專利名稱:一種路由攻擊防御方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,具體涉及一種路由攻擊防御方法和裝置���。
背景技術(shù):
P2P對等網(wǎng)絡(luò)中的路由過程需要經(jīng)過多個中間節(jié)點互相配合完成��。惡意節(jié)點可能加入網(wǎng)絡(luò)�,對正常的路由過程進行攻擊���。P2P對等網(wǎng)絡(luò)中存在四種典型的路由攻擊ID竊取攻擊���、路由劫持攻擊、錯誤的路由轉(zhuǎn)發(fā)攻擊�����、路由表毒害攻擊�����。(I)ID竊取攻擊是指對等網(wǎng)絡(luò)中的惡意節(jié)點(malicious node)收到路由查詢消息時�,在自身不是查詢目標節(jié)點的情況下,將自身ID作為查詢結(jié)果插入查詢消息����,并將這種具有錯誤信息的查詢消息返回給查詢源節(jié)點(sourcenode)。(2)路由劫持攻擊是指對等網(wǎng)絡(luò)中的惡意節(jié)點收到路由查詢消息時��,從惡意節(jié)點列表中選擇一個ID插入查詢消息�����,并將這種具有錯誤信息的查詢消息返回給查詢源節(jié)
點ο(3)錯誤的路由轉(zhuǎn)發(fā)攻擊是指對等網(wǎng)絡(luò)中的惡意節(jié)點收到路由查詢消息時���,從路由表中隨機選擇一個節(jié)點ID�,作為查詢結(jié)果插入查詢消息,并將這種具有錯誤信息的查詢消息返回給查詢源節(jié)點��。(4)路由表毒害攻擊是指惡意節(jié)點主動向其他節(jié)點發(fā)送錯誤路由表更新消息�, 錯誤的路由表更新消息中包含受害節(jié)點(Victim Node) ID;這樣造成的結(jié)果是受害節(jié)點 ID大量(非正常的)存在于其他節(jié)點的路由表中,導(dǎo)致路由查詢時的流量都指向受害節(jié)點��, 形成針對受害節(jié)點的拒絕服務(wù)攻擊?,F(xiàn)有常見的路由安全機制包括以下幾種。(1)為實現(xiàn)P2P中的安全ID分配而部署的安全機制���。包括限制單個節(jié)點獲取節(jié)點 ID數(shù)目�,節(jié)點獲取節(jié)點ID時驗證節(jié)點證書����,通過哈希節(jié)點公鑰的方法生成節(jié)點ID等。(2)為實現(xiàn)P2P中的安全路由表更新而部署的安全機制��。包括基于路由路徑檢測的更新機制�����,對路由表更新消息的發(fā)起節(jié)點進行安全性檢測的機制(其中包括節(jié)點信任機制)等�。(3)為實現(xiàn)路由消息的成功傳輸而部署的安全機制����。包括不相交路徑傳輸機制�����; 以及在迭代路由中����,路由消息發(fā)起節(jié)點對路由消息轉(zhuǎn)發(fā)正確性的檢測等�。節(jié)點是P2P對等網(wǎng)絡(luò)的基本組成單元,節(jié)點的安全性對P2P對等網(wǎng)絡(luò)的穩(wěn)定運行和正常服務(wù)提供具有重要作用?���,F(xiàn)有技術(shù)中,主要針對某一種攻擊進行檢測并根據(jù)檢測的結(jié)果�,提出解決方案;但是��,由于P2P對等網(wǎng)絡(luò)中攻擊的多樣性�,單單針對某一種攻擊進行檢測防御,防御效果有限����,不能滿足可運營�、可管理P2P對等網(wǎng)絡(luò)的安全需求�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種路由攻擊防御方法和裝置��,以實現(xiàn)統(tǒng)一的路由攻擊防御���。為達到上述目的�����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種路由攻擊防御方法��,該方法包括根據(jù)消息類型對收到的消息進行過濾并獲得路由消息�;根據(jù)獲得的所述路由消息判斷是否受到路由攻擊��,并在確定受到路由攻擊時�,根據(jù)路由攻擊類型進行處理。所述路由消息包括以下之一或任意組合路由查詢請求消息�����、路由查詢響應(yīng)消息�����、 路由表更新消息。對于路由查詢響應(yīng)消息�,所述判斷是否受到路由攻擊的方法為如果消息內(nèi)容為目標關(guān)鍵字key的最終查詢結(jié)果,則檢查key與根節(jié)點RootNode 之間的距離�,并計算key、RootNode的平均值與約束因子的乘積���,再將所述距離與所述乘積進行比較;如果所述距離大于乘積�����,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊���;如果消息內(nèi)容為目標key的中間查詢結(jié)果�����,則檢查所述路由查詢響應(yīng)消息中指明的下一跳節(jié)點是否比上一次中間查詢結(jié)果中的下一跳節(jié)點在拓撲上更靠近目標key���,并在本次查詢結(jié)果比上一次中間查詢結(jié)果遠離目標key時確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊;對于路由表更新消息����,所述判斷是否受到路由攻擊的方法為根據(jù)路由表項中源節(jié)點與目的節(jié)點的估算距離�����,對所述目的節(jié)點進行查找����,將返回的節(jié)點與路由表更新消息中所述目的節(jié)點進行比較��,若不一致�����,則確認發(fā)生了路由表毒害攻擊����。所述處理為在受到路由攻擊時,通知P2P系統(tǒng)重新發(fā)起路由查詢���。該方法進一步包括根據(jù)路由攻擊類型進行處理時����,驗證是否有惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻
擊ο一種路由攻擊防御裝置�����,該裝置包括過濾子模塊、檢測子模塊����、響應(yīng)子模塊;其中�,所述過濾子模塊,用于根據(jù)消息類型對收到的消息進行過濾并將獲得的路由消息提交給所述檢測子模塊�;所述檢測子模塊,用于根據(jù)獲得的所述路由消息�����,判斷是否受到路由攻擊�����,并在確定受到路由攻擊時通知所述響應(yīng)子模塊�����;所述響應(yīng)子模塊�,用于根據(jù)檢測子模塊檢測到的路由攻擊類型�,進行處理。所述路由消息包括以下之一或任意組合路由查詢請求消息���、路由查詢響應(yīng)消息���、 路由表更新消息�。對于路由查詢響應(yīng)消息�,所述檢測子模塊用于如果消息內(nèi)容為目標key的最終查詢結(jié)果,則檢查key與RootNode之間的距離��, 并計算key�、RootNode的平均值與約束因子的乘積,再將所述距離與所述乘積進行比較���;如果所述距離大于乘積����,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊��;如果消息內(nèi)容為目標key的中間查詢結(jié)果����,則檢查所述路由查詢響應(yīng)消息中指明的下一跳節(jié)點是否比上一次中間查詢結(jié)果中的下一跳節(jié)點在拓撲上更靠近目標key,并在本次查詢結(jié)果比上一次中間查詢結(jié)果遠離目標key時�,確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊;
對于路由表更新消息,所述檢測子模塊用于根據(jù)路由表項中源節(jié)點與目的節(jié)點的估算距離���,對所述目的節(jié)點進行查找����,將返回的節(jié)點與路由表更新消息中所述目的節(jié)點進行比較���,若不一致�,則確認發(fā)生了路由表毒害攻擊�。所述響應(yīng)子模塊用于在受到路由攻擊時,通知P2P系統(tǒng)重新發(fā)起路由查詢���。該裝置進一步包括協(xié)作子模塊����,與所述檢測子模塊����、響應(yīng)子模塊連接����,用于在所述響應(yīng)子模塊根據(jù)所述檢測子模塊檢測到的攻擊類型進行處理時,驗證是否有惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻擊。本發(fā)明路由攻擊防御的方法和裝置���,不再單單針對某一種攻擊進行防御�����,明顯提高了防御效果��,能夠滿足可運營�����、可管理P2P對等網(wǎng)絡(luò)的安全需求����。另外����,所提出的統(tǒng)一和通用的路由攻擊防御結(jié)構(gòu),能夠?qū)崿F(xiàn)統(tǒng)一的路由攻擊防御�����,這有利于將P2P對等網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行部署����。
圖1為本發(fā)明一實施例的路由攻擊防御裝置圖�;圖2為本發(fā)明一實施例的路由攻擊防御流程圖�����;圖3為本發(fā)明的路由攻擊防御流程簡圖�����。
具體實施例方式為實現(xiàn)對典型路由攻擊的自動免疫����,可以如圖1所示在由P2P系統(tǒng)(SYS)和路由表組成的節(jié)點功能模塊的基礎(chǔ)上,增加自免疫模塊�����。并將自免疫模塊分成四個子模塊過濾子模塊��、檢測子模塊���、協(xié)作子模塊、響應(yīng)子模塊���?��?傮w而言��,過濾子模塊能夠根據(jù)消息類型�����,對收到的消息進行過濾分類并將過濾后得到的路由消息提交給檢測子模塊�。所述路由消息可以包括路由查詢響應(yīng)消息��、路由表更新消息等��。檢測子模塊根據(jù)從過濾子模塊收到的消息�,對節(jié)點是否受到路由攻擊做出判斷, 并根據(jù)判斷結(jié)果觸發(fā)響應(yīng)子模塊進行防御�。對于路由查詢響應(yīng)消息,可以根據(jù)消息內(nèi)容分別進行檢測�。(a)如果消息內(nèi)容為目標關(guān)鍵字(key)的最終查詢結(jié)果,則檢查key與根節(jié)點(RootNode)之間的距離���,并計算 key.RootNode的平均值與約束因子的乘積����,再將所述距離與所述乘積進行比較。如果所述距離大于乘積��,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊����,進而由響應(yīng)子模塊進行后續(xù)處理。(b)如果消息內(nèi)容為目標key的中間查詢結(jié)果�����,則檢查所述路由查詢響應(yīng)消息中指明的下一跳節(jié)點是否比上一次中間查詢結(jié)果中的下一跳節(jié)點在拓撲上更靠近目標key����,并在本次查詢結(jié)果遠離目標key時確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊,進而由響應(yīng)子模塊進行后續(xù)處理�����。對于路由表更新消息�,節(jié)點會主動發(fā)起路由查詢請求,對路由表項中的理論節(jié)點進行查找����。如果返回的結(jié)果與收到的路由表更新消息不一致,則確認發(fā)生了路由表毒害攻
擊ο響應(yīng)子模塊能夠按照檢測子模塊的指令工作�����。如在檢測子模塊確認發(fā)生了路由攻擊時�����,檢測子模塊能夠?qū)⒃撀酚晒羟闆r通知給響應(yīng)子模塊��,由響應(yīng)子模塊重新發(fā)起路由查詢��,使節(jié)點獲取正常的路由查詢結(jié)果或者確保路由表項更新的正確性�����。協(xié)作子模塊能夠負責(zé)節(jié)點之間的協(xié)調(diào)�����。如當節(jié)點懷疑某個惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻擊時�����,可以通過協(xié)作子模塊聯(lián)絡(luò)網(wǎng)絡(luò)中的其它節(jié)點�����,以驗證該判斷是否正確。具體而言���,圖1中各子模塊所能實現(xiàn)的操作包括(1)過濾子模塊根據(jù)消息類型����,對收到的路由消息進行過濾分類并分別提交給檢測子模塊和P2P SYS (P2P系統(tǒng))�。過濾子模塊從接口 1接收來自overlay層的原始數(shù)據(jù)流,原始數(shù)據(jù)流包括路由消息���,如路由查詢請求消息�、路由查詢響應(yīng)消息和路由表更新消息�。過濾子模塊向接口 2發(fā)送路由表更新消息。過濾子模塊向接口 3發(fā)送路由查詢請求消息��、路由查詢響應(yīng)消息和路由表更新消肩����、ο(2)檢測子模塊根據(jù)從過濾子模塊收到的消息,對是否受到攻擊進行判斷����,并根據(jù)判斷結(jié)果觸發(fā)響應(yīng)子模塊進行防御。檢測子模塊從接口 3接收路由查詢請求消息、路由查詢響應(yīng)消息和路由表更新消肩���、ο檢測子模塊從接口 5接收路由獲取響應(yīng)消息���。檢測子模塊向接口 5發(fā)送路由獲取消息����。檢測子模塊向接口 6發(fā)送檢測結(jié)果消息。消息內(nèi)容為受到路由攻擊的類型及攻擊消息的內(nèi)容����。檢測子模塊從接口 7接收其他節(jié)點發(fā)來的檢測協(xié)作請求消息。檢測子模塊向接口 7發(fā)送檢測協(xié)作響應(yīng)消息���。對于路由查詢響應(yīng)消息�,可以應(yīng)用如下方式根據(jù)消息類型分別進行檢測(1)如果消息內(nèi)容為目標key的最終查詢結(jié)果���,則檢查目標key與RootNode之間的距離����,將該距離與P2P對等網(wǎng)絡(luò)中key與RootNode的平均值進行比較�,如果所述距離大于平均值,且差值超出預(yù)定義閾值,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊�,進而由響應(yīng)子模塊進行后續(xù)處理。文中的Key與RootNode是基于關(guān)鍵字的路由(Key Based Routing, KBR)中的概念��。Key通常為與文件標識符對應(yīng)的一個字符串���。該字符串一般通過哈希得到�����。RootNode 是負責(zé)某個或某幾個Key的節(jié)點��。每個RootNode都有一個與Key格式相同的Node ID����。(2)如果消息內(nèi)容為目標key的中間查詢結(jié)果�����,則檢查消息中指明的下一跳節(jié)點是否比上一次中間查詢消息中的下一跳節(jié)點更靠近目標key�。如果本次查詢結(jié)果遠離目標 key,則確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊�����,進而由響應(yīng)子模塊進行后續(xù)處理。對于路由表更新消息�����,節(jié)點會主動發(fā)起路由查詢請求���,對路由表項中的理論節(jié)點進行查找���。如果返回的結(jié)果與收到的路由表更新消息不一致�,則確認發(fā)生了路由表毒害攻擊ο(3)響應(yīng)子模塊按照檢測子模塊的指令工作。主要任務(wù)是在確定發(fā)生路由攻擊時重新發(fā)起路由查詢�,使節(jié)點獲取正常的路由查詢結(jié)果及確保路由表項的正確性。
響應(yīng)子模塊從接口 6接收檢測結(jié)果消息��。響應(yīng)子模塊向接口 4發(fā)出路由查詢觸發(fā)消息����。響應(yīng)子模塊向接口 8發(fā)出攻擊事件通知消息。(4)協(xié)作子模塊負責(zé)節(jié)點之間的協(xié)調(diào)���。如當節(jié)點懷疑某個惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻擊時���,可以通過協(xié)作子模塊聯(lián)絡(luò)網(wǎng)絡(luò)中的其它節(jié)點,以驗證該判斷是否正確。協(xié)作子模塊向接口 7發(fā)出檢測協(xié)作請求消息��。協(xié)作子模塊從接口 7接收檢測協(xié)作響應(yīng)消息�����。協(xié)作子模塊從接口 8接收攻擊事件通知消息����。協(xié)作子模塊向接口 9發(fā)出檢測協(xié)作請求消息。協(xié)作子模塊從接口 9接收檢測協(xié)作響應(yīng)消息�。協(xié)作子模塊向接口 9發(fā)出攻擊事件通知消息。檢測子模塊從接口 7接收攻擊事件通知消息����。在實際應(yīng)用時,可以參考表1以獲知模塊接口與消息類型之間的對應(yīng)關(guān)系
權(quán)利要求
1.一種路由攻擊防御方法����,其特征在于,該方法包括 根據(jù)消息類型對收到的消息進行過濾并獲得路由消息��;根據(jù)獲得的所述路由消息判斷是否受到路由攻擊���,并在確定受到路由攻擊時��,根據(jù)路由攻擊類型進行處理�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述路由消息包括以下之一或任意組合 路由查詢請求消息�����、路由查詢響應(yīng)消息���、路由表更新消息�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,對于路由查詢響應(yīng)消息,所述判斷是否受到路由攻擊的方法為 如果消息內(nèi)容為目標關(guān)鍵字key的最終查詢結(jié)果�����,則檢查key與根節(jié)點RootNode之間的距離,并計算key�����、RootNode的平均值與約束因子的乘積��,再將所述距離與所述乘積進行比較����;如果所述距離大于乘積,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊���;如果消息內(nèi)容為目標key的中間查詢結(jié)果����,則檢查所述路由查詢響應(yīng)消息中指明的下一跳節(jié)點是否比上一次中間查詢結(jié)果中的下一跳節(jié)點在拓撲上更靠近目標key����,并在本次查詢結(jié)果比上一次中間查詢結(jié)果遠離目標key時確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊; 對于路由表更新消息�,所述判斷是否受到路由攻擊的方法為 根據(jù)路由表項中源節(jié)點與目的節(jié)點的估算距離,對所述目的節(jié)點進行查找�,將返回的節(jié)點與路由表更新消息中所述目的節(jié)點進行比較,若不一致�,則確認發(fā)生了路由表毒害攻擊ο
4.根據(jù)權(quán)利要求1至3任一項所述的方法����,其特征在于��,所述處理為 在受到路由攻擊時����,通知P2P系統(tǒng)重新發(fā)起路由查詢。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于�,該方法進一步包括根據(jù)路由攻擊類型進行處理時��,驗證是否有惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻擊��。
6.一種路由攻擊防御裝置���,其特征在于,該裝置包括過濾子模塊�、檢測子模塊、響應(yīng)子模塊�;其中,所述過濾子模塊����,用于根據(jù)消息類型對收到的消息進行過濾并將獲得的路由消息提交給所述檢測子模塊�;所述檢測子模塊����,用于根據(jù)獲得的所述路由消息,判斷是否受到路由攻擊���,并在確定受到路由攻擊時通知所述響應(yīng)子模塊�����;所述響應(yīng)子模塊����,用于根據(jù)檢測子模塊檢測到的路由攻擊類型�����,進行處理���。
7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于���,所述路由消息包括以下之一或任意組合 路由查詢請求消息�、路由查詢響應(yīng)消息��、路由表更新消息�。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���, 對于路由查詢響應(yīng)消息�,所述檢測子模塊用于如果消息內(nèi)容為目標key的最終查詢結(jié)果�,則檢查key與RootNode之間的距離,并計算key����、RootNode的平均值與約束因子的乘積,再將所述距離與所述乘積進行比較�����;如果所述距離大于乘積�����,則確認發(fā)生了 ID竊取攻擊或路由劫持攻擊���;如果消息內(nèi)容為目標key的中間查詢結(jié)果�����,則檢查所述路由查詢響應(yīng)消息中指明的下一跳節(jié)點是否比上一次中間查詢結(jié)果中的下一跳節(jié)點在拓撲上更靠近目標key��,并在本次查詢結(jié)果比上一次中間查詢結(jié)果遠離目標key時��,確認發(fā)生了錯誤的路由轉(zhuǎn)發(fā)攻擊����;對于路由表更新消息����,所述檢測子模塊用于根據(jù)路由表項中源節(jié)點與目的節(jié)點的估算距離,對所述目的節(jié)點進行查找��,將返回的節(jié)點與路由表更新消息中所述目的節(jié)點進行比較��,若不一致�����,則確認發(fā)生了路由表毒害攻擊。
9.根據(jù)權(quán)利要求6至8任一項所述的裝置�����,其特征在于�����,所述響應(yīng)子模塊用于在受到路由攻擊時��,通知P2P系統(tǒng)重新發(fā)起路由查詢�����。
10.根據(jù)權(quán)利要求9所述的裝置�����,其特征在于����,該裝置進一步包括協(xié)作子模塊,與所述檢測子模塊����、響應(yīng)子模塊連接��,用于在所述響應(yīng)子模塊根據(jù)所述檢測子模塊檢測到的攻擊類型進行處理時�����,驗證是否有惡意節(jié)點正在發(fā)動分布式拒絕服務(wù)攻擊。
全文摘要
本發(fā)明公開了一種路由攻擊防御方法和裝置�����,均可根據(jù)消息類型對收到的消息進行過濾并獲得路由消息��;根據(jù)獲得的所述路由消息判斷是否受到路由攻擊���,并在確定受到路由攻擊時���,根據(jù)路由攻擊類型進行處理。本發(fā)明路由攻擊防御的方法和裝置���,不再單單針對某一種攻擊進行防御��,明顯提高了防御效果�����,能夠滿足可運營�����、可管理P2P對等網(wǎng)絡(luò)的安全需求��。另外����,所提出的統(tǒng)一和通用的路由攻擊防御結(jié)構(gòu),能夠?qū)崿F(xiàn)統(tǒng)一的路由攻擊防御��,這有利于將P2P對等網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行部署�。
文檔編號H04L12/56GK102291371SQ20101020588
公開日2011年12月21日 申請日期2010年6月21日 優(yōu)先權(quán)日2010年6月21日
發(fā)明者孫崇偉, 裘曉峰, 陳書義, 高峰 申請人:中興通訊股份有限公司