CN102447707A

CN102447707A - 一种基于映射请求的DDoS检测与响应方法

Info

Publication number: CN102447707A
Application number: CN2011104560121A
Authority: CN
Inventors: 刘颖; 万明; 张宏科; 周华春; 唐建强
Original assignee: Beijing Jiaotong University
Current assignee: China High Speed Railway Technology Co ltd
Priority date: 2011-12-30
Filing date: 2011-12-30
Publication date: 2012-05-09
Anticipated expiration: 2031-12-30
Also published as: CN102447707B

Abstract

一种基于映射请求的DDoS攻击检测和响应方法，当用户终端之间通信时，首先发送映射请求以获得通信对方的AID-to-RID的映射关系；映射服务器实时监测映射请求流量的变化来判断和识别异常变化点，识别和诊断映射请求流量的异常，以检测标识分离映射网络中的DDoS攻击；当判断出映射请求流量的异常时，诊断和识别标识分离映射网络中的DDoS攻击，并且提前报警；当映射服务器为一条AID-to-RID映射条目产生报警时，映射服务器响应DDoS攻击，遏制异常的攻击流量，防止DDoS攻击的进一步恶化，从而遏制攻击流量进一步威胁受害主机。本发明可以检测和防范DDoS攻击，提高标识分离映射网络的安全性与可靠性。

Description

一种基于映射请求的DDoS检测与响应方法

技术领域

本发明涉及一种基于映射请求的DDoS检测与响应方法，其可检测和防止标识分离映射网络中DDoS攻击，属于计算机网络安全领域。

术语“异常变化点”是由具体的报警算法和实际的网络环境所决定的，不同的报警算法(例如CUSUM或者是小波分析法)可能会设定不同的报警门限，并且这个报警门限也是受到不同网络环境流量的限制。术语“预定义门限”也是需要看具体的网络环境而定，是根据实际运行经验而自己设定的数值，一般情况下，它受到ASR所管理的主机的数量的影响，同时也受到映射请求流量的影响。术语“一定时间”也是根据实际网络环境而定，同时也需要靠管理者的经验。“异常变化点”、“预定义门限”、和“一定时间”一般不能定义具体的数值，因为这些都与实际的网络情况或者管理人员的实际经验有关，同时，据发明人所知，任何检测算法都没有定义这些术语的具体数值。

背景技术

标识分离映射网络是一种新型的网络架构，虽然身份信息与位置信息分离的思想可以解决传统网络中的不合理性和安全隐患，但是，这种分离映射的思想无法解决传统网络中存在的DDoS攻击。

在传统互联网中，Internet网络传输可以看作一个复杂的随机模型，任何传输的异常(比如DDoS攻击)都将导致模型的急剧变化。目前，有两种方法对这种改变进行检测。一种方法是等长批量检测法，它通过检测在单位时间内被观测量变化的平均值实现检测。另一种方法是连续改变点检测方法，它监视的是变量的连续变化情况。其目的是确定观测的时间序列是否符合统计分布，如果不是，找到发生改变的时间点，这种方法具有在线实时检测的能力，符合DDoS检测的要求。使用该种方法一个难点是确定观测序列的整体分布。

到目前为止，关于Internet网络整体流量分布规律的研究已经非常广泛。事实上，通过一个简单的变量模型无法模拟整个网络流量的统计分布。因此，只能采用一种非确定模型的检测方法。

在现有技术中，使用非参数累积和CUSUM(Cumulative SUM)方法检测DDoS攻击。非参数CUSUM检测方法非常适合解决这类问题。该方法具有很多其他序列和非参数检测算法的优点。同时，该算法计算量很小，能够完全满足实时监测的要求。非参数累积和CUSUM算法是著名的变化点检测算法，它是工业生产过程中常用的异常检测算法。CUSUM基于这样一个事实：如果检测到统计过程的均值发生变化，则随机的概率分布也会发生变化。当其用在DDoS攻击检测时，它监测网络流量的变化，若网络流量超过其预设定的阀值(即改变点发生)，则表明网络流量出现异常现象，并产生报警。

然而，该方法存在的问题是：由于网络流量是动态的、复杂的和多维度的，因此采用非参数CUSUM方法监测网络流量存在较高的误报率；另外，非参数CUSUM方法虽然能够实时监测Internet中的DDoS攻击，但其不能进行提前报警，即在DDoS攻击流量到达受害者之前产生报警；另外，非参数累计和CUSUM方法不能提供很好的实时响应来控制DDoS攻击流量。

发明内容

本发明的目的是提供一种基于映射请求的DDoS检测与响应方法，其可检测和防止标识分离映射网络中DDoS攻击。

本发明的进一步的目的是提供一种基于映射请求的DDoS检测与响应方法，其在标识分离映射网络中通过映射请求流量的异常来检测DDoS攻击，并发出连锁响应，以防范DDoS攻击，为标识分离映射网络提供了安全保障，确保了用户终端与服务器的可用性，提高了标识分离映射网络的安全性与可靠性。

为此，本发明提交了一种基于映射请求的DDoS攻击检测和响应方法，其特征在于，该方法包括：在标识分离映射网络中，所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中，当用户终端之间的通信时，首先发送映射请求以获得通信对方的AID-to-RID的映射关系，因此，在DDoS攻击产生危害之前就可进行报警；映射服务器实时监测映射请求流量的变化来判断和识别异常变化点，识别和诊断映射请求流量的异常，以检测标识分离映射网络中的DDoS攻击；当判断出映射请求流量的异常时，诊断和识别标识分离映射网络中的DDoS攻击，并且提前报警；当映射服务器为一条AID-to-RID映射条目产生报警时，映射服务器响应DDoS攻击，遏制异常的攻击流量，防止DDoS攻击的进一步恶化，从而遏制攻击流量进一步威胁受害主机。

优选地，映射服务器实时地产生报警，映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点；异常点检测算法还可以采用其他的基于统计过程的异常点检测算法，如小波分析法。

优选地，当映射请求流量异常而产生报警时，映射服务器的响应方法有：方法一，通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量；或方法二，映射服务器随机地响应映射请求或者预定义门限，以控制恶意的攻击流量。

优选地，在每一个ASR中都存在一个映射缓存来暂时存储通信对端的映射信息，当映射请求的数量超过预定义的门限时，ASR将映射请求的数量主动汇报给映射服务器，映射服务器用CUSUM算法统计映射请求的数量以报警。

优选地，如果采用方法一，当产生报警时，映射服务器主动告知每个攻击者所在的接入交换路由器ASR，每个ASR可以采用速率限制、或者是包过滤的方法来限制攻击流量，也可以采用数字签名技术保障映射服务器与ASR交互的控制信息的真实性。

优选地，如果采用方法二，针对即将到来的关于受害主机的映射请求，映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求，即映射服务器随机的响应即将到来的映射请求。当映射请求的数量超过预定义门限时，映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。

优选地，采用映射缓存门限机制，每一个ASR实时地记录在一定时间内使用同一条映射信息的用户终端的数量，并将此数量主动汇报给映射服务器，映射服务器统计映射请求的数量进而检测异常。

根据本发明，依据标识分离映射网络中新引入的映射机制，提出了一种基于映射请求的DDoS检测和响应方法。该方法使用CUSUM算法，监测映射请求流量的变化，通过映射请求流量的异常来检测DDoS攻击的发生。

根据本发明，可在DDoS攻击发生时提前报警，有效地保障了检测的实时性，增强了合法用户或服务器的可用性。

根据本发明，不用考虑网络流量的复杂性与多维度性，由于映射请求流量的单一性与简单性，降低了检测的误报率，从而提高了DDoS攻击检测的效率。

根据本发明，能够提供实时的响应方法来控制和遏制DDoS攻击流量，防止DDoS攻击的进一步恶化，保障了合法用户通信的不间断性，提高了标识分离映射网络的安全性与可靠性。

附图说明

图1是标识分离映射网络中的DDoS攻击的示意图。

图2是基于映射请求的DDoS攻击检测和响应方法的工作流程示意图。

图3是大量攻击者属于同一个ASR的DDoS攻击示意图。

具体实施方式

基于映射请求的DDoS攻击检测和响应方法的主要工作流程如如图2所示：

步骤一：当大量恶意攻击者发起DDoS攻击时，如图1所示，攻击者首先将攻击数据包发送至其所属的接入交换路由器；

步骤二：当这些接入交换路由器收到攻击者的恶意数据包时，每个接入交换路由器将向映射服务器发送映射请求，查询受害者的AID-to-RID映射信息；

步骤三：当映射服务器收到这些查询受害者映射关系的映射请求时，映射服务器通过CUSUM算法检测映射请求流量的异常突变点；若发现映射请求流量的异常突变点，则产生报警；否则，映射服务器正常回答接入交换路由器的映射请求。

步骤四：当映射服务器产生报警后，可以选择两种方法来控制或遏制DDoS攻击的恶意流量。若选取方法一，映射服务器告知每个攻击者所属的接入交换路由器限制攻击流量；若选取方法二，映射服务器随机响应或者预定义门限响应即将到来的映射请求；

步骤五：倘若映射服务器选取方法一，当攻击者的ASR收到映射服务器的通知后，攻击者的ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量；倘若映射服务器选取方法二，部分攻击者的ASR会收到映射服务器的映射请求响应，这些攻击者的ASR将不采取任何措施，正常转发攻击者的数据包。

当映射请求流量异常而产生报警时，映射服务器可以采取两种方法进一步遏制DDoS攻击。

方法一，是映射服务器与所有ASR协作来遏制恶意的攻击流量，即当产生报警时，映射服务器主动告知每个攻击者所在的接入交换路由器ASR，每个ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量。同时，可以采用数字签名技术digital Signature technique保障映射服务器与ASR交互的控制信息的真实性。

方法二，是随机响应映射请求或者预定义门限来控制恶意的攻击流量，即针对即将到来的关于受害主机的映射请求，映射服务器可以采用随机响应或预定义门限的方法来回答映射请求，也就是说，映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求，当映射请求的数量超过预定义门限时，映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。这种方法可以降低攻击者的数量，从而间接降低到达受害主机的攻击流量。

如图3所示，当大量攻击者属于同一个ASR向受害者发起DDoS攻击时，由于映射缓存的存在，这个ASR可能仅仅发送一次映射请求来查询受害者的映射关系，这就造成了映射服务器收到的映射请求流量的降低，从而影响检测的效率。为了解决这个问题，可以采用映射请求门限机制从ASR的映射缓存中解耦出映射请求流量。当受害者的AID-to-RID映射信息条目在接入交换路由器映射缓存中是处于活跃状态时，即此条映射信息的计时器的计时时间没有超过其Time-to-Live值，ASR将要在一定时间内记录最近使用这条映射信息的主机数量，倘若此数量超过了我们预先定义的映射请求门限值，则ASR将这个数量告知映射服务器。映射请求门限机制可以用公式表示为：

d (y_{n}) = \{\begin{matrix} y_{n} & if y_{n} &GreaterEqual; m; \\ 0 & otherwise . \end{matrix}

其中，d(y_n)代表在指定的时间周期内ASR发送到映射服务器的映射请求数量；y_n代表在第n个时间周期内ASR记录的最近使用这条映射信息的主机数量；m是根据实际经验预设定的映射请求门限值。

特别是，异常点检测算法可以是CUSUM算法，也可以采用其他的基于统计过程的异常点检测算法所替代，例如，小波分析法。

特别是，映射请求门限机制可以采用基于流量的统计方法，即ASR记录使用某一条映射信息的流量变化，当流量值超过预设定的门限时，ASR向映射服务器发送一个映射请求，但这种方法会增加检测的误报率。

特别是，数字签名机制不限定必须使用哪种数字签名技术，任何数字签名机制可以通用到本发明中。

本发明结合标识分离映射网络中身份与位置分离的特点，依据标识分离映射网络中新引入的映射机制，通过在映射服务器中部署检测方法，实时监测映射请求流量的变化来判断和识别异常变化点，从而实现对DDoS攻击的检测。

本发明使用CUSUM算法检测映射请求异常流量的突变点，完成异常报警，极大地提高了检测的及时准确性。

在标识分离映射网络中，当一个DDoS攻击发生时，所有攻击者首先需要发送映射请求来获得受害主机的AID-to-RID的映射关系，因此，本发明提出的检测方法能够在DDoS攻击产生危害之前进行报警。

本发明不用考虑网络流量的复杂性与多维度性，由于映射请求流量的单一性与简单性，降低了检测的误报率，从而提高了DDoS攻击检测的效率。

本发明提供两种实时响应方法来控制和遏制DDoS攻击的流量，方法一是映射服务器与所有ASR协作来遏制恶意的攻击流量；方法二是随机响应映射请求或者预定义门限来控制恶意的攻击流量。

为了解决ASR中映射缓存所带来的影响，本发明提出了映射缓存门限机制。

根据本发明的一种基于映射请求的DDoS攻击检测和响应方法。在标识分离映射网络中，用户终端之间的通信首先需要发送映射请求来获得通信对方的AID-to-RID的映射关系，因此，当一个DDoS攻击发生时，映射请求流量也随之变化。

本发明结合了标识分离映射网络中身份与位置分离体系结构的特点，通过使用CUSUM算法来检测映射请求流量的变化，从而识别标识分离映射网络中的DDoS攻击，保障了合法用户或服务器的可用性。

一旦报警产生，两种有效地响应方法可以被实施去遏制异常的攻击流量，防止DDoS攻击的进一步恶化，提高了标识分离映射网络的安全性与可靠性。

通过判断映射请求流量的异常来诊断和识别标识分离映射网络中的DDoS攻击。在标识分离映射网络中，所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中。

当许多攻击者或者是僵尸主机向受害主机发送大量无用的数据包时，他们的接入交换路由器ASR首先向映射服务器发送映射请求，以获得受害主机的AID-to-RID映射信息。

因此，本发明在映射服务器中实施异常检测，映射服务器负责识别和诊断映射请求流量的异常，以检测标识分离映射网络中的DDoS攻击。

为了让映射服务器实时地产生报警，映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点。

一旦映射服务器为某一条AID-to-RID映射条目产生报警，映射服务器能够采用两种方法来响应DDoS攻击，从而遏制攻击流量进一步威胁受害主机。

方法一是通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量；方法二是映射服务器随机的响应映射请求来控制恶意的攻击流量。

另外，由于在每一个ASR中都存在一个映射缓存来暂时存储通信对端的映射信息，这就有可能降低检测的效率，为此，本发明提出了映射缓存门限机制来解决这个问题，即当映射请求的数量超过预定义的门限时，ASR将映射请求的数量主动汇报给映射服务器，映射服务器使用CUSUM算法统计映射请求的数量进行报警。

为了能够准确及时地检测出映射请求流量的突变点，映射服务器使用CUSUM算法完成异常报警。CUSUM算法是统计过程控制中常用的算法，该算法是对信息进行累加，将过程中的小偏移量累加起来，达到放大的效果，以便提高检测灵敏度。CUSUM算法在检测均值的小偏移时比较有效，而且根据点的倾斜程度的改变，可以方便、直观地检测到变化。

方法一是映射服务器与所有ASR协作来遏制恶意的攻击流量，即当产生报警时，映射服务器主动告知每个攻击者所在的接入交换路由器ASR，每个ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量。同时，可以采用数字签名技术digital signature technique保障映射服务器与ASR交互的控制信息的真实性。

方法二是随机响应映射请求或者预定义门限来控制恶意的攻击流量，即针对即将到来的关于受害主机的映射请求，映射服务器可以采用随机响应或预定义门限的方法来回答映射请求，也就是说，映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求，当映射请求的数量超过预定义门限时，映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。这种方法可以降低攻击者的数量，从而间接降低到达受害主机的攻击流量。

在标识分离映射网络中，每一个接入网中的ASR都拥有一个映射缓存来存储通信对端暂时的映射信息，每一条映射信息都拥有一个存活时间值(Time-to-Live)，即映射信息在映射缓存中的生命期，如果此条映射信息的计时器的计时时间超过其Time-to-Live值，则接入交换路由器将删除此条映射信息。这就存在一个问题：当大量攻击者同时属于同一个ASR时，会造成映射请求流量的降低，从而有可能降低检测的效率。为了解决这个问题，本发明提出了映射缓存门限机制：每一个ASR实时记录在一定时间内使用同一条映射信息的用户终端的数量，并将此数量主动汇报给映射服务器，映射服务器统计映射请求的数量进而检测异常。

本发明针对标识分离映射网络中存在的DDoS攻击，提出了一种基于映射请求的检测和响应DDoS攻击的方法。本发明能够监测映射请求流量的变化，通过映射请求流量的报警来间接诊断DDoS攻击的发生，能够在DDoS攻击发生时进行提前报警，有效地保障了合法用户或服务器的可用性。本发明不用考虑网络流量的复杂性与多维度性，由于映射请求流量的单一性与简单性，降低了检测的误报率，从而提高了DDoS攻击检测的效率。同时，本发明能够提供实时的响应方法来控制和遏制DDoS攻击流量，防止DDoS攻击的进一步恶化，提高了标识分离映射网络的安全性与可靠性。

Claims

1.一种基于映射请求的DDoS攻击检测和响应方法，其特征在于，该方法包括：在标识分离映射网络中，所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中，当用户终端之间通信时，首先发送映射请求以获得通信对方的AID-to-RID的映射关系，因此，在DDoS攻击产生危害之前就可进行报警；映射服务器实时监测映射请求流量的变化来判断和识别异常变化点，识别和诊断映射请求流量的异常，以检测标识分离映射网络中的DDoS攻击；当判断出映射请求流量的异常时，诊断和识别标识分离映射网络中的DDoS攻击，并且提前报警；当映射服务器为一条AID-to-RID映射条目产生报警时，映射服务器响应DDoS攻击，遏制异常的攻击流量，防止DDoS攻击的进一步恶化，从而遏制攻击流量进一步威胁受害主机。

2.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，映射服务器实时地产生报警，映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点；异常点检测算法还可以采用其他的基于统计过程的异常点检测算法，如小波分析法。

3.如权利要求1或2所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，当映射请求流量异常而产生报警时，映射服务器的响应方法有：方法一，通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量；或方法二，映射服务器随机地响应映射请求，以控制恶意的攻击流量。

4.如权利要求1-3其中之一所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，在每一个ASR中都存在一个映射缓存来暂时存储通信对端的映射信息，当映射请求的数量超过预定义的门限时，ASR将映射请求的数量主动汇报给映射服务器，映射服务器用CUSUM算法统计映射请求的数量以报警。

5.如权利要求3所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，如果采用方法一，当产生报警时，映射服务器主动告知每个攻击者所在的接入交换路由器ASR，每个ASR可以采用速率限制、或者是包过滤的方法来限制攻击流量，也可以采用数字签名技术保障映射服务器与ASR交互的控制信息的真实性。

6.如权利要求3所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，如果采用方法二，针对即将到来的关于受害主机的映射请求，映射服务器可以采用一个随机规则来进一步响应即将到来的映射请求。

7.如权利要求1-6其中之一所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，采用映射缓存门限机制，每一个ASR实时地记录在一定时间内使用同一条映射信息的用户终端的数量，并将此数量主动汇报给映射服务器，映射服务器统计映射请求的数量进而检测异常。

8.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，具体包括：当大量恶意攻击者发起DDoS攻击时，攻击者首先将攻击数据包发送至其所属的接入交换路由器；当这些接入交换路由器收到攻击者的恶意数据包时，每个接入交换路由器将向映射服务器发送映射请求，查询受害者的AID-to-RID映射信息；当映射服务器收到这些查询受害者映射关系的映射请求时，映射服务器通过CUSUM算法检测映射请求流量的异常突变点；若发现映射请求流量的异常突变点，则产生报警；否则，映射服务器正常回答接入交换路由器的映射请求；当映射服务器产生报警后，可以选择两种方法来控制或遏制DDoS攻击的恶意流量：方法一，映射服务器告知每个攻击者所属的接入交换路由器限制攻击流量；或方法二，映射服务器随机响应即将到来的映射请求；倘若映射服务器选取方法一，当攻击者的ASR收到映射服务器的通知后，攻击者的ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量；倘若映射服务器选取方法二，部分攻击者的ASR会收到映射服务器的映射请求响应，这些攻击者的ASR将不采取任何措施，正常转发攻击者的数据包。

9.如权利要求1或8所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，当映射请求流量异常而产生报警时，映射服务器可以采取两种方法进一步遏制DDoS攻击；方法一，当产生报警时，映射服务器主动告知每个攻击者所在的接入交换路由器ASR，每个ASR可以采用速率限制或者是包过滤的方法来限制攻击流量；同时，可以采用数字签名技术保障映射服务器与ASR交互的控制信息的真实性；方法二，映射服务器可以采用一个随机规则来进一步响应即将到来的映射请求。

10.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法，其特征在于，当大量攻击者属于同一个ASR向受害者发起DDoS攻击时，可以采用映射请求门限机制从ASR的映射缓存中解耦出映射请求流量，当受害者的AID-to-RID映射信息条目在接入交换路由器映射缓存中是处于活跃状态时，即此条映射信息的计时器的计时时间没有超过其Time-to-Live值，ASR将要在一定时间内记录最近使用这条映射信息的主机数量，倘若此数量超过了预先定义的映射请求门限值，则ASR将这个数量告知映射服务器。映射请求门限机制可以用公式表示为：

d (y_{n}) = \{\begin{matrix} y_{n} & if y_{n} &GreaterEqual; m; \\ 0 & otherwise . \end{matrix}