本發明提供了一種智慧協同網絡中資源適配解析服務器DDoS攻擊檢測防御方法。該方法包括：當智慧協同網絡中數據包傳輸情況符合連接遷移條件時，將網絡組件與資源適配解析服務器之間的連接遷移到緩存服務器，緩存服務器再連接到資源適配解析服務器；緩存服務器接收并緩存網絡組件發送給資源適配解析服務器的服務請求包，根據服務請求包的特征元組使用決策樹算法來檢測資源適配解析服務器是否受到了DDoS攻擊；檢測出DDoS攻擊后，使用基于權重優先級隊列的防御策略區分化轉發服務請求包。本發明使用決策樹檢測算法結合多個特征屬性建立二叉樹分支，對全網服務請求信息進行特征提取，能夠更加準確地判斷攻擊狀態，及時采取防御措施來減輕DDoS攻擊帶來的影響。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種智慧協同網絡中資源適配解析服務器DDoS攻擊檢測防御方法。

背景技術

互聯網自從過去幾十年出現以來，對人類社會的發展產生了巨大的影響。然而，在互聯網如此高速的發展下，傳統互聯網體系架構因為其靜態和僵化的特征，逐漸暴露出可擴展性、移動性、安全性、可管可控、綠色節能等植根于原始設計思想的問題，導致其無法滿足未來網絡“高速”、“高效”、“智慧”、“節能”等通信需求。同時，傳統互聯網全分布式的架構特點，使得網絡管理錯綜復雜，而這種復雜性也導致了網絡的脆弱性，給傳統網絡帶來了巨大的安全隱患，如前綴劫持攻擊、IP欺騙攻擊、DDoS攻擊等。在這些攻擊方式中，DDoS攻擊的使用最為廣泛，統計表明，近年來DDoS攻擊的數量一直呈快速增長趨勢。

根據美國計算機應急響應中心的報告，到目前為止，還沒有很好的辦法真正解決分布式拒絕服務DDoS攻擊問題。DDoS的攻擊策略側重于通過很多“僵尸主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看是合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡淹沒，導致合法用戶無法正常訪問服務器的網絡資源，并且可能對受害者造成巨大損失。雖然軟件定義網絡(SDN,Software-DefinedNetworking)、命名數據網絡(NDN,Named Data Networking)和智慧協同網絡(SINET,SmartIdentifer Network)等新型互聯網架構在改善互聯網安全問題方面取得了一些成果，但攻擊者同時也在分析這些新型網絡架構的特點，從而找到新的攻擊方法。

智慧協同網絡于2013年被提出。智慧協同網絡創新地提出了以“三層”、“兩域”為典型特征的體系結構模型，并建立了智慧服務層、資源適配層和網絡組件層的基本理論，實現了服務的“資源與位置”分離、網絡的“身份與位置”及數據的“控制與轉發”分離。智慧協同網絡的“三層、兩域”總體系架構模型如圖1所示。“三層”即：智慧服務層、資源適配層和網絡組件層。“智慧服務層”主要負責服務的標識和描述，以及服務的智慧查找與動態匹配等；“資源適配層”通過感知服務需求與網絡狀態，動態地適配網絡資源并構建網絡族群，以充分滿足服務需求進而提升用戶體驗，并提高網絡資源利用率；“網絡組件層”主要負責數據的存儲與傳輸，以及網絡組件的行為感知與聚類等。“兩域”指實體域和行為域。實體域使用服務標識SID(Service ID)來標記一次智慧服務，實現服務的“資源和位置分離”；使用族群標識FID(Family ID)來標記一個族群功能模塊，使用組件標識NID(Node ID)來標記一個網絡組件設備，實現網絡的“控制和數據分離”及“身份與位置分離”；行為域使用服務行為描述SBD(Service BehaviorDescription)、族群行為描述FBD(Family BehaviorDescription)和組件行為描述NBD(Node Behavior Description)來分別描述實體域中服務標識、族群標識和組件標識的行為特征。