技術領域

本發明涉及一種基于映射請求的DDoS檢測與響應方法，其可檢測和防止標識分離映射網絡中DDoS攻擊，屬于計算機網絡安全領域。

術語“異常變化點”是由具體的報警算法和實際的網絡環境所決定的，不同的報警算法(例如CUSUM或者是小波分析法)可能會設定不同的報警門限，并且這個報警門限也是受到不同網絡環境流量的限制。術語“預定義門限”也是需要看具體的網絡環境而定，是根據實際運行經驗而自己設定的數值，一般情況下，它受到ASR所管理的主機的數量的影響，同時也受到映射請求流量的影響。術語“一定時間”也是根據實際網絡環境而定，同時也需要靠管理者的經驗。“異常變化點”、“預定義門限”、和“一定時間”一般不能定義具體的數值，因為這些都與實際的網絡情況或者管理人員的實際經驗有關，同時，據發明人所知，任何檢測算法都沒有定義這些術語的具體數值。

背景技術

標識分離映射網絡是一種新型的網絡架構，雖然身份信息與位置信息分離的思想可以解決傳統網絡中的不合理性和安全隱患，但是，這種分離映射的思想無法解決傳統網絡中存在的DDoS攻擊。

在傳統互聯網中，Internet網絡傳輸可以看作一個復雜的隨機模型，任何傳輸的異常(比如DDoS攻擊)都將導致模型的急劇變化。目前，有兩種方法對這種改變進行檢測。一種方法是等長批量檢測法，它通過檢測在單位時間內被觀測量變化的平均值實現檢測。另一種方法是連續改變點檢測方法，它監視的是變量的連續變化情況。其目的是確定觀測的時間序列是否符合統計分布，如果不是，找到發生改變的時間點，這種方法具有在線實時檢測的能力，符合DDoS檢測的要求。使用該種方法一個難點是確定觀測序列的整體分布。

到目前為止，關于Internet網絡整體流量分布規律的研究已經非常廣泛。事實上，通過一個簡單的變量模型無法模擬整個網絡流量的統計分布。因此，只能采用一種非確定模型的檢測方法。

在現有技術中，使用非參數累積和CUSUM(Cumulative?SUM)方法檢測DDoS攻擊。非參數CUSUM檢測方法非常適合解決這類問題。該方法具有很多其他序列和非參數檢測算法的優點。同時，該算法計算量很小，能夠完全滿足實時監測的要求。非參數累積和CUSUM算法是著名的變化點檢測算法，它是工業生產過程中常用的異常檢測算法。CUSUM基于這樣一個事實：如果檢測到統計過程的均值發生變化，則隨機的概率分布也會發生變化。當其用在DDoS攻擊檢測時，它監測網絡流量的變化，若網絡流量超過其預設定的閥值(即改變點發生)，則表明網絡流量出現異常現象，并產生報警。

然而，該方法存在的問題是：由于網絡流量是動態的、復雜的和多維度的，因此采用非參數CUSUM方法監測網絡流量存在較高的誤報率；另外，非參數CUSUM方法雖然能夠實時監測Internet中的DDoS攻擊，但其不能進行提前報警，即在DDoS攻擊流量到達受害者之前產生報警；另外，非參數累計和CUSUM方法不能提供很好的實時響應來控制DDoS攻擊流量。

發明內容

本發明的目的是提供一種基于映射請求的DDoS檢測與響應方法，其可檢測和防止標識分離映射網絡中DDoS攻擊。

本發明的進一步的目的是提供一種基于映射請求的DDoS檢測與響應方法，其在標識分離映射網絡中通過映射請求流量的異常來檢測DDoS攻擊，并發出連鎖響應，以防范DDoS攻擊，為標識分離映射網絡提供了安全保障，確保了用戶終端與服務器的可用性，提高了標識分離映射網絡的安全性與可靠性。

為此，本發明提交了一種基于映射請求的DDoS攻擊檢測和響應方法，其特征在于，該方法包括：在標識分離映射網絡中，所有用戶終端的AID-to-RID映射條目都被分布式存儲和維護在映射服務器中，當用戶終端之間的通信時，首先發送映射請求以獲得通信對方的AID-to-RID的映射關系，因此，在DDoS攻擊產生危害之前就可進行報警；映射服務器實時監測映射請求流量的變化來判斷和識別異常變化點，識別和診斷映射請求流量的異常，以檢測標識分離映射網絡中的DDoS攻擊；當判斷出映射請求流量的異常時，診斷和識別標識分離映射網絡中的DDoS攻擊，并且提前報警；當映射服務器為一條AID-to-RID映射條目產生報警時，映射服務器響應DDoS攻擊，遏制異常的攻擊流量，防止DDoS攻擊的進一步惡化，從而遏制攻擊流量進一步威脅受害主機。

優選地，映射服務器實時地產生報警，映射服務器使用累積和CUSUM算法探尋異常映射請求流量的改變點；異常點檢測算法還可以采用其他的基于統計過程的異常點檢測算法，如小波分析法。