一種防御DoS攻擊的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息技術(shù)領(lǐng)域��,具體為一種防御DoS攻擊的方法����。
【背景技術(shù)】
[0002]隨著計算機網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)安全問題日益突出��。傳統(tǒng)的防火墻由于無法控制網(wǎng)絡(luò)內(nèi)用戶的行為���、無法處理合法用戶的非法行為以及不能阻止未知惡意代碼的攻擊等局限性�,已無法滿足某些部門的需要。作為對防火墻這種靜態(tài)防護技術(shù)的補充�;入侵檢測系統(tǒng)以其動態(tài)防護特點而成為解決網(wǎng)絡(luò)安全問題的新策略,然而不容忽視IDS自身的安全問題�����,由于IDS的特殊性����,其往往最先受到黑客的攻擊����,各種攻擊之中,對IDS最致命的就是拒絕服務(wù)攻擊����。
[0003]根據(jù)IDS資源使用層次和保護級別的不同,存在以下幾種對抗DoS攻擊的方法:
1.1DS主動響應(yīng)
某些IDS可以增改外部路由器和防火墻的過濾規(guī)則�����,在IDS探測器檢測到DoS攻擊之后��,可以迅速地重新配置相應(yīng)的路由規(guī)則來阻止攻擊;但這種方法存在以下缺點:(I)為了實時響應(yīng)并有效阻止flooding DoS攻擊���,IDS必須控制大部分路由器���;(2)經(jīng)常改變路由器的過濾規(guī)則會降低其性能從而影響正常合法的通訊;(3) IDS往往需要一定時間來檢測攻擊并對其做出響應(yīng)����,攻擊者可利用這個時間間隙來對IDS發(fā)動DoS攻擊。
[0004]2.設(shè)計純分布式IDS
純分布式IDS的部件之間不相互依賴�,具有很好的容錯性,能有效地對抗多種DoS攻擊�����,但因開銷和復(fù)雜度等因素的影響��,很難設(shè)計出一個實用化的系統(tǒng)����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明旨在克服現(xiàn)有技術(shù)的不足,基于分布式IDS結(jié)構(gòu)����,提供一種系統(tǒng)結(jié)構(gòu)簡單��、容錯性強且易于部署的防御DoS攻擊的方法�。
[0006]本發(fā)明提供的一種防御DoS攻擊的方法�,該方法基于分布式IDS機構(gòu),首先通過制定機構(gòu)內(nèi)安全主機間建立連接的規(guī)則使攻擊者無法通過網(wǎng)絡(luò)掃描和數(shù)據(jù)包監(jiān)聽來定位關(guān)鍵IDS部件����;其次在IDS受到攻擊時,利用移動agent技術(shù)轉(zhuǎn)移關(guān)鍵部件�����,并且用備份agent實時替代失效的關(guān)鍵agent保證IDS機構(gòu)的完整性�。
[0007]所述IDS機構(gòu)包括通過總線通信的若干域,所述域內(nèi)包括與總線之間通信的主干以及與主干間進(jìn)行通信的若干區(qū)域���;所述主干中包括關(guān)鍵主機構(gòu)成的關(guān)鍵集以及代理主機構(gòu)成的代理集,所述區(qū)域中包括子主機構(gòu)成的子集���;各主機上運行各對應(yīng)agent�。
[0008]所述機構(gòu)內(nèi)安全主機間建立連接的規(guī)則具體為:首先主機之間采用shal或者M(jìn)D5加密的方式進(jìn)行信息摘要加密�����,其次,使用時間戳加隨機數(shù)方式防止重放攻擊�����。
[0009]本發(fā)明采用以上技術(shù)方案與現(xiàn)有技術(shù)相比�����,具有以下技術(shù)效果:
該防御DoS攻擊的方法基于IDS機構(gòu)���,通過對移動agent的移動范圍以及主機間建立連接的相關(guān)規(guī)則做限制����,有效隔離了關(guān)鍵部件與其他部件間的通信��,使攻擊者無法通過網(wǎng)絡(luò)掃描和數(shù)據(jù)包監(jiān)聽來定位關(guān)鍵IDS部件�����;一旦受到攻擊���,移動agent將關(guān)鍵部件轉(zhuǎn)移����,并用備份的agent來替代受到攻擊失效的agent,始終保持IDS機構(gòu)的完整性��。
【附圖說明】
[0010]以下將結(jié)合附圖對本發(fā)明作進(jìn)一步說明:
圖1為本發(fā)明中分布式IDS機構(gòu)的整體結(jié)構(gòu)圖���;
圖2為本發(fā)明中分布式IDS機構(gòu)的一個域的網(wǎng)絡(luò)架構(gòu)圖�。
【具體實施方式】
[0011]本發(fā)明提供一種防御DoS攻擊的方法����,為使本發(fā)明的目的,技術(shù)方案及效果更加清楚�����,明確����,以及參照附圖并舉實例對本發(fā)明進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解�����,此處所描述的具體實施僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。
[0012]如圖1至2所示�����,本發(fā)明提供的防御DoS攻擊的方法基于以下IDS機構(gòu)模型:
把路由器�����、主機等各種網(wǎng)絡(luò)設(shè)備分成一些集合�����,包含所有設(shè)備的總集叫機構(gòu)(enter-prise)����,機構(gòu)由許多域(domain)組成,域之間通過機構(gòu)總線(enterprisebus)通信��,每個域中有一個主干(backbone)和一些區(qū)域(reg1n)��,主干中的網(wǎng)絡(luò)設(shè)備(如防火墻���、交換機等)都具有一定的抗攻擊性����,區(qū)域中一般只有主機和服務(wù)器,主干直接與總線相連�����,機構(gòu)總線可能包含部分Internet或其他公共網(wǎng)絡(luò)�����,主干里的網(wǎng)絡(luò)設(shè)備之間以高帶寬線路相連���,此高帶寬線路與攻擊者可以訪問的公共網(wǎng)絡(luò)相連���,區(qū)域僅與它所在域的主干相連。
[0013]三種安全主機--關(guān)鍵(critical)主機����、代理(proxy)主機和子(child)主機組成三種集合一一關(guān)鍵集、代理集和子集���,相應(yīng)地存在三種移動agent:關(guān)鍵agent����、代理agent和子agent�,為防止被攻擊者發(fā)現(xiàn)��,關(guān)鍵主機與非關(guān)鍵主機的通信經(jīng)過一個中介一代理主機,關(guān)鍵主機和代理主機位于主干內(nèi)�����,子主機位于區(qū)域內(nèi)��,各agent分別位于各種主機內(nèi)��,關(guān)鍵agent進(jìn)行入侵檢測分析�����、控制��,是防止系統(tǒng)遭受攻擊的最重要的部分���,子agent負(fù)責(zé)采集和分析各種事件����。代理agent提供子agent與關(guān)鍵agent之間的通信服務(wù)��。
[0014]系統(tǒng)安全模型正在由最初的靜態(tài)系統(tǒng)模型逐漸過渡到動態(tài)安全模型��,IDS作為一種積極主動的安全防護技術(shù)對網(wǎng)絡(luò)安全起著不可估量的作用,正因為如此�,攻擊者就會在攻擊目標(biāo)網(wǎng)絡(luò)之前,先攻擊IDS使其癱瘓���,我們認(rèn)為DoS攻擊是對IDS的最大威脅�,本文在詳細(xì)分析了分布式IDS的缺陷以及攻擊者的攻擊方法之后�,提出了一種基于移動agent的分布式IDS模型,分析表明此模型具有較強抗攻擊性�����,能很好地對抗DoS攻擊���。
[0015]本方法基于該方法基于上述分布式IDS機構(gòu)���,首先通過制定機構(gòu)內(nèi)安全主機間建立連接的規(guī)則使攻擊者無法通過網(wǎng)絡(luò)掃描和數(shù)據(jù)包監(jiān)聽來定位關(guān)鍵IDS部件;其次在IDS受到攻擊時����,利用移動agent技術(shù)轉(zhuǎn)移關(guān)鍵部件,并且用備份agent實時替代失效的關(guān)鍵agent保證IDS機構(gòu)的完整性�。
[0016]由于總線可能包含公共網(wǎng)絡(luò)或Internet,因此域之間通過總線通信時����,對信息的驗證和加密必不可少�����,域內(nèi)的三種主機及agent只允許以特定的方式通信,移動agent能在它所屬的集內(nèi)隨意移動�����。由于采集事件的子agent所在的區(qū)域可能不太安全��,所以為防止惡意agent的傳播��,僅允許子agent在代理集和區(qū)域之間移動�;另外也不允許代理agent移動到關(guān)鍵集內(nèi),因為代理agent提供子agent與關(guān)鍵agent之間的通信服務(wù)�����,而子agent所在的區(qū)域可能存在攻擊者����,這樣就可能暴露關(guān)鍵主機的位置。此外����,還禁止一個集內(nèi)的agent申請與其他集內(nèi)的agent連接�,這里所說的申請連接類似于建立TCP連接���,一旦連接建立��。就由連接雙方?jīng)Q定傳送的內(nèi)容�����,這就存在極大的安全隱患����;本模型中有兩個申請連接的限制�,一是為了避免子集內(nèi)的攻擊者發(fā)現(xiàn)關(guān)鍵主機的位置,不允許關(guān)鍵主機申請與子主機的連接��。二是不允許子集內(nèi)的主機申請與其他集內(nèi)主機的連接���,這個限制是為了使子主機不知道其他集內(nèi)安全主機的位置���,因為子主機是可攻破的,而其所在的區(qū)域又可能存在攻擊者,這樣子主機及其相應(yīng)的agent僅僅知道與其通信的代理agent的位置����,這是加強模型安全性的一個重要特性。代理agent的作用僅是路由網(wǎng)絡(luò)通信��,規(guī)定每個區(qū)域僅由惟一的代理主機來代理�,這樣區(qū)域內(nèi)的攻擊者通過sniffing僅能發(fā)現(xiàn)這個區(qū)域里的代理主機,從而有效地隱藏了關(guān)鍵主機�,由于域之間通過總線通信,總線上的攻擊者就可對任意域發(fā)動DoS攻擊����,切斷域之間的通信�,但不會影響域內(nèi)的通信,因為假設(shè)域內(nèi)的防火墻能有效地阻止DoS的攻擊數(shù)據(jù)包�。因此本模型中的每個域的功能如同一個獨立的IDS,既然總線上的攻擊者能切斷域之間的通信�����,所有用于收集����、分析攻擊信息的agent都應(yīng)該位于域內(nèi),因此不允許agent在域間移動,子集之間的通信也被禁止��。因為子集內(nèi)的攻擊者可能由此發(fā)現(xiàn)其他域內(nèi)安全主機的位置�,僅僅允許不同域內(nèi)關(guān)鍵集之間的通信,這是本模型分析不同域內(nèi)數(shù)據(jù)的惟一方法���。
[0017]本發(fā)明提供的防御方法通過隱藏IDS主機使攻擊者無法通過sniffing和probing等技術(shù)探測IDS拓?fù)浣Y(jié)構(gòu)�����;在IDS受到攻擊時���,利用移動agent技術(shù)轉(zhuǎn)移關(guān)鍵部件,并且用備份agent實時替代失效的關(guān)鍵agent保證IDS機構(gòu)的完整性�。
[0018](I)對抗 sniffing 和 probing
由于主干上的所有網(wǎng)絡(luò)設(shè)備如路由器、交換機���、防火墻等都很難攻破�,攻擊者也就無法在主干上偵聽��,同樣由于從關(guān)鍵主機發(fā)往非關(guān)鍵主機的信息都要通過代理主機�����,攻擊者在非關(guān)鍵主機附近監(jiān)聽也不能確定關(guān)鍵主機的位置,雖然不難發(fā)現(xiàn)代理主機的位置����,但在我們的模型中,代理主機有許多備份���,另外只要將一些簡單的過濾規(guī)則加到IP層就可以阻止絕大部分主動probing攻擊���。
[0019](2)對抗Dos攻擊
盡管隱藏了關(guān)鍵IDS主機,攻擊者仍可能對一個隨機的IP地址發(fā)動flooding DoS攻擊����,如果這個地址恰好對應(yīng)著一臺關(guān)鍵IDs主機,這個IDS主機就會逐漸變慢直到最后完全癱瘓���,本模型中。
[0020]每個關(guān)鍵agent都有多個備份agent�����,它們都位于同一個域內(nèi)的不同關(guān)鍵主機中��,一旦某個關(guān)鍵agent失效�����,備份agent相互協(xié)商決定誰來替代原agent,替代agent取代原agent的所有功能并關(guān)閉原agent���,其余備份agent又成為這個替代agent的備份��。
[0021]對所公開的實施例的上述說明���,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的�����,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,在其它實施例中實現(xiàn)��。因此�,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍�����。
【主權(quán)項】
1.一種防御DoS攻擊的方法,其特征在于���,該方法基于分布式IDS機構(gòu)���,首先通過制定機構(gòu)內(nèi)安全主機間建立連接的規(guī)則使攻擊者無法通過網(wǎng)絡(luò)掃描和數(shù)據(jù)包監(jiān)聽來定位關(guān)鍵IDS部件;其次在IDS受到攻擊時���,利用移動agent技術(shù)轉(zhuǎn)移關(guān)鍵部件�,并且用備份agent實時替代失效的關(guān)鍵agent保證IDS機構(gòu)的完整性�����。2.根據(jù)權(quán)利要求1所述的一種防御DoS攻擊的方法����,其特征在于,所述IDS機構(gòu)包括通過總線通信的若干域����,所述域內(nèi)包括與總線之間通信的主干以及與主干間進(jìn)行通信的若干區(qū)域��;所述主干中包括關(guān)鍵主機構(gòu)成的關(guān)鍵集以及代理主機構(gòu)成的代理集�����,所述區(qū)域中包括子主機構(gòu)成的子集;各主機上運行各對應(yīng)移動agent���。3.根據(jù)權(quán)利要求2所述的一種防御DoS攻擊的方法��,其特征在于�,所述移動agent包括: 關(guān)鍵agent�����,其進(jìn)行入侵檢測分析�����、控制��; 子agent��,其負(fù)責(zé)采集和分析各種事件����; 代理agent,提供子agent與關(guān)鍵agent之間的通信服務(wù)��。4.根據(jù)權(quán)利要求1所述的一種防御DoS攻擊的方法,其特征在于�,所述機構(gòu)內(nèi)安全主機間建立連接的規(guī)則具體為:首先主機之間采用shal或者M(jìn)D5加密的方式進(jìn)行信息摘要加密,其次�,使用時間戳加隨機數(shù)方式防止重放攻擊。
【專利摘要】本發(fā)明提供一種防御DoS攻擊的方法��,該方法基于分布式IDS機構(gòu)�����,首先通過制定機構(gòu)內(nèi)安全主機間建立連接的規(guī)則使攻擊者無法通過網(wǎng)絡(luò)掃描和數(shù)據(jù)包監(jiān)聽來定位關(guān)鍵IDS部件����;其次在IDS受到攻擊時,利用移動agent技術(shù)轉(zhuǎn)移關(guān)鍵部件�,并且用備份agent實時替代失效的關(guān)鍵agent保證IDS機構(gòu)的完整性。該方法實施簡單��,基于現(xiàn)有分布式IDS機構(gòu)����,具有較強抗攻擊性,能很好地對抗DoS攻擊���。
【IPC分類】H04L29/06
【公開號】CN105337983
【申請?zhí)枴緾N201510805535
【發(fā)明人】黃韜, 魏亮, 戴云偉, 邵凱
【申請人】南京未來網(wǎng)絡(luò)產(chǎn)業(yè)創(chuàng)新有限公司
【公開日】2016年2月17日
【申請日】2015年11月20日