基于虛擬哈希安全訪問路徑VHSAP的云計算路由平臺防御DDoS攻擊方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明是一種應(yīng)用于云計算路由平臺的防御DDoS攻擊的核心算法�����。該發(fā)明可以 有效的防御針對云計算中心和云計算路由平臺的DDoS攻擊�。該發(fā)明屬于計算機(jī)技網(wǎng)絡(luò)安 全領(lǐng)域拒絕服務(wù)攻擊防御技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 分布式拒絕服務(wù)攻擊(DDoS)是目前對網(wǎng)絡(luò)信息安全具有巨大威脅的一類攻擊����, 它破壞性強(qiáng)且易于發(fā)動,又因為有多層傀儡機(jī)做跳板��,能夠很好的隱藏攻擊者身份�。云計算 數(shù)據(jù)中心承載了所有使用云服務(wù)的客戶的任務(wù),所有云服務(wù)使用者都需要與云計算中心進(jìn) 行通信�����,一旦云計算中心發(fā)生故障���,所有用戶都會受到影響����。這對一些使用云服務(wù)的大型企 業(yè)來說影響尤為巨大��。所以��,分布式拒絕服務(wù)攻擊對云計算中心的威脅是十分巨大的�,針對 云計算中心來防御分布式拒絕服務(wù)攻擊是刻不容緩的。
[0003] 針對防御DDoS攻擊的方法����,現(xiàn)有研究成果很多,許多學(xué)者提出了創(chuàng)新性的方法��。 在基于安全訪問路徑SAP(Security Access Path)方面的研究主要有以下幾點(diǎn)�。IEEE成 員 Angelos D. Keromytis,Vishal Misra�����,Dan Rubenstein 提出了 一種安全覆蓋網(wǎng)絡(luò)服 務(wù)(Secure Overlay Services, S0S)�,利用強(qiáng)大過濾功能和安全隧道技術(shù),能夠有效阻 止DDoS攻擊�,并針對接入點(diǎn)有可能被攻擊者掃描并攻擊提出解決方法。之后����,Angelos D. Keromytis又假設(shè)攻擊者可能針對SOS方法中的接入節(jié)點(diǎn)進(jìn)行集中攻擊,并提出對客戶 的接入方式進(jìn)行改進(jìn)����,使得用戶能夠隨機(jī)通過多個接入節(jié)點(diǎn)進(jìn)入SOS結(jié)構(gòu)���,進(jìn)而避免被攻 擊者追蹤到。Chi-Hyung In����,Choong Seon Hong,Jiang Wei�����,Koji Okamura 針對原覆蓋網(wǎng) 絡(luò)的安全措施的漏洞提出突發(fā)式攻擊與漸變式攻擊來提高攻擊效率����,并提出對網(wǎng)絡(luò)流量使 用聚類方法檢測流量異常。IEEE 成員 Xun Wang, Sriram Chellappan����,Phillip Boyer, Dong Xuan針對原覆蓋網(wǎng)絡(luò)的結(jié)構(gòu)提出入侵攻擊與擁塞攻擊結(jié)合的新的攻擊方式,并通過改變結(jié) 構(gòu)層數(shù)���,映射度數(shù)�,節(jié)點(diǎn)數(shù)等參數(shù)來分析安全覆蓋網(wǎng)絡(luò)服務(wù)性能���。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明將根據(jù)客戶至云計算中心之間的云計算泛聯(lián)路由平臺的結(jié)構(gòu)特點(diǎn)���,在對一 致性哈希鏈路訪問策略結(jié)構(gòu)進(jìn)行修改后將其結(jié)合進(jìn)來。本發(fā)明又通過一致性哈希鏈路訪問 策略的研究����,提出在與云計算路由平臺結(jié)合后可能會遇到的一些針對性的攻擊,并對原有 策略進(jìn)行改進(jìn)��,提出將虛擬化和心跳機(jī)制結(jié)合進(jìn)來的虛擬-哈希安全路徑��,能夠在節(jié)省開 銷的同時提高哈希安全路徑自身的防御效果�。本發(fā)明的主要內(nèi)容為:
[0005] 1、對云計算路由平臺的拓?fù)浣Y(jié)構(gòu)進(jìn)行三層抽象化提取
[0006] 云計算的數(shù)據(jù)傳輸平臺也稱為泛聯(lián)路由平臺�����。它是承載云計算的數(shù)據(jù)傳輸平臺�����, 通過各層次路由設(shè)備的接入和業(yè)務(wù)處理能力�,滿足云計算數(shù)據(jù)中心對終端用戶業(yè)務(wù)提供的 高可用、易用��、可擴(kuò)展性。云計算路由平臺具有層次化的特點(diǎn)����,大多可以分為核心層、中間層 和接入層三層�。用戶發(fā)送請求經(jīng)由接入層通過中間層路由,核心層路由�����,最后到達(dá)云計算中 心���。
[0007] 原一致性哈希鏈路訪問結(jié)構(gòu)是應(yīng)用于無層次結(jié)構(gòu)的P2P網(wǎng)絡(luò)中的�,完全按照 chord算法的忽略物理拓?fù)涞穆酚煞绞?��,這種路由方式雖然能夠很好的濾除攻擊流�����,但是同 時也帶來了很大的時延問題�����。通過研究層次化云計算路由平臺的結(jié)構(gòu)�����,結(jié)合原應(yīng)用于P2P 網(wǎng)絡(luò)的一致性哈希鏈路訪問策略�����,提出了基于云計算路由平臺的哈希安全訪問路徑���,在應(yīng) 用chord算法的應(yīng)用層路由方式同時結(jié)合層次化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點(diǎn),在保證濾除攻擊流 的同時使得路由方式盡量適合于層次化的物理拓?fù)?�。哈希安全訪問路徑結(jié)構(gòu)示意圖如圖1 所示��。
[0008] 2�����、將一致性哈希鏈路訪問策略應(yīng)用于云計算路由平臺三層結(jié)構(gòu)���。
[0009] 將云計算中心作為哈希安全路徑結(jié)構(gòu)中的目標(biāo)����,分別在核心層���,中間層����,接入層中 安排部分節(jié)點(diǎn)作為哈希安全路徑中的秘密節(jié)點(diǎn),指引節(jié)點(diǎn)和安全接入節(jié)點(diǎn)����。用戶如果要訪 問云計算中心,首先會將請求發(fā)送至接入層節(jié)點(diǎn)��。此節(jié)點(diǎn)如果不是安全接入節(jié)點(diǎn)����,則會將請 求轉(zhuǎn)發(fā)到相鄰的安全接入節(jié)點(diǎn)上。安全接入節(jié)點(diǎn)對其進(jìn)行身份驗證后按照一致性哈希算法 向上一層指引節(jié)點(diǎn)進(jìn)行路由轉(zhuǎn)發(fā)��,指引節(jié)點(diǎn)再將數(shù)據(jù)包轉(zhuǎn)發(fā)至秘密節(jié)點(diǎn)����。最后,秘密節(jié)點(diǎn)再 將數(shù)據(jù)包轉(zhuǎn)發(fā)至目標(biāo)��。目標(biāo)周圍的過濾器設(shè)定了規(guī)則只允許來自于秘密節(jié)點(diǎn)的數(shù)據(jù)包通 過����。合法用戶的數(shù)據(jù)包的傳輸過程都是建立在應(yīng)用層上的路由方式�����,而攻擊者如果要對云 計算中心發(fā)動攻擊��,就只能按照網(wǎng)絡(luò)層的路由協(xié)議進(jìn)行�。
[0010] 同時應(yīng)在與哈希安全路徑的指引節(jié)點(diǎn)和秘密節(jié)點(diǎn)連接的路由器上設(shè)定規(guī)則�����,丟棄 不屬于哈希安全路徑結(jié)構(gòu)中的節(jié)點(diǎn)轉(zhuǎn)發(fā)而來的數(shù)據(jù)包����,這樣攻擊者所發(fā)動的攻擊流就必須 要在3層轉(zhuǎn)發(fā)中都能夠選擇中哈希安全路徑的節(jié)點(diǎn)才有可能到達(dá)目標(biāo)�����,但是這種概率很 小��。如果在每一層中取出30%的節(jié)點(diǎn)作為哈希安全路徑的節(jié)點(diǎn)���,而攻擊者按照網(wǎng)絡(luò)層路由 方式隨機(jī)選擇節(jié)點(diǎn)轉(zhuǎn)發(fā)����,則攻擊者在每一層攻擊到哈希安全路徑節(jié)點(diǎn)的概率為30%,所發(fā) 動的攻擊流平均只有左右能夠到達(dá)目標(biāo)�,這對目標(biāo)的影響已經(jīng)很小了。而哈希安全路徑通 過云計算路由平臺到達(dá)云計算中心只需要三次物理層次間的跳轉(zhuǎn)����,相比SOS結(jié)構(gòu)中查詢過 程的多次無視物理拓?fù)浣Y(jié)構(gòu)的跳轉(zhuǎn)能夠節(jié)省大量的時間,縮短時延�。
[0011] 3、提出針對一致性哈希鏈路訪問策略中的chord算法的改進(jìn)算法���。
[0012] chord將網(wǎng)絡(luò)中所有節(jié)點(diǎn)的節(jié)點(diǎn)信息如IP地址進(jìn)行哈希映射����,然后將節(jié)點(diǎn)標(biāo)識符 從小到大順時針排列成一個環(huán)狀�����,排列中的下一個節(jié)點(diǎn)就是環(huán)形中沿順時針方向的下一個 節(jié)點(diǎn)��。
[0013] 由于原一致性哈希鏈路訪問策略是應(yīng)用于P2P的網(wǎng)絡(luò)中�����,為了使一致性哈希的鏈 路訪問策略能夠應(yīng)用于三層的網(wǎng)絡(luò)結(jié)構(gòu),本方法將chord的路由算法的查詢步驟進(jìn)行分 解���,只取前三次跳轉(zhuǎn)����,使其符合安全路徑的結(jié)構(gòu)����。首先需要對云計算路由平臺的節(jié)點(diǎn)的地址 和目標(biāo)服務(wù)器的地址進(jìn)行哈希運(yùn)算,得出標(biāo)識符��,全部映射在chord環(huán)上�����。之后選取目標(biāo)標(biāo) 識符的后向節(jié)點(diǎn)的順時針之后的一個區(qū)域����,這個區(qū)域稱為安全接入?yún)^(qū)��,區(qū)域的大小根據(jù)選 取節(jié)點(diǎn)個數(shù)的需要可以在半個環(huán)之內(nèi)任意選取���。節(jié)點(diǎn)標(biāo)識符在安全接入?yún)^(qū)內(nèi)且位于云計算 路由平臺接入層的節(jié)點(diǎn)可以選取作為安全接入節(jié)點(diǎn)���。在這安全接入?yún)^(qū)的順時針180°相對 應(yīng)的另外一部分區(qū)域稱為指引區(qū)��。節(jié)點(diǎn)標(biāo)識符在指引區(qū)內(nèi)且位于云計算路由平臺中間層的 節(jié)點(diǎn)可以選取作為指引節(jié)點(diǎn)�。從指引區(qū)的最后一個節(jié)點(diǎn)到目標(biāo)標(biāo)識符的后向節(jié)點(diǎn)之間所形 成的區(qū)域則稱為秘密區(qū)���。節(jié)點(diǎn)標(biāo)識符在秘密區(qū)內(nèi)且位于云計算路由平臺核心層的節(jié)點(diǎn)可以 選取作為秘密節(jié)點(diǎn)����。秘密節(jié)點(diǎn)都保存有目標(biāo)節(jié)點(diǎn)的地址信息��。當(dāng)數(shù)據(jù)包到達(dá)秘密節(jié)點(diǎn)時秘 密節(jié)點(diǎn)不必再按照原chord的路由方式繼續(xù)往下查找���,而是直接將數(shù)據(jù)包送往目標(biāo)地址��。 未被選取到的節(jié)點(diǎn)則不在哈希安全路徑結(jié)構(gòu)內(nèi)�����,排除出chord環(huán)�,不參與chord路由過程�����。
[0014] 針對chord的節(jié)點(diǎn)的指針表也有需要調(diào)整的地方。當(dāng)安全接入節(jié)點(diǎn)查詢過程指 針表最大表項對應(yīng)的節(jié)點(diǎn)的后向節(jié)點(diǎn)在指針區(qū)不存在或發(fā)生故障時���,那么按照原chord算 法��,指針表中這些安全接入節(jié)點(diǎn)的指針表將會超過指引區(qū)的范圍將秘密區(qū)的節(jié)點(diǎn)作為查詢 的對象����。因此�����,我們需要在安全接入節(jié)點(diǎn)上進(jìn)行一個判斷�����,如果其查詢目標(biāo)對應(yīng)的后向節(jié)點(diǎn) 的值超過了指針區(qū)的標(biāo)識符的范圍�,不能繼續(xù)順時針選擇下一個節(jié)點(diǎn),而是選擇指針區(qū)中 標(biāo)識符最大者����。這就保證該策略在受到攻擊時�����,不會出現(xiàn)安全接入節(jié)點(diǎn)轉(zhuǎn)發(fā)而來的數(shù)據(jù)包 由于指引節(jié)點(diǎn)的下線而直接映射到秘密區(qū)的節(jié)點(diǎn)上,而是仍然在指引區(qū)中還能正常工作的 節(jié)點(diǎn)上傳遞�。圖2是總節(jié)點(diǎn)數(shù)為64時基于chord環(huán)的本方法的示意圖,假設(shè)K61為目標(biāo)標(biāo) 識符�。而表1是節(jié)點(diǎn)N16的指針表改變前后的對比表。
[0015] 表1節(jié)點(diǎn)N16的指針表改變前后的對比表
[0018] 在圖2中��,接入層節(jié)點(diǎn)N16要將經(jīng)過認(rèn)證后的合法用戶的數(shù)據(jù)包順時針傳遞�����。通 過其指針表即可看出�,其下一跳轉(zhuǎn)的節(jié)點(diǎn)為58,超過了指引區(qū)的范圍。按照以上所述�����,本方 法在這里將其修改為指引區(qū)中標(biāo)識符最大者即46�����。當(dāng)數(shù)據(jù)包被轉(zhuǎn)發(fā)至標(biāo)識符為46的節(jié)點(diǎn) 上的時候���,此節(jié)點(diǎn)再通過指針表找出下一跳的節(jié)點(diǎn)為N3����。當(dāng)節(jié)點(diǎn)N3接收到數(shù)據(jù)包時則不論 自己是否是目標(biāo)標(biāo)識符的后向節(jié)點(diǎn),直接將數(shù)據(jù)包轉(zhuǎn)發(fā)向自身已經(jīng)保存的目標(biāo)服務(wù)器的地 址����。通過這種轉(zhuǎn)發(fā)流程,就能夠完成數(shù)據(jù)包在哈希安全路徑中的三層路由轉(zhuǎn)發(fā)���。
[0019] 4�、引入虛擬機(jī)機(jī)制和心跳機(jī)制
[0020] 采用一致性哈希算法的方式能夠有效的減輕惡意數(shù)據(jù)包對目標(biāo)服務(wù)器的影響�。但 是,云計算路由平臺自身也可能成為攻擊者的目標(biāo)���。假設(shè)攻擊者能夠?qū)崟r掌握到云計算路 由平臺節(jié)點(diǎn)的信息�����,即攻擊者能夠?qū)μ幱谠朴嬎懵酚善脚_三層結(jié)構(gòu)中的所有節(jié)點(diǎn)發(fā)動攻 擊���。根據(jù)Keromytis在安全覆蓋網(wǎng)絡(luò)服務(wù)中的描述,安全覆蓋網(wǎng)絡(luò)服務(wù)的特性之一就是覆 蓋網(wǎng)絡(luò)中任何一個節(jié)點(diǎn)被攻擊�����,此節(jié)點(diǎn)都會簡單地退出覆蓋網(wǎng)絡(luò)���。這給了攻擊者機(jī)會進(jìn)行 攻擊�。針對這種安全措施上的漏洞提出一種新的攻擊方式�,即攻擊者周期性地選擇一部分 節(jié)點(diǎn)作為攻擊對象,當(dāng)下一個周期來臨時���,假設(shè)攻擊者能夠通過偵聽等手段了解到自己攻 擊的節(jié)點(diǎn)中哪些節(jié)點(diǎn)不在哈希安全路徑中�,并在下一個周期時改變這些節(jié)點(diǎn)的攻擊方向��, 重新選擇攻擊節(jié)點(diǎn)����。與此同時,一致性哈希鏈路策略的自我修復(fù)特性能夠通過周期性的穩(wěn) 定化過程完成故障節(jié)點(diǎn)的排除��,防止故障節(jié)點(diǎn)影響網(wǎng)絡(luò)正常通信�。以上這兩種機(jī)制都會造 成網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)的快速消耗。我們可以從概率上簡單分析了在新型攻擊下原安全覆蓋網(wǎng)絡(luò) 的問題���。