智慧可信网络DDoS攻击防御策略研究

，

(1. 许昌学院 电气机电工程学院，河南 许昌461000；2. 许昌市公安局，河南 许昌461000)

近年严重危害的网络安全事件频出，勒索病毒网络武器几小时内就影响了全球数十个国家并急速蔓延至150多个国家；英特尔芯片曝出多个安全漏洞可受远程攻击等．各类网络安全事件已经深刻影响了政治、经济、军事、生活等各个层面．随着嵌入式物联网、智慧城市的推进和普及，网络攻击者在设备拥有者不知情的情况下，利用嵌入式物联网设备的漏洞传播恶意代码或创建僵尸网络，将非 PC 嵌入式设备作为攻击目标．海量嵌入式物联网终端将逐渐成为 DDoS 攻击主要来源，已可形成超高容量的 DDoS 攻击源，攻击的规模、频度、复杂性、影响和损失正快速增长[1]．海量嵌入式物联网设备的应用给传统互联网络安全领域带来了挑战也拓展了许多可研究探索的空间．

1 技术背景

新型DDoS攻击在智慧网络中表现体现为：攻击者主动发出大量新标识数据，接入交换路由组件接收到这些数据后，被动的向映射解析服务组件发送请求，进而得到转发映射指令．由于数据流量大，映射解析服务组件会接收到巨量反馈消息，并被迫对所有消息进行处理．在消息处理过程中，映射解析服务组件的各项资源被恶意占用、消耗，致使映射解析组件无法正常工作，达到足够量即使网络瘫痪崩溃．

2 技术分析

与传统拒绝服务攻击方式相比，智慧网络技术环境下的新型DDoS攻击的检测和防御都非常难易有效的去确认和针对[2]．首先，攻击者在初起发动DDoS攻击时，倾向于使用低流量的数据．随着攻击的持续，无论数据总量高或低，接入交换路由组件封装的只是其中极少部分，然后转发至映射解析服务组件，剩余数据部分不会影响映射解析．因此，降低自身消耗，提高攻击效率，攻击者不然会采取低流量数据手段．伴随着大量正常数据进行接入请求时，网络同样会产生阻塞．所以仅依赖输入数据流队列，映射解析组件并不足以判断是否遭受拒绝服务攻击．其次、攻击数据流平均分布在各个子设备网络，在不同接入子网环境下，通过接入不同交换路由组件发送攻击数据，分散的数据在接入交换路由组件的总量中占比很低，此类攻击难易检测．

通过以上分析，与传统拒绝服务攻击方式相比，智慧网络技术环境中的新型DDoS攻击的检测和防御都比较难易有效的确认及针对. 基于此，提出了面向网络DDoS攻击的接入网流检测与防御方法，以进一步提高面对DDoS攻击的防御能力．

3 方法研究

针对传统拒绝服务攻击方式，可以选择对网络控制组件的数据进行过滤，实现保护网络控域．这种防御方法要求，交换路由设备向网络控制端发送数据前，先要进行数据头的字段值统计，并过滤雷同字段包．但是，针对此类非传统拒绝服务攻击方式，攻击者会生成与已记录数据字段值不同的数据包，方法效果有限．还有一种基于信息熵的DDoS攻击检测方法[3]．该方法假设正常数据的目的IP地址均匀分布，而在攻击数据流中，威胁IP会集中出现．但攻击者又总是会采取生成大量不同IP数据，消耗网络控制组件的资源，从而达到攻击的目的．所以，已知的方法在检测、防御新型的DDoS攻击方式上存在不足．新型的DDoS攻击方式，会驱动大量僵尸设备．傀儡端攻击过程中，通常只会遵从攻击的指令进行数据发送[4]．而网络基本的通信响应，傀儡端很难做出针对性反应．我们从该特征点着手，在接入交换路由组件的接入端口增加连接检测功能．当映射解析服务组件检测到网络遭受攻击，通过面向网络DDoS攻击的接入网流检测方法确定了接入交换路由组件的脆弱端口时，可以启动脆弱端口的连接检测功能[5]．

连接检测功能可以通过简单网络协议，进行收发包检测实现，如TCP的握手协议．脆弱端口向己接收数据包的源端发起TCP连接请求[6]．如果源端设备响应SYN/ACK数据包，那么脆弱端口向其发送ACK数据包，结束此次连接；如果源端设备没有响应 SYN/ACK数据包，则表示未能建立连接，那么中止与该端口的通信．连续数次的观测到即可确定检测到攻击如图1所示．仅在连接检测功能扩展后，就足以排除大量的傀儡段攻击包，大大释放交换路由组件与映射解析组件之间的信息流．

4 结语

传统检测、防御DDoS攻击方式方法上存在不足．结合智慧网络工作的特性，面向网络DDoS攻击的接入网流检测与防御方法，将数据流区分两种类型：正常数据流和低流量数据流具，进行检测可以有效针对利用接入交换路由与映射解析之间通信特征的网络攻击，方法准确、高效．