現(xiàn)有的針對流量型網(wǎng)絡(luò)攻擊的防御方法主要是在監(jiān)測點發(fā)現(xiàn)異常后對流量進行阻斷,僅能降低所在路徑的攻擊流量但無法降低整個網(wǎng)絡(luò)的負(fù)載。針對這種情況,文章提出一種基于拓?fù)浞治龅木W(wǎng)絡(luò)攻擊流量分流和阻斷方法,基于拓?fù)浞治鰪木W(wǎng)絡(luò)全局角度出發(fā)實現(xiàn)攻擊流量分流阻斷。該方法基于多種發(fā)現(xiàn)策略獲取網(wǎng)絡(luò)拓?fù)?在網(wǎng)絡(luò)攻擊階段采用基于K條最短路徑分流的方法實現(xiàn)網(wǎng)絡(luò)流量分流;同時基于主機行為特征對網(wǎng)絡(luò)攻擊進行溯源,并采用基于流表的報文實時過濾方案進行阻斷。實驗結(jié)果表明,該方法具有系統(tǒng)開銷小、魯棒性好、阻斷效率高的特點,實用價值較強。 

【文章來源】：信息網(wǎng)絡(luò)安全. 2020,20(03)北大核心CSCD

【文章頁數(shù)】：9 頁

【部分圖文】：

網(wǎng)絡(luò)流量特征變化

圖1為本文方法的整體架構(gòu)，分為拓?fù)浒l(fā)現(xiàn)、攻擊分流和溯源阻斷3個模塊。拓?fù)浒l(fā)現(xiàn)模塊基于多種發(fā)現(xiàn)策略獲取網(wǎng)絡(luò)拓?fù)�，是該方法的基礎(chǔ)，主要包含基于設(shè)備信息的拓?fù)浒l(fā)現(xiàn)、基于鏈路信息的拓?fù)浒l(fā)現(xiàn)、基于網(wǎng)絡(luò)層信息的拓?fù)浒l(fā)現(xiàn)、基于應(yīng)用信息的拓?fù)浒l(fā)現(xiàn)等策略�？刂破鞲鶕�(jù)拓?fù)湫畔⑸删W(wǎng)絡(luò)拓?fù)鋱D。攻擊分流模塊采用基于K條最短路徑分流的方法實現(xiàn)網(wǎng)絡(luò)流量的分流。首先計算網(wǎng)絡(luò)中由攻擊點到被攻擊目標(biāo)所有路徑中的K條最短路徑；然后計算這K條路徑的剩余帶寬；最后將流量按各路徑剩余帶寬的比例分配到各路徑上。在進行網(wǎng)絡(luò)流量分流的同時，溯源阻斷模塊首先通過提取流量的特征實現(xiàn)攻擊終端的溯源定位；然后根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M行阻斷點選擇；最后向阻斷點所在的控制器下發(fā)阻斷指令實現(xiàn)阻斷。

(2)s2向網(wǎng)絡(luò)泛洪的數(shù)據(jù)包通過1號端口傳遞到s1的2號端口，s1接收到該數(shù)據(jù)包后轉(zhuǎn)發(fā)到控制器，控制器收到數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的收發(fā)信息得到s1和s2的連接拓?fù)浼存溌沸畔⒉⒂涗洝?3）同理，s3泛洪的數(shù)據(jù)包通過1號端口傳遞至s1的1號端口然后轉(zhuǎn)發(fā)至控制器，控制器記錄該鏈路。以此類推，控制器得到網(wǎng)絡(luò)的所有鏈路信息，進而得到網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。


本文編號：3472490