專利名稱:P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法
技術領域:
本發(fā)明屬于網(wǎng)絡安全技術領域��,特別是涉及一種P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法���。
背景技術:
P2P (Peer-To-Peer,對等網(wǎng)絡)網(wǎng)絡是一種與傳統(tǒng)的客戶機/服務器(C/S)的集中式結構不同的分散式網(wǎng)絡結構��,它屬于一種分布式網(wǎng)絡���,網(wǎng)絡的參與者共享所擁有的一部分資源�����,這些共享資源由網(wǎng)絡提供服務和內(nèi)容�,能被其它對等結點直接訪問而無需經(jīng)過中間實體���。在P2P網(wǎng)絡中�,參與者既是資源(服務和內(nèi)容)提供者�,又是資源獲取者。隨著網(wǎng)絡技術和計算機技術的快速融合��,基于互聯(lián)網(wǎng)的應用呈現(xiàn)出爆炸式的發(fā)展 態(tài)勢。由于P2P節(jié)點不依賴中心節(jié)點而是依靠網(wǎng)絡邊緣節(jié)點��,實現(xiàn)自組織與對等協(xié)作的資源發(fā)現(xiàn)和共享����,因此擁有自組織、可擴展性�����、魯棒性�����、容錯性以及負載均衡等優(yōu)點��?;赑2P技術的各類應用近年來逐漸占據(jù)了互聯(lián)網(wǎng)應用中的重要地位��。P2P技術被廣泛應用于文件共享���、網(wǎng)絡視頻�����、網(wǎng)絡電話等領域����。P2P網(wǎng)絡環(huán)境的靈活和開放性決定了其不安全性,從而也帶來了很多問題和挑戰(zhàn)�����。在P2P的資源安全中���,DDoS (分布式拒絕服務)攻擊是對資源可用性的主要威脅之一����。利用P2P協(xié)議的漏洞可遠程控制網(wǎng)絡中大量計算機���,形成一個用于發(fā)動DDoS攻擊的“僵尸網(wǎng)絡”����,來產(chǎn)生足夠大的流量��,導致目標計算機癱瘓�����,即使目標計算機不屬于P2P網(wǎng)絡的一部分,如DNS服務器�,也能到達相同的影響。現(xiàn)有技術中基于P2P網(wǎng)絡中的DDoS攻擊的防御技術主要分為幾下幾類第一類�����,基于驗證的防御方法該類方法是指P2P節(jié)點收到任何消息后���,首先通過一定措施驗證消息中包含的地址是否有效���,驗證成功后再使用該信息。這是當前研究最多的一類方法��。只有當P2P網(wǎng)絡中的認證技術絕對安全時�����,該方法才可靠���,但是,目前在P2P網(wǎng)絡中的認證技術也是一個難題��,還沒有一套完整可信的解決方案��。第二類,基于信譽的防御方法該類方法是指在P2P節(jié)點之間建立信譽機制����,根據(jù)交互歷史和預期,確定節(jié)點消息的可信度���。這類方法對于利用大量網(wǎng)段進行攻擊的情況防御效果并不好�����;另外���,攻擊者可以通過自己建立或者控制大量超級節(jié)點,以提高攻擊網(wǎng)段的全局信譽值����,所以這類方法在實現(xiàn)時有一定的限制。第三類��,基于成員管理的防御方法這類方法是指通過改進P2P系統(tǒng)的通信架構以改變成員間的合作關系����,從而來防御DDos攻擊。這類方法都需要修改現(xiàn)行P2P協(xié)議�����,并且增加了 P2P層疊網(wǎng)絡流量。第四類���,受害者端的防御方法該類方法是指通過在受害者端采取和部署特定的防御措施����,過濾攻擊報文�,以減輕其被攻擊的影響。這類方法大多是從一般網(wǎng)絡中抵御DDoS攻擊的方法中移植過來的����,在P2P網(wǎng)絡中還不太成熟有效
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法,其通過在P2P網(wǎng)絡中建立簡單有效的節(jié)點分級評價機制�����,達到抵御DDoS攻擊的目的����。本發(fā)明是通過下述技術方案來解決上述技術問題的一種P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法,其特征在于����,所述P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法包括以下步驟步驟一,以數(shù)據(jù)采集周期進行周期性地采集節(jié)點所需要的輸入?yún)?shù)�,輸入?yún)?shù)主要包括節(jié)點的數(shù)據(jù)總流量、數(shù)據(jù)轉(zhuǎn)發(fā)流量���、節(jié)點和網(wǎng)絡發(fā)送數(shù)據(jù)的延時和成功發(fā)送數(shù)據(jù)包總量���;步驟二,以數(shù)據(jù)分析周期進行周期性地對采集到的輸入?yún)?shù)進行分析��,計算出節(jié)點當前的分級值和相應的數(shù)據(jù)轉(zhuǎn)發(fā)率�;
首先,將接收的輸入?yún)?shù)形成四個分級因子���,四個分級因子包括流量因子���、轉(zhuǎn)發(fā)因子、發(fā)送數(shù)據(jù)延時因子和丟包因子��,并對各分級因子進行歸一化處理��;然后����,將上述歸一化處理后的四個分級因子合成�����,計算出節(jié)點當前的分級值����;最后��,根據(jù)不同的節(jié)點分級值計算出最合適的數(shù)據(jù)轉(zhuǎn)發(fā)率�;步驟三,以數(shù)據(jù)轉(zhuǎn)發(fā)周期進行周期性地依據(jù)各節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)率實施數(shù)據(jù)的轉(zhuǎn)發(fā)�����,對DDoS攻擊進行抑制防御��。優(yōu)選地�����,所述步驟一中的數(shù)據(jù)采集周期�、步驟二中的數(shù)據(jù)分析周期和步驟三中的數(shù)據(jù)轉(zhuǎn)發(fā)周期是由P2P網(wǎng)絡規(guī)模、節(jié)點數(shù)和網(wǎng)絡所提供服務類型因素共同決定���,在實施時根據(jù)實際情況而設置���。優(yōu)選地����,所述步驟二中歸一化處理使用的具體公式為
權利要求
1.一種P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法����,其特征在于�����,所述P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法包括以下步驟 步驟一�,以數(shù)據(jù)采集周期進行周期性地采集節(jié)點所需要的輸入?yún)?shù),輸入?yún)?shù)主要包括節(jié)點的數(shù)據(jù)總流量�����、數(shù)據(jù)轉(zhuǎn)發(fā)流量�����、節(jié)點和網(wǎng)絡發(fā)送數(shù)據(jù)的延時和成功發(fā)送數(shù)據(jù)包總量; 步驟二���,以數(shù)據(jù)分析周期進行周期性地對采集到的輸入?yún)?shù)進行分析��,計算出節(jié)點當前的分級值和相應的數(shù)據(jù)轉(zhuǎn)發(fā)率���; 首先�����,將接收的輸入?yún)?shù)形成四個分級因子�����,四個分級因子包括流量因子�����、轉(zhuǎn)發(fā)因子��、發(fā)送數(shù)據(jù)延時因子和丟包因子����,并對各分級因子進行歸一化處理����; 然后,將上述歸一化處理后的四個分級因子合成,計算出節(jié)點當前的分級值��; 最后��,根據(jù)不同的節(jié)點分級值計算出最合適的數(shù)據(jù)轉(zhuǎn)發(fā)率��; 步驟三�����,以數(shù)據(jù)轉(zhuǎn)發(fā)周期進行周期性地依據(jù)各節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)率實施數(shù)據(jù)的轉(zhuǎn)發(fā)�,對DDoS攻擊進行抑制防御�����。
2.如權利要求I所述的P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法�����,其特征在于��,所述步驟一中的數(shù)據(jù)采集周期����、步驟二中的數(shù)據(jù)分析周期和步驟三中的數(shù)據(jù)轉(zhuǎn)發(fā)周期是由P2P網(wǎng)絡規(guī)模、節(jié)點數(shù)和網(wǎng)絡所提供服務類型因素共同決定,在實施時根據(jù)實際情況而設置����。
3.如權利要求I所述的P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法,其特征在于���,所述步驟二中歸一化處理使用的具體公式為 其中X為歸一化前的特征值�����,max (χ)和min (X)分別表示對χ取最大值和最小值����,X’為歸一化后的特征值����。
4.如權利要求I所述的P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法,其特征在于����,所述P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法采用數(shù)據(jù)收集模塊、數(shù)據(jù)通信模塊����、分析模塊和防御模塊��,數(shù)據(jù)收集模塊�����、分析模塊����、防御模塊都與數(shù)據(jù)通信模塊連接��,其中 所述數(shù)據(jù)收集模塊負責周期性地采集所需要的輸入?yún)?shù)�,并把收集到的各類數(shù)據(jù)經(jīng)由數(shù)據(jù)通信模塊傳輸至分析模塊; 所述分析模塊周期性地對采集到的參數(shù)進行分析����,并通過數(shù)據(jù)通信模塊傳輸至防御模塊�����; 所述防御模塊周期性地對各節(jié)點實施數(shù)據(jù)的轉(zhuǎn)發(fā)�����,實現(xiàn)對DDoS攻擊進行抑制防御��; 所述數(shù)據(jù)通信模塊負責在數(shù)據(jù)收集模塊、分析模塊和防御模塊之間進行數(shù)據(jù)傳輸和通 目; 所述數(shù)據(jù)收集模塊��、數(shù)據(jù)通信模塊和防御模塊在P2P網(wǎng)絡的各節(jié)點上實現(xiàn)��; 所述分析模塊采取集中管理模式��,指令P2P網(wǎng)絡中的一個節(jié)點為分級管理中心�,對各節(jié)點的分級值和轉(zhuǎn)發(fā)率加以存儲和管理。
全文摘要
本發(fā)明公開了一種P2P網(wǎng)絡中基于節(jié)點分級的DDoS攻擊防御方法�����,其包括以下步驟步驟一�,以數(shù)據(jù)采集周期進行周期性地采集節(jié)點所需要的輸入?yún)?shù),輸入?yún)?shù)主要包括節(jié)點的數(shù)據(jù)總流量����、數(shù)據(jù)轉(zhuǎn)發(fā)流量、節(jié)點和網(wǎng)絡發(fā)送數(shù)據(jù)的延時和成功發(fā)送數(shù)據(jù)包總量�����;步驟二���,以數(shù)據(jù)分析周期進行周期性地對采集到的輸入?yún)?shù)進行分析��,計算出節(jié)點當前的分級值和相應的數(shù)據(jù)轉(zhuǎn)發(fā)率���;步驟三�,以數(shù)據(jù)轉(zhuǎn)發(fā)周期進行周期性地依據(jù)各節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)率實施數(shù)據(jù)的轉(zhuǎn)發(fā)���,對DDoS攻擊進行抑制防御�����。本發(fā)明通過在P2P網(wǎng)絡中建立簡單有效的節(jié)點分級評價機制���,達到抵御DDoS攻擊的目的。
文檔編號H04L29/06GK102882883SQ20121038280
公開日2013年1月16日 申請日期2012年10月11日 優(yōu)先權日2012年10月11日
發(fā)明者顧曉清, 倪彤光, 薛磊 申請人:常州大學