一种基于拓扑分析的网络攻击流量分流和阻断方法
发布时间:2021-11-02 22:28
现有的针对流量型网络攻击的防御方法主要是在监测点发现异常后对流量进行阻断,仅能降低所在路径的攻击流量但无法降低整个网络的负载。针对这种情况,文章提出一种基于拓扑分析的网络攻击流量分流和阻断方法,基于拓扑分析从网络全局角度出发实现攻击流量分流阻断。该方法基于多种发现策略获取网络拓扑,在网络攻击阶段采用基于K条最短路径分流的方法实现网络流量分流;同时基于主机行为特征对网络攻击进行溯源,并采用基于流表的报文实时过滤方案进行阻断。实验结果表明,该方法具有系统开销小、鲁棒性好、阻断效率高的特点,实用价值较强。
【文章来源】:信息网络安全. 2020,20(03)北大核心CSCD
【文章页数】:9 页
【部分图文】:
网络流量特征变化
图1为本文方法的整体架构,分为拓扑发现、攻击分流和溯源阻断3个模块。拓扑发现模块基于多种发现策略获取网络拓扑,是该方法的基础,主要包含基于设备信息的拓扑发现、基于链路信息的拓扑发现、基于网络层信息的拓扑发现、基于应用信息的拓扑发现等策略。控制器根据拓扑信息生成网络拓扑图。攻击分流模块采用基于K条最短路径分流的方法实现网络流量的分流。首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;然后计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上。在进行网络流量分流的同时,溯源阻断模块首先通过提取流量的特征实现攻击终端的溯源定位;然后根据网络拓扑信息进行阻断点选择;最后向阻断点所在的控制器下发阻断指令实现阻断。
(2)s2向网络泛洪的数据包通过1号端口传递到s1的2号端口,s1接收到该数据包后转发到控制器,控制器收到数据包后,根据数据包的收发信息得到s1和s2的连接拓扑即链路信息并记录。(3)同理,s3泛洪的数据包通过1号端口传递至s1的1号端口然后转发至控制器,控制器记录该链路。以此类推,控制器得到网络的所有链路信息,进而得到网络的拓扑结构。
本文编号:3472490
【文章来源】:信息网络安全. 2020,20(03)北大核心CSCD
【文章页数】:9 页
【部分图文】:
网络流量特征变化
图1为本文方法的整体架构,分为拓扑发现、攻击分流和溯源阻断3个模块。拓扑发现模块基于多种发现策略获取网络拓扑,是该方法的基础,主要包含基于设备信息的拓扑发现、基于链路信息的拓扑发现、基于网络层信息的拓扑发现、基于应用信息的拓扑发现等策略。控制器根据拓扑信息生成网络拓扑图。攻击分流模块采用基于K条最短路径分流的方法实现网络流量的分流。首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;然后计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上。在进行网络流量分流的同时,溯源阻断模块首先通过提取流量的特征实现攻击终端的溯源定位;然后根据网络拓扑信息进行阻断点选择;最后向阻断点所在的控制器下发阻断指令实现阻断。
(2)s2向网络泛洪的数据包通过1号端口传递到s1的2号端口,s1接收到该数据包后转发到控制器,控制器收到数据包后,根据数据包的收发信息得到s1和s2的连接拓扑即链路信息并记录。(3)同理,s3泛洪的数据包通过1号端口传递至s1的1号端口然后转发至控制器,控制器记录该链路。以此类推,控制器得到网络的所有链路信息,进而得到网络的拓扑结构。
本文编号:3472490
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3472490.html
