面向帶寬消耗型攻擊的過(guò)濾位置選擇方法
【專利摘要】本發(fā)明公開(kāi)了一種面向帶寬消耗型攻擊的過(guò)濾位置選擇方法��,包括以下步驟:建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset���;根據(jù)所述的鏈路擁塞完全依賴集合CDSset中鏈路的上下游依賴關(guān)系,建立相應(yīng)的鏈路擁塞依賴樹(shù)����;所有的鏈路擁塞依賴樹(shù)組成鏈路擁塞依賴森林;所述鏈路擁塞依賴森林中每棵鏈路擁塞依賴樹(shù)的葉子路由節(jié)點(diǎn)����,即為面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置����。通過(guò)采用本發(fā)明的過(guò)濾位置選擇方法��,只需要使用已有的過(guò)濾策略25%的過(guò)濾路由節(jié)點(diǎn)就清除了所有擁塞鏈路�,使二者達(dá)到平衡,極大地減小了由于路由器過(guò)濾導(dǎo)致的網(wǎng)絡(luò)延遲����。
【專利說(shuō)明】
面向帶寬消耗型攻擊的過(guò)濾位置選擇方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及一種防御帶寬消耗型攻擊的方法���,尤其是一種面向帶寬消耗型攻擊的 過(guò)濾位置選擇方法���。
【背景技術(shù)】
[0002] 互聯(lián)網(wǎng)的迅速發(fā)展,極大地方便了人們的生活��,推動(dòng)了社會(huì)諸多方面的進(jìn)步��,但是 伴隨著互聯(lián)網(wǎng)的發(fā)展而產(chǎn)生的安全問(wèn)題也不容小勵(lì)����。我們知道��,在IP協(xié)議中�����,主機(jī)只有IP地 址一種識(shí)別信息�,運(yùn)樣當(dāng)發(fā)送方改變自己的IP地址向接收方發(fā)送信息時(shí)�����,接收方由于無(wú)法 辨別其真?zhèn)?�,必須接受信息再進(jìn)行裁決����。拒絕服務(wù)攻擊(DenialofServiceat化ck,DoS攻擊) 就是利用運(yùn)樣的協(xié)議漏桐(即《Lee. J. Scalable multicast based filtering and tracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt, 2004,14:1-14.》)實(shí)施網(wǎng)絡(luò)入侵���,從而導(dǎo)致服務(wù)器或者網(wǎng)絡(luò)擁痕��。帶寬耗盡型攻擊是Dos攻 擊中最常見(jiàn)的一種����,攻擊者通過(guò)控制規(guī)模宏大的僵尸機(jī),向某一特定目標(biāo)主機(jī)發(fā)送密集的 無(wú)用攻擊流�,消耗目標(biāo)主機(jī)的帶寬資源,使正常數(shù)據(jù)由于網(wǎng)絡(luò)擁塞而被丟棄����,最終使目標(biāo)主 機(jī)無(wú)法向正常用戶提供服務(wù),并且無(wú)法與外界聯(lián)系�。據(jù)NSF0CUS公司2013年所發(fā)布的《年終 DD0S威脅報(bào)告》(即《NSF0CUS,NSF0CUS Mid-Year DDoS Threat Report�,[EB/0L],URL: http://en.nsfo州s. com, 2013.》)中指出:攻擊流量帶寬從2012年的4.47加 ps快速增長(zhǎng)到 2013年的49.24Gpbs,其中帶寬攻擊的總量增加了34%���,平均攻擊帶寬增加了925%���。顯然�����, 帶寬耗盡型攻擊已經(jīng)成為造成網(wǎng)絡(luò)安全的主要威脅(即《Prolexic,Prolexic Quarterly Global DDoS Attack Repo;rt,[邸/OL],抓 L:http://www.Valley-talk.org,2013.》)���。但 是���,今天的互聯(lián)網(wǎng)仍然沒(méi)有合適的應(yīng)對(duì)策略來(lái)抵制運(yùn)種攻擊。
[0003] 根據(jù)帶寬耗盡型攻擊的特點(diǎn)可知,防御分為兩個(gè)步驟:識(shí)別攻擊路徑(IP溯源技 術(shù))和實(shí)施過(guò)濾(包過(guò)濾技術(shù))dIP溯源是指通過(guò)跟蹤IP包的轉(zhuǎn)發(fā)路徑找到真正的攻擊源(如 《Shui Y,Zhou W, Robin D and Weijia J,Traceback ofDDoS attacks using entropyv曰ri曰tions[J], IEEE Transactions on Parallel 曰nd Distributed Systems, 2011,22(3):412-425.》����、《Foroushani V.A and Zincir H.A,Deterministic and Authenticated Flow Marking for IP Traceback[J] , in Proc.of Advanced Information Networking andApplications,2013:397-404.》、《Yang M and Yang M, RIHT:A novel hybrid IP traceback scheme[J],lEEET ransaction on Information Forensics and Security,2012,7(2):789-797.》化u N,Wang Y丄����,Su S and Yang F.C,A novel p曰th-b曰sed 曰ppro曰ch for single-p曰cket IP tr曰ceb曰ck[J], Security 曰nd Communication化tworks ,2013,7(2): 309-321.》);實(shí)施過(guò)濾是指將攻擊源發(fā)來(lái)的數(shù)據(jù)包 過(guò)濾掉��。路由器可W提供過(guò)濾功能�����,其實(shí)質(zhì)是一組規(guī)則���,用來(lái)判斷該路由器能否轉(zhuǎn)發(fā)當(dāng)前的 數(shù)據(jù)包�����。但是開(kāi)啟路由器的過(guò)濾功能����,雖然不會(huì)影響路由器的吞吐量(如《H.Beitollahi and G.Deconinck,Analyzing well-known countermeasures against distributed denial of service attacks[J].Computer Communications ,2012,35:1312-1332.》�����、 ((Newman D, Cisco Catalyst 4948-lOGE acesperformancetests,[EB/OL]�����,http ://www.networkworld.com/reviews/2005/090505-cisco-test ·〉〉)�����,卻會(huì)導(dǎo)致網(wǎng)絡(luò)延遲���,帶來(lái) 間接傷害���。美國(guó)《網(wǎng)絡(luò)世界〉〉雜志對(duì)市場(chǎng)流行的路由器進(jìn)行包過(guò)濾開(kāi)啟后的相關(guān)性能測(cè)試, 在測(cè)試中�����,某廠商的產(chǎn)品居然延遲了 17秒����,這對(duì)于對(duì)響應(yīng)速度有極高要求的互聯(lián)網(wǎng)來(lái)說(shuō)是 致命的��。之所^產(chǎn)生延遲,是因?yàn)檫^(guò)濾路由不僅僅要常規(guī)的執(zhí)行路徑轉(zhuǎn)發(fā)操作�,還要檢查IP 包頭,這個(gè)過(guò)程需要先解包和再封包�。因此,過(guò)濾路由的數(shù)量既會(huì)影響過(guò)濾效果����,又會(huì)影響 網(wǎng)絡(luò)性能,那么選擇合理的位置�����,控制過(guò)濾路由的數(shù)量就顯得尤為重要����。
[0004] 防御過(guò)程中還存在一種問(wèn)題:攻擊發(fā)生之后,恢復(fù)正常服務(wù)的時(shí)間越長(zhǎng)��,造成的經(jīng) 濟(jì)損失就越大����,當(dāng)前已有的包過(guò)濾機(jī)制中,包過(guò)濾和IP溯源是同步進(jìn)行的��,可W對(duì)攻擊快速 反應(yīng)����,增強(qiáng)防御的效果(如《K.Argyraki and Cheriton.RD.Scalable network-layer defense against internetbandwidth-flooding attacks[J].lEEE/ACM Transactions on Networking,2009�,17:1284-1297·〉〉�、〈〈D·Seo,H丄eeandA·Perig·PFS:probability filter scheduling 過(guò)gainst distributeddeni過(guò)1-of-service 過(guò)tt過(guò)cks[J].in F*roc.o 化 ocal Computer Networks���,2011:9-17.〉〉����、〈〈M.S Fallah and N.Kahani��,TDPF:a traceback-based distributed packet filter to mitigate spoofed DDoS attacks [J],Security and Communication Networks, 2014. K((M. Sung .and J.Xu,IP traceback- b過(guò)sed intelligent packet filtering:過(guò) noveltech-nique for defending 過(guò)g過(guò)inst Internet DDoS attack[J]���,lEEE/ACM Transactionon Paralel1 and Distributed Systems, 2003,14:861-872.〉〉)�����。也就意味著隨著溯源的深入不斷有新的攻擊鏈路被發(fā)現(xiàn)��, 攻擊網(wǎng)絡(luò)不斷的更新���,我們的防御網(wǎng)絡(luò)也應(yīng)該隨著攻擊網(wǎng)絡(luò)的更新而更新����。而新增加的一 條鏈路相對(duì)于原有的攻擊網(wǎng)絡(luò)�����,是非常小的���,若因?yàn)橐粭l鏈路而重新計(jì)算原有的數(shù)據(jù),顯然 會(huì)非常影響效率���,我們應(yīng)盡量減小這種重復(fù)計(jì)算帶來(lái)的化效和冗余�����。
[0005] 為了緩解Dos攻擊對(duì)網(wǎng)絡(luò)的威脅���,許多種防御技術(shù)已經(jīng)被提出。首先�����,按過(guò)濾位置 的不同��,可分為兩種:一是攻擊源端過(guò)濾策略���,因?yàn)橛休^好的保護(hù)效果�����,近幾年來(lái)受到廣泛 的關(guān)注�����。它是將在靠近攻擊源位置的路由器設(shè)置為過(guò)濾路由����,這樣攻擊流就無(wú)法進(jìn)入網(wǎng)絡(luò), 從而保護(hù)受害者的帶寬資源(如《Lee.J.Scalable multicast based filtering and tracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt, 2004,14:1-14. K((K. Argyraki and Cheriton.民D. Scalable network-layer defense against internetbandwidth-flooding attacks[J].lEEE/ACM Transactions on Networking, 2009,17 :1284-1297 . K((D. Seo ,H. Lee and A.Perig. PFS :probability filter scheduling 過(guò)gainst distributeddeni過(guò)1-of-service 過(guò)tt過(guò)cks[J].in Proc. of Local Computer Networks�����,2011:9-17 .〉〉�、〈〈X 丄 iu,X .Yand and Y 丄u. To filter or to authorize:network-layer DoS defense against multimillion-node botnets [J].ACM SIGCOMM ComputerCommunication Review,2008,38:195-206.))>((M.SFallah and N.Kahani�,TDPF:a traceback-based distributed packet filter to mitigate spoofed DDoS attacksULSecui'ity and Communication Networks,2014〉〉)。但是這樣的方法會(huì)使 用大量的過(guò)濾路由器�,會(huì)使網(wǎng)絡(luò)傳輸性能降化(如住.86;!_巾〇113111311(16.〇6(3011���;!_11〇1^���, Analyzing well-known countermeasures against distributed denial of service attacks[J]�,Computer Communications ,2012,35:1312-1332.〉〉�、〈〈Newman D�����,Cisco Catalyst 4948-1 OGE aces performance tests, [EB/OL] ,http://www.networkworld · com/reviews/2005/090505-cisc〇-test ·〉〉)D 因此就出現(xiàn)了另一種策 略�����,即受害者端過(guò)濾策略�,它只需要選擇少量的靠近受害者的路由器作為過(guò)濾路由器,從而 阻止所有攻擊流抵達(dá)受害者����。但是它并沒(méi)有保護(hù)攻擊者到受害者端的帶寬,清除所有的擁 塞鏈路��,所^實(shí)際上沒(méi)有實(shí)現(xiàn)對(duì)攻擊的防御���。其次���,按過(guò)濾動(dòng)作發(fā)生的時(shí)間��,也可分為兩種: 主動(dòng)式包過(guò)濾策略和反應(yīng)式包過(guò)濾策略���。主動(dòng)式包過(guò)濾策略是無(wú)論Dos攻擊是否發(fā)生,被部 署的路由器需要判斷每個(gè)轉(zhuǎn)發(fā)包是否合法���。而反應(yīng)式包過(guò)濾策略�,發(fā)生Dos攻擊后�����,才會(huì)開(kāi) 啟過(guò)濾����。另外該技術(shù)不需要受害者相信任何網(wǎng)絡(luò)實(shí)體,因此�,該方法更適用于更一般的問(wèn) 題,如保護(hù)網(wǎng)絡(luò)資源的問(wèn)題�。在過(guò)濾位置的選擇問(wèn)題上,大多數(shù)現(xiàn)有的工作主要是針對(duì)主動(dòng) 式包過(guò)濾(女日〈〈Armbruster B and Smith J.C�����,Apacket filter placement problem with 過(guò)pplic過(guò)tio打 to defense 過(guò)g過(guò)i打st spoofed de打i過(guò)1 of service 過(guò)tt過(guò)cks[J],Europe過(guò)打 journal of operational research,2007,176:1283-1292·〉〉)���。這些研究可W分為最優(yōu)過(guò) 濾路由器或邊界過(guò)濾路由器����?���;诜磻?yīng)式包過(guò)濾的過(guò)濾位置問(wèn)題有待深入研究���。
[0006] 根據(jù)帶寬耗盡型攻擊的特點(diǎn)�,在基于反應(yīng)式包過(guò)濾的源端過(guò)濾策略有^下幾種經(jīng) 典方法DLee等人提出一個(gè)基于組播的可擴(kuò)展的防御架構(gòu)(即《Lee. J. Scalable multicast based filtering and tracing framework for defeatingdistributed DoS attacks [J]. Int.J.Network Mgmt���,2004,14:1-14.〉〉)���。在該架構(gòu)中,利用組播選擇盡可能靠近攻擊 源的過(guò)濾位��。為了減小部署成本�,與AITF相似,Stopit也盡可能靠近攻擊源的過(guò)濾位置�。但 是Stopit防御過(guò)濾路由消耗和帶寬耗盡型攻擊主要是通過(guò)防止過(guò)濾器及時(shí)建立(即 〈〈X丄iu,X.Yand and Y丄U. To filter or to authorize:network-layer DoS defense against multimillion-node botnets[J].ACM SIGCOMM ComputerCommunication Review, 2008,38:195-206 JKMehran等人提出基于過(guò)濾的實(shí)時(shí)溯源,將包過(guò)濾和IP溯源進(jìn) 行整合���,從而可^進(jìn)行及時(shí)防御(BFKM.S Fallah and N.Kahani,TDPF:a traceback-based distributed packet filter to mitigate spoofed DDoS attacks[J]��,Security and Communication Networks ,2014.〉〉)。但是由于使用過(guò)量的過(guò)濾路由���,該方法造成網(wǎng)絡(luò)性能 的嚴(yán)重下降�。
[0007] 綜合這些已有的策略��,可W發(fā)現(xiàn),目前所有的包過(guò)濾都是基于設(shè)計(jì)好的分類器和 如何設(shè)計(jì)過(guò)濾規(guī)則�����,并沒(méi)有考慮到過(guò)量過(guò)濾路由的使用會(huì)給網(wǎng)絡(luò)帶來(lái)負(fù)影響(如 ((Lee. J. Scalable multicast based filtering and tracing framework for defeatingdistributed DoS attacks[J].Int.J.Network Mgmt,2004,14:1-14.K 〈〈K.Argyraki and Cheri ton.民 D. Scalable network-layer defense against internetbandwidth-flcoding attacks[J].lEEE/ACM Transactions on Networking, 2009�,17:1284-1297.〉〉���、〈〈D.Seo��,H.Lee and A.Perig.PFS: probability filter scheduling 過(guò)g過(guò)inst distributeddeni過(guò)l-〇f-service 過(guò)tt過(guò)cks[J]. in Proc.ofLoc過(guò)1 Computer Networks ,2011:9-17. K((X.Liu,X.Yand and Y.Lu.To filter or to authorize:network-layer DoS defense against multimillion-node botnets[J].ACM SIGCOMM ComputerCommunication Review, 2008,38 :195-206 . K ((M. S Fallah and N.Kahani����,TDPF:a traceback-based distributed packet filter to mitigate spoofed DDoS attacksULSecui'ity and Communication Networks,2014〉〉),也沒(méi)有考慮重復(fù)計(jì)算 的弊端����。例如�����,攻擊者源端過(guò)濾策略是通過(guò)開(kāi)啟了離攻擊者較近的過(guò)濾路由來(lái)阻止攻擊流 進(jìn)入網(wǎng)絡(luò),因此可W很好地保護(hù)所有的鏈路��。但是如果僵尸攻擊網(wǎng)絡(luò)的規(guī)模不斷增大�����,超過(guò) 了摩爾定律����,隨之需要開(kāi)啟的過(guò)濾路由的數(shù)量也增加��,運(yùn)將對(duì)網(wǎng)絡(luò)的性能造成極大的影響��。 運(yùn)就要求我們提出一個(gè)更優(yōu)化的過(guò)濾策略���。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明的目的在于���,提供一種面向帶寬消耗型攻擊的過(guò)濾位置選擇方法����,它可W 實(shí)現(xiàn)選擇合適的過(guò)濾位置,既能清除所有的擁塞鏈路��,又能最小化過(guò)濾路由器的投入數(shù)量�, 使二者達(dá)到平衡,從而提高網(wǎng)絡(luò)傳輸性能,減小網(wǎng)絡(luò)延遲�。
[0009] 為解決上述技術(shù)問(wèn)題,本發(fā)明采用如下的技術(shù)方案:一種面向帶寬消耗型攻擊的 過(guò)濾位置選擇方法�,包括W下步驟:建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合 CDSset;根據(jù)所述的鏈路擁塞完全依賴集合CDSset中鏈路的上下游依賴關(guān)系����,建立相應(yīng)的鏈 路擁塞依賴樹(shù);所有的鏈路擁塞依賴樹(shù)組成鏈路擁塞依賴森林;所述鏈路擁塞依賴森林中 每棵鏈路擁塞依賴樹(shù)的葉子路由節(jié)點(diǎn),即為面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最 優(yōu)過(guò)濾位置��。
[0010] 優(yōu)選的�,所述的建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset具體包括 W下步驟:
[00川步驟1�,建立攻擊樹(shù)中路由節(jié)點(diǎn)的最簡(jiǎn)候選集Candset,所述最簡(jiǎn)候選集Candset中的 元素為攻擊樹(shù)中各個(gè)擁塞鏈路的上游路由節(jié)點(diǎn)��;
[001^ 步驟2,根據(jù)鏈路擁塞依賴關(guān)系����,將最簡(jiǎn)候選集CancUe沖的各個(gè)路由節(jié)點(diǎn)劃分為一 個(gè)或多個(gè)鏈路擁塞完全依賴子集;
[0013] 步驟3,所有的鏈路擁塞完全依賴子集組成鏈路擁塞完全依賴集合CDSset。
[0014] 步驟3中��,可根據(jù)CDSset中的任意鏈路擁塞完全依賴子集CDSRi建立鏈路擁塞依賴樹(shù) D-Tree (Ri);所有的鏈路擁塞依賴樹(shù)組成鏈路擁塞依賴森林��。
[0015] 本發(fā)明通過(guò)定義最簡(jiǎn)候選集(最優(yōu)過(guò)濾位置一定是從運(yùn)個(gè)最簡(jiǎn)候選集中產(chǎn)生的��, 也就是說(shuō)�,只檢索運(yùn)個(gè)最簡(jiǎn)候選集中的路由即可,而無(wú)需檢索攻擊網(wǎng)絡(luò)中的所有路由)��,從 而縮減了狀態(tài)空間��,簡(jiǎn)化了計(jì)算�,提高了確定最優(yōu)過(guò)濾路由節(jié)點(diǎn)位置的效率;另外,本發(fā)明 根據(jù)鏈路擁塞依賴關(guān)系�����,通過(guò)將最簡(jiǎn)候選集化ncUet中的各個(gè)路由節(jié)點(diǎn)劃分為一個(gè)或多個(gè)鏈 路擁塞完全依賴子集���,從而實(shí)現(xiàn)了將狀態(tài)空間分割為幾個(gè)互不相關(guān)的子空間����,并通過(guò)借鑒 動(dòng)態(tài)規(guī)劃的思想��,把過(guò)濾位置優(yōu)化問(wèn)題分為幾個(gè)相似的子問(wèn)題����,降低了問(wèn)題的復(fù)雜度。從而 進(jìn)一步減少了冗余計(jì)算�,實(shí)現(xiàn)最大化被保護(hù)的帶寬資源的同時(shí)最小化過(guò)濾路由器的投入數(shù) 量。
[0016] 優(yōu)選的����,步驟2中,如果消除了所有經(jīng)過(guò)鏈路擁塞依賴子集G巧���,中路由節(jié)點(diǎn)的攻擊 流�����,相應(yīng)的W路由節(jié)點(diǎn)Ri為直接上游節(jié)點(diǎn)的鏈路的擁塞也會(huì)消除���,則判定路由節(jié)點(diǎn)私與&^. 具有鏈路擁塞完全依賴關(guān)系;計(jì)算路由節(jié)點(diǎn)扣與^巧的并集��,即得鏈路擁塞完全依賴子集 ;其中鏈路擁塞依賴子集表示Ri的上游路由節(jié)點(diǎn)集,[%和Ri均為化ncUe沖的元 素���。通過(guò)定義鏈路擁塞完全依賴關(guān)系���,從而進(jìn)一步減少了冗余計(jì)算,提高了最優(yōu)過(guò)濾路由節(jié) 點(diǎn)的位置選擇的效率�����。
[0017] 前述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法中�,對(duì)于鏈路擁塞完全依賴集合 CDSset中的任意鏈路擁塞完全依賴子集CDSRi,建立相應(yīng)的鏈路擁塞依賴樹(shù)D-化ee(Ri)具體 包括W下步驟:
[0018] 步驟1�����,對(duì)于鏈路擁塞完全依賴子集CDSRi中的任意節(jié)點(diǎn)化�����,建立相應(yīng)的鏈路擁塞依 賴子集UPRk���,所有的鏈路擁塞依賴子集組成鏈路擁塞依賴集合UPf占�����;
[0019] 步驟2,利用擁塞鏈路之間的上下游關(guān)系�,將中所有的鏈路擁塞依賴子集按層 次連接成鏈路擁塞依賴樹(shù)D-化ee(Ri)���,其中Ri是樹(shù)根節(jié)點(diǎn)����。從而實(shí)現(xiàn)了根據(jù)鏈路擁塞完全 依賴子集快速建立鏈路擁塞依賴樹(shù)����,為查找路由最優(yōu)過(guò)濾位置奠定了基礎(chǔ)。
[0020] 優(yōu)選的�����,步驟1還包括:按照鏈路擁塞依賴子集之間的包含關(guān)系��,修剪鏈路擁塞依 賴集合UPfti--對(duì)于鏈路擁塞依賴集合LT思中的任意鏈路擁塞依賴子集UPru����,如果鏈路擁 塞依賴集合UP登中還存在鏈路擁塞依賴子集UPrj包含于UPru,則將UPRk中屬于UPrj的元素 刪除。從而消除了鏈路擁塞依賴子集中的冗余路由節(jié)點(diǎn)���,進(jìn)一步提高了建樹(shù)效率�,也即提高 了最優(yōu)過(guò)濾路由節(jié)點(diǎn)的位置選擇的效率。
[0021] 前述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法中����,采用增量式方法處理新加入 的擁塞鏈路,更新鏈路擁塞依賴森林����,選出面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最 優(yōu)過(guò)濾位置。通過(guò)采用上述方法���,本發(fā)明無(wú)需再重新處理所有的數(shù)據(jù)��,從而大大減少了計(jì)算 量��,避免了重復(fù)計(jì)算帶來(lái)的低效和冗余的問(wèn)題��。
[0022] 優(yōu)選的���,若要將新增擁塞鏈路1化化插入原鏈路擁塞依賴森林中,其中��,Rj是該擁塞 鏈路的上游路由節(jié)點(diǎn)���,則對(duì)于原鏈路擁塞依賴森林中的每棵鏈路擁塞依賴樹(shù)執(zhí)行W下操 作:判斷經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流是否包含于經(jīng)過(guò)各個(gè)樹(shù)根節(jié)點(diǎn)的攻擊流中�����,如果沒(méi)有任 何一棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)扣的攻擊流����,說(shuō)明咕不屬于任何一棵已有樹(shù)����,則建立一棵只有根 節(jié)點(diǎn)的樹(shù)D-Tree(Rj),并將其插入原鏈路擁塞依賴森林中�����;如果有且只有一棵樹(shù)D-Tree(Rm) 包含經(jīng)過(guò)路由節(jié)點(diǎn)扣的攻擊流��,并且Rm與扣之間還存在擁塞依賴關(guān)系�,則將扣插入到原鏈路 擁塞依賴樹(shù)D-Tree(Rm)中;如果有多棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流�,并且運(yùn)些樹(shù)與Rj之 間存在擁塞依賴關(guān)系,則利用相關(guān)樹(shù)的路由節(jié)點(diǎn)集和路由節(jié)點(diǎn)扣建立一棵新的樹(shù)���,并將其 插入原鏈路擁塞依賴森林中��,修剪更新后的鏈路擁塞依賴森林���,刪除其中多余的樹(shù)����。通過(guò)采 用上述方法來(lái)處理新的擁塞鏈路�����,本發(fā)明無(wú)需再重新處理所有的數(shù)據(jù)����,從而大大減少了計(jì) 算量,避免了重復(fù)計(jì)算帶來(lái)的低效和冗余的問(wèn)題�����。
[0023] 更優(yōu)選的�����,所述的將咕插入到原鏈路擁塞依賴樹(shù)D-化ee(Rm)中具體包括W下步驟: 判斷經(jīng)過(guò)扣的攻擊流的集合與經(jīng)過(guò)樹(shù)根節(jié)點(diǎn)Rm的攻擊流的集合是否相等����,如果相等�,則將Rm 的所有子節(jié)點(diǎn)賦給扣�,然后刪除Rm的所有子節(jié)點(diǎn),并使扣成為Rm新的子節(jié)點(diǎn)���;如果不相等�����,貝U 對(duì)原鏈路擁塞依賴樹(shù)D-Tree(Rm)進(jìn)行層次遍歷,并對(duì)每個(gè)樹(shù)節(jié)點(diǎn)化執(zhí)行W下操作:重新計(jì)算 UPRk;如果節(jié)點(diǎn)扣屬于UPRk且化不是葉子節(jié)點(diǎn)���,則將扣迭代插入到W化為根節(jié)點(diǎn)的鏈路擁塞依 賴樹(shù)D-Tree(Rk)中�;如果節(jié)點(diǎn)Rj屬于UP化且化是葉子節(jié)點(diǎn)�,則將節(jié)點(diǎn)Rj鏈接到節(jié)點(diǎn)化下,使其 成為節(jié)點(diǎn)化的葉子節(jié)點(diǎn)�����。通過(guò)采用W上方法�,從而可W將路由節(jié)點(diǎn)咕準(zhǔn)確的插入原鏈路擁塞 依賴樹(shù)中,精確����、快速的更新鏈路擁塞依賴森林���,并準(zhǔn)確、高效的查找出更新后的最佳過(guò)濾 位置���。
[0024] 與現(xiàn)有技術(shù)相比�,本發(fā)明具有W下有益效果:
[0025] 1�、本發(fā)明將路由過(guò)濾位置的選擇問(wèn)題形式化為一個(gè)整數(shù)線性規(guī)劃問(wèn)題;通過(guò)建立 攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset;再根據(jù)所述的鏈路擁塞完全依賴集合 CDSset中鏈路的上下游依賴關(guān)系,建立相應(yīng)的鏈路擁塞依賴樹(shù);所有的鏈路擁塞依賴樹(shù)組成 鏈路擁塞依賴森林;所述鏈路擁塞依賴森林中每棵鏈路擁塞依賴樹(shù)的葉子路由節(jié)點(diǎn)�,即為 面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置。通過(guò)采用本發(fā)明的過(guò)濾位置選 擇方法�,只需要使用已有的過(guò)濾策略25%的過(guò)濾路由節(jié)點(diǎn)就能清除所有的擁塞鏈路,使二 者達(dá)到了平衡�����,極大地減小了由于路由器過(guò)濾導(dǎo)致的網(wǎng)絡(luò)延遲��;
[0026] 2���、本發(fā)明深入分析了擁塞鏈路的上下游關(guān)系�����,并根據(jù)擁塞鏈路的上下游關(guān)系定義 了最簡(jiǎn)候選集��,最優(yōu)過(guò)濾位置一定是從運(yùn)個(gè)候選集中產(chǎn)生的����,也就是說(shuō),只需要檢索運(yùn)個(gè)集 合中的路由即可�����,而無(wú)需檢索攻擊網(wǎng)絡(luò)中的所有路由����,從而縮減了狀態(tài)空間,簡(jiǎn)化了計(jì)算��, 提高了確定最優(yōu)過(guò)濾路由節(jié)點(diǎn)位置的效率;另外�,本發(fā)明根據(jù)鏈路擁塞依賴關(guān)系��,通過(guò)將最 簡(jiǎn)候選集化ncUet中的各個(gè)路由節(jié)點(diǎn)劃分為一個(gè)或多個(gè)鏈路擁塞完全依賴子集�����,從而實(shí)現(xiàn)了 將狀態(tài)空間分割為幾個(gè)互不相關(guān)的子空間�����,并通過(guò)借鑒動(dòng)態(tài)規(guī)劃的思想,把過(guò)濾位置優(yōu)化 問(wèn)題分為幾個(gè)相似的子問(wèn)題��,降低了問(wèn)題的復(fù)雜度��。從而進(jìn)一步減少了冗余計(jì)算�����,實(shí)現(xiàn)最大 化被保護(hù)的帶寬資源的同時(shí)最小化過(guò)濾路由器的投入數(shù)量��;
[0027] 3���、對(duì)于新增加擁塞鏈路需要重新計(jì)算的問(wèn)題���,本發(fā)明提出了增量式計(jì)算的方法, 通過(guò)計(jì)算新加入的擁塞鏈路與鏈路擁塞依賴森林中其他鏈路擁塞依賴樹(shù)的依賴程度���,只需 修改與其相關(guān)的樹(shù)�����,而不必再重新處理所有的數(shù)據(jù)�����,從而大大減少了計(jì)算量����,避免了重復(fù)計(jì) 算帶來(lái)的低效和冗余的問(wèn)題。
[0028] 為了更好地說(shuō)明上述效果��,發(fā)明人將本發(fā)明的方法整合到已有的反應(yīng)式包過(guò)濾架 構(gòu)中去評(píng)估本發(fā)明中的過(guò)濾位置選擇方法的性能�,并且在基于真實(shí)拓?fù)浜蚑ransit-Stub的 DoS攻擊模擬場(chǎng)景中實(shí)現(xiàn)了運(yùn)個(gè)整合后的過(guò)濾策略。
[0029] 實(shí)驗(yàn)設(shè)置如下:
[0030] 通過(guò)在W下兩個(gè)拓?fù)渖线M(jìn)行模擬仿真實(shí)驗(yàn)�����,驗(yàn)證本發(fā)明算法的性能:
[0031] (l)Skitter拓?fù)洌↖TDK 9812)���。它是CAIDA公司在2011 年3月使用Archipelag監(jiān)視 器捜集的未經(jīng)加工的路由器級(jí)拓?fù)?��,每個(gè)路由器都直接連接一個(gè)主機(jī)��。
[0032] (2)Transit-stub拓?fù)?��。它是由ReaseGUI生成的人工Transit-Stub拓?fù)?��。人工拓?fù)?包含10個(gè)bans i t自治域和40個(gè)Stub自治域��,其中bans i t自治域的路由器被認(rèn)為是核屯��、路 由器�,Stub自治域的路由器被認(rèn)為是邊界路由器����,需要指出的是只有Stub AS的路由器會(huì) 連接一個(gè)主機(jī)。
[0033] 表1拓?fù)鋮?shù)
[0034]
[0035] 攻擊網(wǎng)絡(luò)的搭建是基于網(wǎng)絡(luò)仿真框架0M肥T++4.1JP網(wǎng)絡(luò)仿真工具箱INETW及 DoS攻擊仿真工具ReaSE���,該網(wǎng)絡(luò)的運(yùn)行環(huán)境是Intel2.40GHzdual-coreCPU���,4GB內(nèi)存和 Windows?。圖5為Skitter拓?fù)涫疽鈭D���。
[0036] 為了保證真實(shí)性�����,擁塞闊值CW設(shè)定為80%���。為了模擬DoS攻擊場(chǎng)景,首先指定一個(gè) 特定的主機(jī)作為受害者,攻擊者則隨機(jī)分布在終端主機(jī)中����。每個(gè)主機(jī)都W-定的概率向受 害者發(fā)包。因?yàn)閹?��,攻擊流速率等參?shù)的絕對(duì)值不能有效評(píng)估算法的效果��,發(fā)明人選擇帶 寬使用率作為評(píng)估的參數(shù)�����。
[0037] 因?yàn)?br>[003引 巧/瓦.扣)=你'.A) +馬恤����,'瓜)
[0039] 所W
[0040] uy&. &)=U''拓)+Ul(Ir' .執(zhí))二 了典色' 拓)/ '氏)+1山拓'.防)/ cy&' 歷)
[0041] 式中��,Γ(/αα)為鏈路松A的流量��,巧/心&)為鏈路/&.%的帶寬使用率�,C批,.&)為鏈 路/化&的容量,與(&.A)為在鏈路/化遠(yuǎn)上傳播的攻擊流速率���,為在鏈路拓上傳播 的正常流速率,化,(如&)為鏈路/a.A上正常流的帶寬利用率,t/i恤1.如為攻擊流的帶寬利用 率��。其中,(/λ'. e [0, Π ����,以',.(心 Λ.),Ξ[0, U���,(y,(/心Λ')��,0', (/λ'.Λ'.)都是比率�����,是用單位"Γ 來(lái)量 化表示實(shí)際的速率���。假設(shè)有g(shù)個(gè)攻擊者,那么[g/cw]單位每秒表示每條鏈路的容量�����,每個(gè)主 機(jī)發(fā)送正常流的速率是1單位每秒�。因此,在沒(méi)有攻擊流的情況下��,所有鏈路都不會(huì)擁塞。并 且設(shè)定���,所有的攻擊者發(fā)送攻擊流的速率是一樣的����。
[0042] 表2過(guò)濾位置優(yōu)化問(wèn)題的控制參數(shù)和對(duì)比算法
[0043]
[0044]
[0045] 由表2可知�����,可采用FRrati〇 = f/η����,來(lái)衡量算法效果,其中f是過(guò)濾路由的數(shù)量����,η是攻 擊者的數(shù)量。在控制參數(shù)中�����,鏈路共享率LSR是量化攻擊路徑的收斂程度;d = n/m�,其中η是 攻擊者數(shù),m是主機(jī)數(shù);b =攻擊者的發(fā)包量/鏈路容量�����。給定b��,對(duì)于鏈路 巧* £/瞭=好巧1 / (g / CW)] + ? *去�,其中,m是經(jīng)過(guò)/拓�����,跨的正常流量��,η是經(jīng)過(guò)|妃�����,南的攻 擊流量����,是由d和LSR決定。
[0046] 通過(guò)W上實(shí)驗(yàn)驗(yàn)證了( 1)鏈路共享率LSR( 2)攻擊者比率d(3)發(fā)包率bS個(gè)參數(shù)的 變化對(duì)算法性能的影響��,其結(jié)果分別如圖6~圖11所示�����。根據(jù)實(shí)驗(yàn)結(jié)果可知道,無(wú)論攻擊場(chǎng) 景如何變化��,本發(fā)明的E-mtering算法(即本發(fā)明的過(guò)濾路由選擇方法)只使用源端過(guò)濾 算法(即TDPF)25%的過(guò)濾路由節(jié)點(diǎn)就可W清除所有擁塞鏈路�,極大減少了防御系統(tǒng)中過(guò)濾 路由節(jié)點(diǎn)的投入量。其次����,通過(guò)簡(jiǎn)單的理論分析可知本發(fā)明的時(shí)間開(kāi)銷只有〇(化),其中η是 抓oS攻擊造成的擁塞鏈路數(shù)量���。
【附圖說(shuō)明】
[0047] 圖1為帶寬耗盡型攻擊網(wǎng)絡(luò)示意圖�����;
[0048] 圖2為根據(jù)圖1得到的防御網(wǎng)絡(luò)示意圖�����;
[0049] 圖3為由圖1得到的D-Tree示意圖�;
[(K)加]圖4為由圖1得到的D-Forest示意圖��;
[0化1 ] 圖5為Omnetpp模擬運(yùn)行化itter拓?fù)涫疽鈭D��;
[0化2]圖 6 為T(mén)Yansit-stub 拓?fù)渲胁煌?LSR��,TDPF、SF-L0C和 E-Filtering對(duì)應(yīng)的 FRrati���。 值比較示意圖��;
[0化3] 圖7為CAIDA拓?fù)渲胁煌腖SR,TDPF��、SF-L0C和E-Fi 1 tering對(duì)應(yīng)的FRratio值比較示 意圖��;
[0化4]圖8為T(mén)ransit-stub拓?fù)渲性黾庸粽弑壤疽鈭D�;
[0055] 圖9為化itter拓?fù)渲性黾庸粽弑壤疽鈭D;
[0056] 圖10為hansit-stub拓?fù)渲蠪Rrati�。與攻擊者發(fā)包率關(guān)系(小規(guī)模攻擊)示意圖;
[0057] 圖11為化itter拓?fù)渲蠪Rrati���。與攻擊者發(fā)包率關(guān)系(小規(guī)模攻擊)示意圖���;
[005引圖12是本發(fā)明的方法流程圖;
[0059] 圖13是實(shí)驗(yàn)例中加入一種新增擁塞鏈路后的攻擊網(wǎng)絡(luò)示意圖����;
[0060] 圖14是與圖13對(duì)應(yīng)的更新后的D-Forest示意圖;
[0061 ]圖15是實(shí)驗(yàn)例中加入另一種新增擁塞鏈路后的攻擊網(wǎng)絡(luò)示意圖�����;
[0062] 圖16是與圖15對(duì)應(yīng)的更新后的D-Forest示意圖。
[0063] 下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步的說(shuō)明����。
【具體實(shí)施方式】
[0064] 本發(fā)明的實(shí)施例:一種面向帶寬消耗型攻擊的過(guò)濾位置選擇方法,如圖12所示�,包 括W下步驟:建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset;根據(jù)所述的鏈路擁塞 完全依賴集合CDSset中鏈路的上下游依賴關(guān)系,建立相應(yīng)的鏈路擁塞依賴樹(shù);所有的鏈路擁 塞依賴樹(shù)組成鏈路擁塞依賴森林;所述鏈路擁塞依賴森林中每棵鏈路擁塞依賴樹(shù)的葉子路 由節(jié)點(diǎn)�����,即為面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置�。
[0065] 優(yōu)選的,所述的建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset具體包括 W下步驟:
[0066] 步驟1��,建立攻擊樹(shù)中路由節(jié)點(diǎn)的最簡(jiǎn)候選集化ncUet��,所述最簡(jiǎn)候選集化ncUet中的 元素為攻擊樹(shù)中各個(gè)擁塞鏈路的上游路由節(jié)點(diǎn)��;
[0067] 步驟2,根據(jù)鏈路擁塞依賴關(guān)系�,將最簡(jiǎn)候選集化ncUet中的各個(gè)路由節(jié)點(diǎn)劃分為一 個(gè)或多個(gè)鏈路擁塞完全依賴子集;
[0068] 步驟3,所有的鏈路擁塞完全依賴子集組成鏈路擁塞完全依賴集合CDSset����。
[0069] 具體的說(shuō)���,步驟2中,如果消除了所有經(jīng)過(guò)鏈路擁塞依賴子集^巧中路由節(jié)點(diǎn)的攻 擊流��,相應(yīng)的W路由節(jié)點(diǎn)Ri為直接上游節(jié)點(diǎn)的鏈路的擁塞也會(huì)消除�����,則判定路由節(jié)點(diǎn)Ri與 ?^^^具有鏈路擁塞完全依賴關(guān)系;計(jì)算路由節(jié)點(diǎn)扣與^玲.的并集�,即得鏈路擁塞完全依賴子 集CD5'6;其中鏈路擁塞依賴子集Wr表示Ri的上游路由節(jié)點(diǎn)集�,[町和Ri均為Candse沖的 兀素。
[0070] 優(yōu)選的����,對(duì)于鏈路擁塞完全依賴集合CDSset中的任意鏈路擁塞完全依賴子集CDSRi, 建立相應(yīng)的鏈路擁塞依賴樹(shù)D-Tree (Ri)具體包括W下步驟:
[0071] 步驟1����,對(duì)于鏈路擁塞完全依賴子集CDSRi中的任意節(jié)點(diǎn)化,建立相應(yīng)的鏈路擁塞依 賴子集UPrm所有的鏈路擁塞依賴子集組成鏈路擁塞依賴集合UP置;
[0072] 步驟2,利用擁塞鏈路之間的上下游關(guān)系�,將U蠟中所有的鏈路擁塞依賴子集按層 次連接成鏈路擁塞依賴樹(shù)D-化ee(Ri),其中Ri是樹(shù)根節(jié)點(diǎn)�����。
[0073] 更優(yōu)選的,步驟1還包括:按照鏈路擁塞依賴子集之間的包含關(guān)系�����,修剪鏈路擁塞 依賴集合-一對(duì)于鏈路擁塞依賴集合中的任意鏈路擁塞依賴子集UPRk���,如果鏈 路擁塞依賴集合U巧't中還存在鏈路擁塞依賴子集UPw包含于UPRk����,則將:UPRk中屬于UPrj的 元素刪除����。
[0074] 上述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法,采用增量式方法處理新加入的 擁塞鏈路����,更新鏈路擁塞依賴森林,選出面向帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu) 過(guò)濾位置���。
[0075] 優(yōu)選的����,若要將新增擁塞鏈路1化化插入原鏈路擁塞依賴森林中,其中�,的是該擁塞 鏈路的上游路由節(jié)點(diǎn),則對(duì)于原鏈路擁塞依賴森林中的每棵鏈路擁塞依賴樹(shù)執(zhí)行W下操 作:判斷經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流是否包含于經(jīng)過(guò)各個(gè)樹(shù)根節(jié)點(diǎn)的攻擊流中�����,如果沒(méi)有任 何一棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)扣的攻擊流�����,說(shuō)明咕不屬于任何一棵已有樹(shù)��,則建立一棵只有根 節(jié)點(diǎn)的樹(shù)D-化ee(Rj)����,并將其插入原鏈路擁塞依賴森林中���;如果有且只有一棵樹(shù)D-化ee(Rm) 包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流���,并且Rm與Rj之間還存在擁塞依賴關(guān)系,則將Rj插入到原鏈路 擁塞依賴樹(shù)D-化ee(Rm)中��;如果有多棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流�,并且運(yùn)些樹(shù)與Rj之 間存在擁塞依賴關(guān)系,則利用相關(guān)樹(shù)的路由節(jié)點(diǎn)集和路由節(jié)點(diǎn)扣建立一棵新的樹(shù),并將其 插入原鏈路擁塞依賴森林中���,修剪更新后的鏈路擁塞依賴森林�����,刪除其中多余的樹(shù)�����。
[0076] 更優(yōu)選的��,所述的將咕插入到原鏈路擁塞依賴樹(shù)D-化ee(Rm)中具體包括W下步驟: 判斷經(jīng)過(guò)扣的攻擊流的集合與經(jīng)過(guò)樹(shù)根節(jié)點(diǎn)Rm的攻擊流的集合是否相等���,如果相等,則將Rm 的所有子節(jié)點(diǎn)賦給扣�����,然后刪除Rm的所有子節(jié)點(diǎn)�,并使扣成為Rm新的子節(jié)點(diǎn);如果不相等��,貝U 對(duì)原鏈路擁塞依賴樹(shù)D-化ee (Rm)進(jìn)行層次遍歷��,并對(duì)每個(gè)樹(shù)節(jié)點(diǎn)化執(zhí)行W下操作:重新計(jì)算 UPRk;如果節(jié)點(diǎn)扣屬于UPRk且化不是葉子節(jié)點(diǎn),則將扣迭代插入到W化為根節(jié)點(diǎn)的鏈路擁塞依 賴樹(shù)D-化ee (化)中�;如果節(jié)點(diǎn)Rj屬于UPRk且化是葉子節(jié)點(diǎn),則將節(jié)點(diǎn)Rj鏈接到節(jié)點(diǎn)化下���,使其 成為節(jié)點(diǎn)化的葉子節(jié)點(diǎn)��。
[0077] 實(shí)驗(yàn)例:圖1是給定的攻擊網(wǎng)絡(luò)(可采用溯源方法構(gòu)建)����,圖2是相應(yīng)的防御模型��。經(jīng) 過(guò)對(duì)攻擊行為的深入分析���,可將帶寬耗盡型攻擊網(wǎng)絡(luò)定義為一個(gè)多源單匯的圖���,表示為Gs ={Vs,Ls����,Ss���,化����,Rs,F(xiàn)s��,Cs���,Ts}���,式中,Gs表示攻擊網(wǎng)絡(luò)����,Vs表示攻擊網(wǎng)絡(luò)Gs中的節(jié)點(diǎn)集合,Ls表 不攻擊網(wǎng)絡(luò)Gs中的鏈路集合����,Ss表不攻擊網(wǎng)絡(luò)Gs中的攻擊源集合,Ds表不攻擊網(wǎng)絡(luò)Gs中的根 節(jié)點(diǎn)����,Rs表示攻擊網(wǎng)絡(luò)Gs中的攻擊流速率集合,F(xiàn)s表示攻擊網(wǎng)絡(luò)中節(jié)點(diǎn)和攻擊路徑的關(guān)系集 合��,Cs表示攻擊網(wǎng)絡(luò)Gs中鏈路的帶寬使用率�����,Ts表示每條鏈路的實(shí)際流量集合。
[0078] 其中����,節(jié)點(diǎn)集舍
'其中Ai是攻擊路徑,是指從攻擊者Ai到受害者V的唯一 且有序的路由器列表����,戶4:是Ai中所有中間節(jié)點(diǎn)的集合;AS是所有攻擊路徑的集合;攻擊路 徑Ai是由兩部分組成,節(jié)點(diǎn)集說(shuō)=(巧I巧巨4,和鏈路集心=批,&|&典£^}���,其中1?徒示 路由器��,/況.成表示從Ri到Rj的鏈路�����?��?刹捎靡延蟹椒?如PS口)精確識(shí)別攻擊路徑AS = {Ai I 0
[0079] 鏈路集看
[0080] 攻擊源集合
其中,表示攻擊路徑Ai的入口路由�;
[0081 ]攻擊流速率集合化= VAe AS}���,其中7?是攻擊者Ai向受害者發(fā)包速率����,該值 可W通過(guò)計(jì)算入口路由到達(dá)流量得到河采用已有方法測(cè)量網(wǎng)絡(luò)流量,如化tFlow���、MRTG等����;
[0082] 攻擊網(wǎng)絡(luò)Gs中鏈路的帶寬使用率Cs: C = I ν/β,.Α e�,其中C(& 是Ri向 Rj的接口傳輸?shù)淖畲笏俾剩蒞通過(guò)SNMP計(jì)算得知����;
[0083] 關(guān)系集合Fs:巧· = ·[癡i游? G巧,其中癡={測(cè)化η化古0�����,居娘};
[0084] 鏈路流量集合7��;二I V/&���,R £ ����,其中了妃巧是Ri向Rj的接口傳輸?shù)牧髁浚?W通過(guò)SNMP�、NetFlow計(jì)算得知。
[0085] 對(duì)于鏈路跨E義�����,它的流量表示為�,容量表示為C(/&.A),其中 7-= """(7?-化嘶V(/"..") + /('姆/"!"化-化婚7?.�����。鏈路的帶寬使用率表示為 L·' ,0 二 7- �、vy (/,'、'.")> 廣巧'�,CWe [0,1 ]��,判定鏈路為擁塞�����。
[0086] 圖1中,共有6條擁塞鏈路���,分別是/勒,艙,./抵,&3,i々3,化,/?2,腳��,&1��。,故:和/ffs,曲.�����,其中入口 路由旁邊的數(shù)字表示攻擊流的發(fā)包率����,節(jié)點(diǎn)旁邊的括號(hào)內(nèi)表示經(jīng)過(guò)該節(jié)點(diǎn)的攻擊流,鏈路 旁邊的方框內(nèi)分別表示該鏈路的容量��,流量和帶寬使用率����。
[0087] W圖1為例,具體介紹本發(fā)明的方法流程�,具體分為兩步:建立鏈路擁塞依賴森林 D-Forest和增量更新。
[0088] 一���、建鏈路擁塞依賴森林D-Forest:
[0089] (1)建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDSset;具體包括W下步驟:
[0090] 步驟1�����,建立攻擊樹(shù)中路由節(jié)點(diǎn)的最簡(jiǎn)候選集CancUet(即{R2�����,R3���,R4�,R5�,R8,R10})�, 所述最簡(jiǎn)候選集化ncUet中的元素為攻擊樹(shù)中各個(gè)擁塞鏈路的上游路由節(jié)點(diǎn);
[0091] 步驟2,根據(jù)鏈路擁塞依賴關(guān)系����,將最簡(jiǎn)候選集化ncUet中的各個(gè)路由節(jié)點(diǎn)劃分為一 個(gè)或多個(gè)鏈路擁塞完全依賴子集(即劃分為3個(gè)鏈路擁塞完全依賴子集:CDSr2={R2,R3���, R4�,R5}�����、CDSr8 = {R8 巧PCDSrio = {R10});
[0092] 步驟3,所有的鏈路擁塞完全依賴子集組成鏈路擁塞完全依賴集合CDSset;
[0093] (2)根據(jù)所述的鏈路擁塞完全依賴集合CDSset中鏈路的上下游依賴關(guān)系,建立相應(yīng) 的鏈路擁塞依賴樹(shù)��,具體的說(shuō)��,針對(duì)鏈路擁塞完全依賴集合CDSset中的任一子集CDSri���,建立 相應(yīng)的鏈路擁塞依賴樹(shù)(即如圖3、圖4所示)��;
[0094] (3)所有的鏈路擁塞依賴樹(shù)組成鏈路擁塞依賴森林(如圖4所示)��;所述鏈路擁塞依 賴森林中每棵鏈路擁塞依賴樹(shù)的葉子路由節(jié)點(diǎn)���,即為面向帶寬消耗型攻擊的攻擊樹(shù)中路由 節(jié)點(diǎn)的最優(yōu)過(guò)濾位置(即最優(yōu)路由過(guò)濾位置為R4����、R5���、R8�����、R10)���。
[00M] 步驟2中�,如果消除了所有經(jīng)過(guò)鏈路擁塞依賴子集中路由節(jié)點(diǎn)的攻擊流��,相應(yīng) 的W路由節(jié)點(diǎn)Ri為直接上游節(jié)點(diǎn)的鏈路的擁塞也會(huì)消除����,則判定路由節(jié)點(diǎn)具有鏈 路擁塞完全依賴關(guān)系;計(jì)算路由節(jié)點(diǎn)Ri與的并集,即得鏈路擁塞完全依賴子集CDSg;其 中鏈路擁塞依賴子集表示Ri的上游路由節(jié)點(diǎn)集�,心^和私均為化ncUet中的元素。比如消 除了所有經(jīng)過(guò)UPR2路由節(jié)點(diǎn)的攻擊流�����,相應(yīng)的W路由節(jié)點(diǎn)R2為直接上游節(jié)點(diǎn)的鏈路(即R2到 R1的鏈路)的擁塞也會(huì)消除�,則判定路由節(jié)點(diǎn)R2與UPR2具有鏈路擁塞完全依賴關(guān)系,CDSr2 = {R2����,R3,R4���,R5}�����。
[0096] 對(duì)于鏈路擁塞完全依賴集合CDSset中的任意鏈路擁塞完全依賴子集CDSRi(比如 CDSr2 = {R2���,R3�����,R4����,R5})����,建立相應(yīng)的鏈路擁塞依賴樹(shù)D-Tree化)(即D-TYee (R2))具體包括 W下步驟:
[0097] 步驟1�����,對(duì)于鏈路擁塞完全依賴子集CDSRi中的任意節(jié)點(diǎn)化��,建立相應(yīng)的鏈路擁塞依 賴子集l-)Pw����,:(比如 UPr尸{R3, R4, R5}; UPk.����,={R4, R5}; UP,產(chǎn)空集�;UPrs=空集)所有 的鏈路擁塞依賴子集組成鏈路擁塞依賴集合UP豈;
[0098] 按照鏈路擁塞依賴子集之間的包含關(guān)系��,修剪鏈路擁塞依賴集合肋P芝一一對(duì)于鏈 路擁塞依賴集合?巧I中的任意鏈路擁塞依賴子集upRk�����,如果鏈路擁塞依賴集合陽(yáng)思中還 存在鏈路擁塞依賴子集UPr泡含于研如����,則將??ν中屬于UPw的元素刪除;(比如UPr.�,包含 于 UIV,則可將 UPk2 中的 R4�����,R5 刪除)���,即得 UPr2={R3 }; UJPrHR4, R5}; UIV=空集; UP|;5=空集���;
[0099] 步驟2,利用擁塞鏈路之間的上下游關(guān)系�,將中所有的鏈路擁塞依賴子集按層 次連接成鏈路擁塞依賴樹(shù)D-Tree(Ri)�,其中Ri是樹(shù)根節(jié)點(diǎn)。如圖3所示��。
[0100] 二���、增量更新:
[0101] 采用增量式方法處理新加入的擁塞鏈路��,更新鏈路擁塞依賴森林��,選出面向帶寬 消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置�。
[0102] 具體的��,若在圖1中新增一條攻擊流A7,從而引入新的擁塞鏈路iRWk���,其中Rj是該 擁塞鏈路的上游路由節(jié)點(diǎn),把它插入原鏈路擁塞依賴森林中需要對(duì)每棵樹(shù)執(zhí)行W下操作: 判斷經(jīng)過(guò)路由節(jié)點(diǎn)R北勺攻擊流是否包含于經(jīng)過(guò)各個(gè)樹(shù)根節(jié)點(diǎn)的攻擊流中�,如果沒(méi)有任何一 棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)扣的攻擊流,說(shuō)明咕不屬于任何一棵已有樹(shù)�,則建立一棵只有根節(jié)點(diǎn) 的樹(shù)D-化ee(Rj),并將其插入原鏈路擁塞依賴森林中(如圖13所示�,擁塞鏈路為lm,Ri,其中 Rii是上游路由節(jié)點(diǎn)�����,由于經(jīng)過(guò)Rii的攻擊流與已有樹(shù)都不相關(guān),因此直接在原鏈路擁塞依賴 森林中建立一棵WRi功根節(jié)點(diǎn)的樹(shù)�����,如圖14所示)��;如果有且只有一棵樹(shù)D-Tree(Rm)包含經(jīng) 過(guò)路由節(jié)點(diǎn)扣的攻擊流�����,并且Rm與扣之間還存在擁塞依賴關(guān)系�,則將R遍入到原鏈路擁塞依 賴樹(shù)D-Tree(Rm)中(如圖15所示,擁塞鏈路為lm,R9,其中Rii是上游路由節(jié)點(diǎn)���,由于只有經(jīng)過(guò) D-化ee(Rs)的攻擊流包含經(jīng)過(guò)化1的攻擊流且它們彼此存在鏈路擁塞依賴關(guān)系���,因此直接將 路由節(jié)點(diǎn)Rii插入到原鏈路擁塞依賴樹(shù)D-化ee(Rs)中,更新后的鏈路擁塞依賴森林如圖16所 示)�����;如果有多棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)咕的攻擊流,并且運(yùn)些樹(shù)與咕之間存在擁塞依賴關(guān)系����, 貝1J利用相關(guān)樹(shù)的路由節(jié)點(diǎn)集和路由節(jié)點(diǎn)R遵立一棵新的樹(shù),并將其插入原鏈路擁塞依賴森 林中�,修剪更新后的鏈路擁塞依賴森林,刪除其中多余的樹(shù)���。
[0103] 更具體的�,如果有且只有一棵樹(shù)D-化ee(Rm)包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流��,并且Rm 與Rj之間還存在擁塞依賴關(guān)系����,則將Rj插入到原鏈路擁塞依賴樹(shù)D-化ee(Rm)中具體包括W 下步驟:判斷經(jīng)過(guò)R非勺攻擊流的集合與經(jīng)過(guò)樹(shù)根節(jié)點(diǎn)Rm的攻擊流的集合是否相等,如果相 等�����,則將Rm的所有子節(jié)點(diǎn)賦給扣����,然后刪除Rm的所有子節(jié)點(diǎn)����,并使扣成為Rm新的子節(jié)點(diǎn)�����;如果 不相等�,則對(duì)原鏈路擁塞依賴樹(shù)D-Tree(Rm)進(jìn)行層次遍歷�����,并對(duì)每個(gè)樹(shù)節(jié)點(diǎn)Rk執(zhí)行W下操 作:重新計(jì)算UPRk;如果節(jié)點(diǎn)扣屬于UPRk且化不是葉子節(jié)點(diǎn)���,則將R推代插入到W化為根節(jié)點(diǎn) 的鏈路擁塞依賴樹(shù)D-化ee(化)中�;如果節(jié)點(diǎn)Rj屬于UPRk且化是葉子節(jié)點(diǎn)�,則將節(jié)點(diǎn)Rj鏈接到 節(jié)點(diǎn)化下,使其成為節(jié)點(diǎn)化的葉子節(jié)點(diǎn)��。
[0104] 對(duì)于單獨(dú)的一條擁塞鏈路而言���,由于攻擊流的方向性�����,最優(yōu)的路由過(guò)濾位置一定 是在運(yùn)條擁塞鏈路的上游路由節(jié)點(diǎn)���,W下進(jìn)行論證:
[0105] 對(duì)于鏈路紅.的上游節(jié)點(diǎn)集��,一共有兩種情況:
[0106] (1)當(dāng)時(shí)�,意味著只有一個(gè)上游節(jié)點(diǎn)�����,也就是說(shuō)����,運(yùn)個(gè)節(jié)點(diǎn)是一個(gè)入口路 由。那么���,為了解決擁塞只能選運(yùn)個(gè)節(jié)點(diǎn)作為過(guò)濾路由�。如圖1����,只有在R4開(kāi)啟過(guò)濾可W解 決./腳,報(bào)的擁塞�����。
[0107] (2)當(dāng)時(shí)����,上游節(jié)點(diǎn)可W分為兩類:直接上游節(jié)點(diǎn)Ri和間接上游節(jié)點(diǎn) 蘆細(xì)-(化,毎)��。如圖1���,對(duì)于擁塞鏈路/化�,K,�,它的直接上游節(jié)點(diǎn)是防,戶·餅·(柄' &)=撕'化'化的�����。 W下證明私比片/令)^.',,,,*���;)更適合做過(guò)濾路由:在攻擊網(wǎng)絡(luò)63中����,每個(gè)節(jié)點(diǎn)都有一個(gè)參數(shù)表 示通過(guò)該節(jié)點(diǎn)的攻擊流集合�����。對(duì)于八巧4-£公巧'0^斬&'��;),(1)如果/脈仁:/底,那么私的過(guò)濾效 果比Rk好���。如圖2,對(duì)于擁塞鏈路 /"�����、."����,化如麻=i/k/i<���,�����;��,= !瓜/1;.,的���, Rs能比R9過(guò)濾更多的攻擊流。(2)如果/& =如�,那么Ri和Rk過(guò)濾效果一樣,如圖1 成2 = /化={成^��,^;;|��。但是�,與1?1有一樣效果的1?1^不一定存在�����,為了保證本發(fā)明方法的適用 性�,Ri是最適合的過(guò)濾位置。
【主權(quán)項(xiàng)】
1. 一種面向帶寬消耗型攻擊的過(guò)濾位置選擇方法����,其特征在于,包括以下步驟:建立攻 擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDS se3t;根據(jù)所述的鏈路擁塞完全依賴集合CDSse3t 中鏈路的上下游依賴關(guān)系����,建立相應(yīng)的鏈路擁塞依賴樹(shù);所有的鏈路擁塞依賴樹(shù)組成鏈路 擁塞依賴森林;所述鏈路擁塞依賴森林中每棵鏈路擁塞依賴樹(shù)的葉子路由節(jié)點(diǎn),即為面向 帶寬消耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置��。2. 根據(jù)權(quán)利要求1所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法�����,其特征在于�����,所述 的建立攻擊樹(shù)中路由節(jié)點(diǎn)的鏈路擁塞完全依賴集合CDS se3t具體包括以下步驟: 步驟1,建立攻擊樹(shù)中路由節(jié)點(diǎn)的最簡(jiǎn)候選集Candse3t��,所述最簡(jiǎn)候選集Candse3t中的元素 為攻擊樹(shù)中各個(gè)擁塞鏈路的上游路由節(jié)點(diǎn)���; 步驟2,根據(jù)鏈路擁塞依賴關(guān)系�����,將最簡(jiǎn)候選集CancUt中的各個(gè)路由節(jié)點(diǎn)劃分為一個(gè)或 多個(gè)鏈路擁塞完全依賴子集�; 步驟3,所有的鏈路擁塞完全依賴子集組成鏈路擁塞完全依賴集合CDSse3t����。3. 根據(jù)權(quán)利要求2所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法,其特征在于�����,步驟 2中���,如果消除了所有經(jīng)過(guò)鏈路擁塞依賴子集中路由節(jié)點(diǎn)的攻擊流���,相應(yīng)的以路由節(jié)點(diǎn) h為直接上游節(jié)點(diǎn)的鏈路的擁塞也會(huì)消除�����,則判定路由節(jié)點(diǎn)心與^7^具有鏈路擁塞完全依 賴關(guān)系;計(jì)算路由節(jié)點(diǎn)的并集��,即得鏈路擁塞完全依賴子集其中鏈路擁塞依 賴子集表示Ri的上游路由節(jié)點(diǎn)集�����,和心均為CancUt中的元素。4. 根據(jù)權(quán)利要求1所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法��,其特征在于�,對(duì)于 鏈路擁塞完全依賴集合CDSse3t中的任意鏈路擁塞完全依賴子集CDS Ri,建立相應(yīng)的鏈路擁塞 依賴樹(shù)D-Tree(Ri)�����,具體包括以下步驟: 步驟1��,對(duì)于鏈路擁塞完全依賴子集CDSRi中的任意節(jié)點(diǎn)Rk��,建立相應(yīng)的鏈路擁塞依賴子 集UPRk�����,所有的鏈路擁塞依賴子集組成鏈路擁塞依賴集合UPfi; 步驟2,利用擁塞鏈路之間的上下游關(guān)系,將?Ρ^中所有的鏈路擁塞依賴子集按層次連 接成鏈路擁塞依賴樹(shù)D-Tree(Ri)�����,其中Ri是樹(shù)根節(jié)點(diǎn)�。5. 根據(jù)權(quán)利要求4所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法,其特征在于����,步驟 1還包括:按照鏈路擁塞依賴子集之間的包含關(guān)系,修剪鏈路擁塞依賴集合--對(duì)于鏈 路擁塞依賴集合中的任意鏈路擁塞依賴子集?Ρ κΚ��,如果鏈路擁塞依賴集合UP3中還 存在鏈路擁塞依賴子集包含于UIV�,則將UPRk中屬于UP Rj的元素刪除。6. 根據(jù)權(quán)利要求1~5中任一項(xiàng)所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法����,其特 征在于,采用增量式方法處理新加入的擁塞鏈路�,更新鏈路擁塞依賴森林,選出面向帶寬消 耗型攻擊的攻擊樹(shù)中路由節(jié)點(diǎn)的最優(yōu)過(guò)濾位置��。7. 根據(jù)權(quán)利要求6所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法�,其特征在于,若要 將新增擁塞鏈路lRj,Rk插入原鏈路擁塞依賴森林中,其中����,Rj是該擁塞鏈路的上游路由節(jié)點(diǎn), 則對(duì)于原鏈路擁塞依賴森林中的每棵鏈路擁塞依賴樹(shù)執(zhí)行以下操作:判斷經(jīng)過(guò)路由節(jié)點(diǎn)心 的攻擊流是否包含于經(jīng)過(guò)各個(gè)樹(shù)根節(jié)點(diǎn)的攻擊流中�,如果沒(méi)有任何一棵樹(shù)包含經(jīng)過(guò)路由節(jié) 點(diǎn)Rj的攻擊流,說(shuō)明Rj不屬于任何一棵已有樹(shù)���,則建立一棵只有根節(jié)點(diǎn)的樹(shù)D-Tre e(Rj)��,并 將其插入原鏈路擁塞依賴森林中�����;如果有且只有一棵樹(shù)D-Tree(Rm)包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的 攻擊流,并且Rm與Rj之間還存在擁塞依賴關(guān)系��,則將Rj插入到原鏈路擁塞依賴樹(shù)D-Tree(Rm) 中���;如果有多棵樹(shù)包含經(jīng)過(guò)路由節(jié)點(diǎn)Rj的攻擊流�,并且這些樹(shù)與Rj之間存在擁塞依賴關(guān)系����, 貝1J利用相關(guān)樹(shù)的路由節(jié)點(diǎn)集和路由節(jié)點(diǎn)心建立一棵新的樹(shù),并將其插入原鏈路擁塞依賴森 林中,修剪更新后的鏈路擁塞依賴森林����,刪除其中多余的樹(shù)。8.根據(jù)權(quán)利要求7所述的面向帶寬消耗型攻擊的過(guò)濾位置選擇方法�����,其特征在于���,所述 的將Rj插入到原鏈路擁塞依賴樹(shù)D-Tree (Rm)中具體包括以下步驟:判斷經(jīng)過(guò)Rj的攻擊流的 集合與經(jīng)過(guò)樹(shù)根節(jié)點(diǎn)Rm的攻擊流的集合是否相等�,如果相等�����,則將R m的所有子節(jié)點(diǎn)賦給心��, 然后刪除1的所有子節(jié)點(diǎn)�,并使^成為1新的子節(jié)點(diǎn);如果不相等���,則對(duì)原鏈路擁塞依賴樹(shù) D-Tree(Rm)進(jìn)行層次遍歷��,并對(duì)每個(gè)樹(shù)節(jié)點(diǎn)Rk執(zhí)行以下操作:重新計(jì)算UPRk;如果節(jié)點(diǎn)Rj屬于 UPRk且Rk不是葉子節(jié)點(diǎn)�,則將Rj迭代插入到以Rk為根節(jié)點(diǎn)的鏈路擁塞依賴樹(shù)D-Tree(Rk)中; 如果節(jié)點(diǎn)Rj屬于UP Rk且Rk是葉子節(jié)點(diǎn)��,則將節(jié)點(diǎn)Rj鏈接到節(jié)點(diǎn)Rk下���,使其成為節(jié)點(diǎn)Rk的葉子 節(jié)點(diǎn)�����。
【文檔編號(hào)】H04L29/06GK106060045SQ201610375191
【公開(kāi)日】2016年10月26日
【申請(qǐng)日】2016年5月31日
【發(fā)明人】魯寧, 崔鍇倩
【申請(qǐng)人】東北大學(xué)