追踪可疑的traceroute数据包,将可疑数据包引入虚拟拓扑,并将该可疑源的后续流量引入虚拟拓扑;同时结合该可疑源的后续TCP三次握手放大可疑动作。
发动Crossfire攻击需要每个攻击Bot程序负责多个攻击流,每个攻击流都被分配一个具有相应所需发送速率的不同诱饵服务器;权威实验证明,对于每个Bot-Target对,通过运行六次traceroute来诊断链路持久性;所以traceroute数据包数量是判断流量是否可疑的一个重要指标。
步骤S302:提前利用集成学习算法在僵尸网络数据集上训练僵尸网络检测模型,具体采用梯度提升树算法,在使用该算法训练检测模型成功之后,将该检测模型部署在部署虚拟拓扑的节点位置,在网络正常运行过程中,该检测模型会实时监测网络中是否有僵尸网络的流量并将检测结果反馈给控制平面,便于后期的检测与防御判断。
梯度提升树有着强大的预测能力,预测速度更快,并且模型占用的内存更少;该算法能够适应网络快速变化的环境特点,所以选用该算法模型;由于攻击者需要利用僵尸网络才可以发动Crossfire攻击,所以本实施例加入了僵尸网络检测功能。
步骤S303:在虚拟拓扑环境下对Crossfire TCP流量进行检测与防御,主要由维护IP-可疑行为记录表、下发丢弃流表以及负载均衡三部分组成。
(1)维护IP-可疑行为记录表
由于绝大多数的攻击者在利用僵尸网络发动Crossfire攻击的时候,会复用攻击Bot,即每个Bot程序会负责多个攻击流,所以记录这些多次重复的可疑流,从而为Crossfire TCP攻击流的防御做准备。
当可疑的traceroute流被引入虚拟拓扑时,将该traceroute流的源IP以及后续的traceroute探测次数计入IP-可疑行为记录表,同时,该记录表还会记录该源IP的TCP三次握手次数,该源IP是否被识别为僵尸网络以及该源IP所经过的虚拟网络瓶颈的拥堵次数。
(2)计算对应IP的可疑分数及下发丢弃流表
根据上一步维护的IP-可疑行为记录表中的各属性计算对应IP的可疑分数,分数越高行为越可疑;对IP-可疑行为记录表中的所有源IP下发丢弃流表,丢弃流表具有超时选项,每条丢弃流表的超时秒数为对应源IP的可疑分数;同时利用监控代理探测虚拟拓扑中网络瓶颈是否发生拥塞,若不再拥塞,则清空IP-可疑行为记录表,结束本轮的CrossfireTCP攻击流量的检测防御。
需要注意的是,在每个检测轮次中,选出IP-可疑行为记录表中的最高可疑分数作为本轮次的时间,本轮时间结束之后如果虚拟拓扑中网络瓶颈还是拥塞状态,则更新IP-可疑行为记录表,根据可疑分数下发丢弃流表,开启新一轮次。
(3)虽然本发明有着多重防御,其中包括了主动防御,但是考虑到最坏的情况发生,即攻击者成功发动了对物理拓扑的攻击并造成了主干链路的拥塞,本实施例提出了一种轻量级的简易负载均衡方法,从而快速实现负载均衡,尽可能的降低攻击对实际网络的损害。
具体的,当实际物理拓扑网络瓶颈的前一跳节点检测到可疑traceroute探测流之后,即开始出发预负载均衡模块,通过控制器获取拓扑中的各个节点,从而得到从源区域到目标区域的所有路径,并去除包含网络瓶颈的链路,然后通过控制器的南向接口获得交换机各个端口单位时间内的吞吐量以及交换机内存使用率、CPU使用率等性能参数,根据这些参数计算每个骨干交换机的Cost值,将交换机的Cost值转化为所接入链路的Cost值,最终选择Cost值最小的路径作为当前的最优路径;设置周期为1分钟,再重新计算所有可能路径的Cost值,再重新选择最优路径。当物理拓扑网络瓶颈链路拥塞时,控制器根据提前计算好的最优路径在相应设备上下发流表规则,从而快速实现负载均衡。
实施例二
本实施例公开了一种针对CROSSFIRE TCP流量攻击的检测防御系统;
如图4所示,一种针对CROSSFIRE TCP流量攻击的检测防御系统,包括网络瓶颈选择模块、虚拟拓扑生成模块和可疑检测防御模块:
网络瓶颈选择模块,被配置为:计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈,包括两个子模块:
第一部分网络瓶颈预筛选模块,该系统模块通过控制器获取到拓扑的全局结构信息,在去除掉与目标区域小于等于三跳的链路或节点之后,用一个图G=(V,E)来描述获取到的物理拓扑,其中V表示物理节点(路由器或交换机)的集合,E表示节点之间的物理链路的集合。结合控制平面预获取到的链路带宽以及节点性能,计算处理各静态指标,从而初步筛选出网络瓶颈G1=(V1,E1);以图1拓扑图为例,模拟初步筛选出的网络瓶颈为V1={s1,s2,s3,s4,s5,s6,s7,s8,s9,s10,s11},E1={e1,e2,e3,e4,e5,e6,e7,e8,e9,e10}。
第二部分网络瓶颈最终确定模块,在第一部分的基础上,即在初步筛选出的网络瓶颈G1上,实时获取流密度以及消耗带宽比等动态指标,最终确定网络瓶颈Gend=(Vend,Eend);以图1拓扑为例,模拟最终筛选出的网络瓶颈为Vend={s1,s6,s9,s11},Eend={e1,e8,e9,e10}。
具体的,涉及到的拓扑信息快速获取、计算处理及网络链路流密度等动态指标的快速获取与计算处理,在SDN架构下,充分利用该架构优势,能够轻松落地实现这些方法;同时考虑到实际应用过程中,所要保护的拓扑可能会比较庞大,针对这种情况,可以充分利用SDN的多控制器架构从而减轻单个控制器的运行压力。
虚拟拓扑生成模块,被配置为:依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量,包括两个子模块:
第一部分虚拟拓扑生成模块,该模块基于BA模型生成无标度网络,通过判断瓶颈节点的位置,将瓶颈节点周围两跳之内的节点总数量作为生成无标度网络的节点数量,以图1的s1瓶颈节点为例,则需生成节点数量为6的无标度网络,最后将该无标度网络转化为基于OVS交换机的虚拟拓扑;模拟生成的虚拟拓扑如图3所示,6个OVS交换机以及对应的红色实线链路,保证了虚拟拓扑静态指标不低于s1瓶颈节点以及其周围瓶颈链路的瓶颈指标。
第二部分虚拟拓扑动态控制模块,在第一部分拓扑生成之后,将生成的拓扑部署在瓶颈节点附近,还是以图1的s1为例,将虚拟拓扑接入s1节点,在获取到物理拓扑s1网络瓶颈附近的流密度等动态指标之后,控制平面控制虚拟拓扑产生流量并动态改变流量,使得虚拟拓扑的流密度、消耗带宽比等动态瓶颈指标高于s1瓶颈节点附近的瓶颈指标。为降低重新操控OVS交换机生成新拓扑的额外开销,以图3中虚线框内的虚拟拓扑为例,虚线为生成虚拟拓扑时,创建的备用虚拟链路。在实际运行过程中,可以通过制定策略下发流表完全阻塞某条虚拟链路或者启用某条备用虚拟链路从而实现动态改变虚拟拓扑。
具体的,落地实现过程仅包括虚拟拓扑的生成以及虚拟拓扑的动态控制两方面,而现实网络中多数的网络瓶颈分布比较集中,本实施例称之为瓶颈簇,以图1为例,瓶颈节点s1即在{s1,s2,s3,e1,e2,e3}这个瓶颈簇中,而本实例中,该瓶颈簇中只有s1的周围两跳节点数量最多,所以本实例是以s1的节点数目标准生成了虚拟拓扑;而动态控制主要基于虚拟拓扑与物理拓扑的动态指标信息交互,这在SDN架构下,引入两类控制器,并在控制平面交互信息是非常可行的。
可疑检测防御模块,被配置为:检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御,包括两个子模块:
第一部分检测模块,该部分主要负责部署僵尸网络模型以及虚拟拓扑的部署应用;首先训练僵尸网络检测模型,完成之后,将检测模型部署在控制平面;以图1为例,控制平面会实时获取s1、s6、s9以及s11经过的流量特征并应用到检测模型判断是否为僵尸网络;已经成功生成虚拟拓扑后,将所有可疑的网络瓶颈节点物理连接到虚拟拓扑,而本实例需要将可疑流量引入虚拟拓扑,根据动态指标以及可疑的traceroute探测流将流量导入虚拟拓扑。
第二部分防御模块,维护一个IP-可疑行为记录表;根据表中的源IP分数下发丢弃流表;例如某个源IP地址为213.22.36.193依据表中各属性量化出的可疑分数为63分,则针对该IP下发丢弃流表且流表超时时间设置为63秒;若本轮的最高可疑分数为85分,则规定本轮处理时间为85秒。85秒之后,查看虚拟拓扑中的瓶颈链路是否继续拥塞,若不在拥塞,清空记录表,否则更新记录表,开启新一轮防御。
具体的,本模块的实现过程中包括了应用僵尸网络检测模型、追踪可疑探测流以及根据IP-可疑行为记录表下发丢弃流表几个关键的模块。但是当攻击者绕开这些模块发动攻击之后,本实施例提供一种快速负载均衡的弥补措施。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1. 一种针对CROSSFIRE TCP流量攻击的检测防御方法,其特征在于,包括:
计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;
依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;
检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御;
所述静态指标为:链路及节点的居间性、链路的最小切割集以及节点的中心度;所述居间性指的是一个节点或者一条链路所通过的路径指标;所述最小切割集的定义为针对某一条链路v,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过v的次数即为链路v的最小切割集数;所述中心度的定义为针对某一个节点,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过这一节点的次数即为这一节点的中心度;
所述动态指标为:链路的流密度和消耗带宽比;
所述网络虚拟拓扑的生成方法为:基于BA模型生成无标度网络,通过判断网络瓶颈节点的位置,将瓶颈节点周围两跳之内的节点总数量作为生成无标度网络的节点数量,而网络虚拟拓扑中的虚拟链路,保证网络虚拟拓扑的静态指标不低于物理拓扑的静态指标;
将生成的网络虚拟拓扑部署在网络瓶颈附近,并通过物理链路接入瓶颈节点;
所述动态控制引入虚拟拓扑的流量,具体为:引入两类控制器,分别控制物理拓扑和虚拟拓扑,两类控制器通过交互两种拓扑的动态指标,控制流入虚拟拓扑的流量,保证虚拟拓扑的动态指标高于物理拓扑;
所述检测可疑探测流,包括两种方式:追踪可疑的traceroute数据包;通过训练好的僵尸网络检测模型实时监测僵尸网络流量;
所述通过下发丢弃流表进行主动防御,具体为:维护IP-可疑行为记录表;计算对应IP的可疑分数;根据IP的可疑分数下发丢弃流表。
2. 如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法,其特征在于,所述网络瓶颈,包括瓶颈链路与瓶颈节点。
3. 如权利要求1所述的一种针对CROSSFIRE TCP流量攻击的检测防御方法,其特征在于,还包括,攻击者成功发动对物理拓扑的攻击并造成主干链路的拥塞时,通过轻量级的简易负载均衡方法,快速实现负载均衡,具体为:
计算链路的Cost值,并选择Cost值最小的路径作为当前的最优路径;
在最优路径的相应设备上下发流表规则,快速实现负载均衡。
4. 一种针对CROSSFIRE TCP流量攻击的检测防御系统,其特征在于,包括网络瓶颈选择模块、虚拟拓扑生成模块和可疑检测防御模块:
网络瓶颈选择模块,被配置为:计算网络物理拓扑的静态指标和动态指标,并依据静态指标和动态指标选择网络瓶颈;
所述静态指标为:链路及节点的居间性、链路的最小切割集以及节点的中心度;所述居间性指的是一个节点或者一条链路所通过的路径指标;所述最小切割集的定义为针对某一条链路v,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过v的次数即为链路v的最小切割集数;所述中心度的定义为针对某一个节点,若从源S到目的D初步估计有n条最短路径,则在这n条路径中经过这一节点的次数即为这一节点的中心度;
所述动态指标为:链路的流密度和消耗带宽比;
虚拟拓扑生成模块,被配置为:依据网络瓶颈的静态指标和动态指标,生成和部署网络虚拟拓扑,并动态控制引入虚拟拓扑的流量;
所述网络虚拟拓扑,具体为:基于BA模型生成无标度网络,通过判断网络瓶颈节点的位置,将瓶颈节点周围两跳之内的节点总数量作为生成无标度网络的节点数量,而网络虚拟拓扑中的虚拟链路,保证网络虚拟拓扑的静态指标不低于物理拓扑的静态指标;
将生成的网络虚拟拓扑部署在网络瓶颈附近,并通过物理链路接入瓶颈节点;
所述动态控制引入虚拟拓扑的流量,具体为:引入两类控制器,分别控制物理拓扑和虚拟拓扑,两类控制器通过交互两种拓扑的动态指标,控制流入虚拟拓扑的流量,保证虚拟拓扑的动态指标高于物理拓扑;
可疑检测防御模块,被配置为:检测可疑探测流,并将其引入网络虚拟拓扑,通过下发丢弃流表进行主动防御;
所述检测可疑探测流,包括两种方式:追踪可疑的traceroute数据包;通过训练好的僵尸网络检测模型实时监测僵尸网络流量;
所述通过下发丢弃流表进行主动防御,具体为:维护IP-可疑行为记录表;计算对应IP的可疑分数;根据IP的可疑分数下发丢弃流表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211489680.9A CN116094749B (zh) | 2022-11-25 | 2022-11-25 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211489680.9A CN116094749B (zh) | 2022-11-25 | 2022-11-25 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094749A CN116094749A (zh) | 2023-05-09 |
| CN116094749B true CN116094749B (zh) | 2024-05-07 |
Family
ID=86201451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211489680.9A Active CN116094749B (zh) | 2022-11-25 | 2022-11-25 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094749B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110650141A (zh) * | 2019-09-25 | 2020-01-03 | 中国民航大学 | 一种链路洪泛攻击的sdn分段路由防御方法 |
| CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
| CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御系统 |
| CN113364810A (zh) * | 2021-07-02 | 2021-09-07 | 东北大学秦皇岛分校 | 一种链路洪泛攻击检测与防御系统及方法 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
| CN114157446A (zh) * | 2021-10-15 | 2022-03-08 | 西安交通大学 | 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质 |
| CN114844708A (zh) * | 2022-05-07 | 2022-08-02 | 长三角信息智能创新研究院 | 基于流量重路由链路泛洪攻击缓解方法、设备及存储介质 |
-
2022
- 2022-11-25 CN CN202211489680.9A patent/CN116094749B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御系统 |
| CN110650141A (zh) * | 2019-09-25 | 2020-01-03 | 中国民航大学 | 一种链路洪泛攻击的sdn分段路由防御方法 |
| CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
| CN113364810A (zh) * | 2021-07-02 | 2021-09-07 | 东北大学秦皇岛分校 | 一种链路洪泛攻击检测与防御系统及方法 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
| CN114157446A (zh) * | 2021-10-15 | 2022-03-08 | 西安交通大学 | 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质 |
| CN114844708A (zh) * | 2022-05-07 | 2022-08-02 | 长三角信息智能创新研究院 | 基于流量重路由链路泛洪攻击缓解方法、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 《Utilizing NFV for Effective Moving target defense against link flooding reconnaissance attacks》;Abdullah Aydeger;《MILCOM》;20190103;摘要、第一章至第五章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094749A (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Detecting and mitigating target link-flooding attacks using SDN | |
| KR101917062B1 (ko) | 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램 | |
| EP3579504B1 (en) | Distributed packet deduplication | |
| Dridi et al. | SDN-guard: DoS attacks mitigation in SDN networks | |
| EP1668511B1 (en) | Apparatus and method for dynamic distribution of intrusion signatures | |
| US11265336B2 (en) | Detecting anomalies in networks | |
| Qian et al. | Openflow flow table overflow attacks and countermeasures | |
| US20070162595A1 (en) | System and method for tracking network resources | |
| KR20120046891A (ko) | 네트워크 도메인간 보안정보 공유 장치 및 방법 | |
| EP2901650A1 (en) | Securing software defined networks via flow deflection | |
| US9548900B1 (en) | Systems and methods for forwarding network packets in a network using network domain topology information | |
| US20200067851A1 (en) | Smart software-defined network (sdn) switch | |
| Sathya et al. | Efficient anomaly detection and mitigation in software defined networking environment | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| CN113489711A (zh) | DDoS攻击的检测方法、系统、电子设备和存储介质 | |
| Gautam et al. | Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| Tan et al. | How to protect key drones in unmanned aerial vehicle networks? An SDN-based topology deception scheme | |
| CN113810405A (zh) | 一种基于sdn网络的路径跳变动态防御系统及方法 | |
| CN116094749B (zh) | 一种针对crossfire tcp流量攻击的检测防御方法及系统 | |
| Poongothai et al. | Simulation and analysis of DDoS attacks | |
| CN117155629A (zh) | 一种基于人工智能的电力信息系统网络主动防御方法及系统 | |
| CN117118660A (zh) | 一种基于零信任网络的网关智能编排方法及系统 | |
| US10742553B1 (en) | Forwarding information base caching | |
| Sanjeetha et al. | Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |