專利名稱:一種基于圖靈測試的DDoS防御方法
技術領域:
本發(fā)明涉及一種網絡攻擊的防御方法,特別涉及ー種DDoS防御方法��。
背景技術:
伴隨著信息技術的高度發(fā)展�����,互聯(lián)網承載著越來越多重要的交互服務����,作為ー個開放式的網絡,保證這些服務的正常運轉顯得尤為重要���。然而���,當今的網絡安全環(huán)境日益惡化���,僵尸網絡規(guī)模逐漸擴大,分布式 拒絕服務攻擊已經成為互聯(lián)網健康發(fā)展的最大威脅��。分布式拒絕服務攻擊,亦稱作DDoS(即“Distributed Denial of Service”的縮寫)�����,是利用網絡上已被攻陷的電腦向某一特定的目標電腦發(fā)動密集式的“拒絕服務”要求�,用以把目標電腦的網絡資源及系統(tǒng)資源耗盡��,或使之造成擁塞��,無法向真正正常請求的用戶提供服務����。根據Arbor Networks公司2005-2010年度安全報告,DDoS呈現(xiàn)出明顯的加速增長趨勢���,到2010年達到lOOGbps��,已經成為網絡安全的最大威脅����。并且,基于應用層的攻擊日益復雜�,成為目前DDoS的主要方式。目前�,針對分布式拒絕服務攻擊,采用的防御措施是使用訪問控制列表�����,攔截特定用戶的通信請求數據��。而所攔截的用戶依賴于攻擊檢測技木?���,F(xiàn)有的常用攻擊檢測技術基于貝葉斯推導。貝葉斯網絡最早是由Pearl提出的��,它模擬人的認知思維推理模式�����,用ー組條件概率函數以有向無環(huán)圖形式表示因果推理模型�。基于貝葉斯的DDoS攻擊檢測技術采用分治理論的貝葉斯分類器算法,把分治理論的思想和貝葉斯網絡分類器有機結合起來��,既保留了貝葉斯網絡分類器模型的結構簡單�、復雜度低的優(yōu)點,又降低了傳統(tǒng)貝葉斯分類器時間復雜度的問題����。將通過大量數據進行貝葉斯網絡訓練得到的檢測結果作為DDoS攻擊檢測的依據,具有誤檢率低的優(yōu)點���。但是��,現(xiàn)有攻擊檢測技術檢測的是用戶的行為����,也就是根據用戶對服務器的通信數據���,來推斷該用戶是否對服務器發(fā)動了攻擊,較為被動�����。而且攻擊者的攻擊方式會隨著時間的推移不斷更新變化�,傳統(tǒng)的攻擊檢測技術面臨需要不斷升級以應對的風險。針對基于人機交互的網站服務的特點,存在這樣ー個明顯的結論由人類發(fā)出的請求應當是被判定為合法的�,應予以受理的;而由機器發(fā)出的請求����,則應當被視為可疑的,待檢測的���。因此���,可以通過圖靈測試鑒別和區(qū)分請求的來源,從而有效防御針對人機交互網站主要的擁塞型和資源耗盡型DDoS攻擊���。同時���,雖然攻擊者的攻擊方式會隨著時間的推移不斷更新變化,但是攻擊源是受控的主機卻不會變化���,圖靈測試檢測攻擊源而不是檢測攻擊方式����,規(guī)避了需要更新升級的被動局面���。因此���,基于圖靈測試的DDoS防御方法逐漸被廣泛采用��。例如����,網站普遍采用要求用戶輸入驗證碼的方式驗證發(fā)出請求的是人還是機器或程序���。但是�,基于圖靈測試的DDoS防御方法的發(fā)展還處于比較初級的階段�����。傳統(tǒng)的驗證碼僅僅包括數字或字符�����,逐漸能被機器所識別���。人們希望使用改進的基于圖靈測試的驗證方法,能夠檢測請求來源的文字識別能力���,圖形識別能力����,語義識別能力,邏輯分析能力����,圖形處理能力和自我意識,對請求發(fā)出主體的真實身份做出嚴格判斷�����。
發(fā)明內容
本發(fā)明的目的在于提供一種改進的基于圖靈測試的DDoS防御方法��,能夠有效的主動甄別正常用戶和攻擊源�����。本發(fā)明的目的是通過以下技術方案實現(xiàn)的ー種基于圖靈測試的DDoS 防御方法�����,包括以下步驟一���、接收用戶請求數據���;ニ����、與用戶進行基于模擬問答或圖形識別的交互�,交互過程包括(I)向用戶提出模擬問答或圖形識別問題;(2)接收用戶回執(zhí)數據���;(3)根據用戶回執(zhí)數據甄別用戶是否為正常人類用戶���,若是則允許訪問,若不是則拒絕訪問����。有益效果本發(fā)明通過使用改進的圖靈測試,有效判定對象的發(fā)出者是正常的人類用戶��,還是由機器或軟件模擬正常用戶對服務器發(fā)出的請求�����,以此來掐斷非法請求的來源�����,從而使攻擊者處于被動局面���,并且無需隨著攻擊方式的更新變化而不斷更新�。
圖I為實施例采用的身份認證方法流程圖�。
具體實施例方式
下面結合附圖,具體說明本發(fā)明的優(yōu)選實施方式����。本實施例為ー種基于圖靈測試的DDoS防御方法,包括以下步驟一�����、截獲用戶請求數據本實施例通過NDIS (Network Driver Interface Specif ication,即網絡驅動接ロ規(guī)范)中間層驅動��,攔截所有進入服務器的請求數據��,并決定是否對數據進行放行處理�。使用NDIS中間層驅動截獲用戶請求數據不依賴于具體的網絡實現(xiàn)方案,可以實現(xiàn)跨平臺���、跨語言種類的用戶請求數據攔截和處理�。ニ����、用戶身份判定如附圖1���,用戶身份判定步驟為(I)通過與用戶數據庫交互,獲取當前請求源IP和MAC所對應的受信等級����,若其受信等級高于當前網絡安全臨界閾值,則接受此請求數據包�����;(2)若缺乏當前請求源IP和MAC記錄信息�����,或者其受信等級低于當前網絡安全臨界閾值�,但是在警告范圍之內,則需要判斷請求數據中是否帶有認證數據�,即是否包含上次系統(tǒng)圖靈測試中用戶的回執(zhí),若有����,則判斷此認證數據是否為合法數據,若認證數據合法,則提升用戶受信等級����,并根據新的受信等級進行身份判定,若認證數據不合法�����,則降低用戶受信等級���,并繼續(xù)進行圖靈測試;若請求數據中不包含認證數據���,則判斷用戶是否為待驗證用戶���,若是則直接進行圖靈測試,若不是則直接拒絕請求����;
(3)若其受信等級低于當前網絡安全臨界閾值,且低于警告范圍的閾值��,則拒絕其請求數據包�����。三、圖靈測試圖靈測試系統(tǒng)根據檢測請求來源的文字識別能力�����,圖形識別能力�����,語義識別能力���,邏輯分析能力�,圖形處理能力和自我意識���,對用戶的真實身份做出嚴格判斷�。例如����,可以采用以下一種或多種圖靈測試的方式I)模擬問答
根據請求數據中帶有的可利用數據,如當前時間�,用戶IP等,推斷出用戶的地理位置�、用戶使用的操作系統(tǒng)��、瀏覽器��、使用的語言文字�,結合網站自身信息�、特征,模擬交互場景�����,使用已有智能語言庫��,生成問題�����,請用戶選擇答案�����,每個答案自帶不同的數據信息���,根據用戶選擇的不同答案返回不同的數據信息,檢驗此數據信息����,判斷用戶是否選擇了正確的答案���,從而判斷用戶的文字、語言識別能力��、信息處理能力和問題分析能力����。2)圖形識別向用戶提供多種簡單圖形,如星星����、月亮、長城等�����,請用戶選擇系統(tǒng)指定的圖形���,每個圖形自帶不同的數據信息���,根據用戶選擇的不同圖形返回不同的數據信息,檢驗此數據信息��,判斷用戶是否選擇了正確的圖形。此方法用于驗證用戶的圖形識別能力�,較傳統(tǒng)的驗證碼機制而言,有無窮的可擴展性�����,在驗證碼逐漸能被機器所識別的技術水平下�,由于簡單圖形的無限擴展,基于模式匹配的驗證識別技術難以跟上圖形更新的腳步�����,從而使攻擊者處于以被動局面�,使得DDoS防御首次在一定程度上掌握了局勢的主動權��。作為ー種改進����,將數據信息順序分為多個部分,向用戶提供的每個圖形后各帶有一部分數據信息�,請用戶按照指定的順序選擇圖形,若用戶選擇的順序正確�����,則返回服務器的是正確的數據,否則將是錯誤的�����。此方法改進了普通的圖像識別方法中可能被隨機選中的缺陷����,將圖形識別,文字識別����,語義分析融為一身,使圖靈檢測方法更為嚴謹��。作為另ー種改進��,向用戶提供ー張2X2拆分后的圖片�����,每張圖片后各帶有一部分數據信息�,請用戶按照正確的順序排列此圖形,若用戶選擇的順序正確����,則返回服務器的是正確的數據����,否則將是錯誤的���。也可以附上原圖��。此方法更深刻的考察用戶的圖形分析能力�,需要用戶擁有一定的常識儲備和整體判斷組合分析能力�,并且不乏樂趣,也使用戶能易于接受�����,使驗證過程生動而快樂�����。以上幾種方法以考察用戶圖形識別能力為基礎����,綜合驗證了用戶的多種人類具備而機器較難以實現(xiàn)的能力�,使系統(tǒng)能做出綜合的、完整的��、嚴謹的用戶屬性判定。3)對校驗數據信息生成方式的改進傳統(tǒng)驗證碼驗證機制需要在服務器端儲存用戶請求數據信息和驗證碼原始校驗數據信息�����,以實現(xiàn)比對���,這無疑増加了服務器的負擔����。改進型校驗數據信息生成機制�,有效的彌補了上述缺陷。首先根據當前系統(tǒng)時間生成校驗函數����,再對用戶請求中帶有的特征數據,如IP和MAC����,使用該校驗函數,生成校驗數據信息I ;然后再利用一個構造散列函數對校驗數據信息I進行散列�����,得到散列數碼�����,將此數碼作為供用戶選擇的正確答案附帯的數據信息,返回用戶請求回執(zhí)��;
獲取用戶回執(zhí)數據之后��,再次利用校驗函數和用戶請求中帶有的特征數據生成校驗數據信息2����,將用戶回執(zhí)返回的數據信息利用逆散列函數進行還原,再與校驗數據信息2進行比較��,若一致���,則證明用戶正確的回執(zhí)了系統(tǒng)請求的數據��。本發(fā)明不僅限于以上實施例�,凡是利用本發(fā)明的設計思路�����,做ー些簡單變化的設計�����,都應計入本發(fā)明的保護范圍之內 ��。
權利要求
1.ー種基于圖靈測試的DDoS防御方法����,其特征在于,包括以下步驟 一����、接收用戶請求數據; ニ��、與用戶進行基于模擬問答或圖形識別的交互�,交互過程包括 (1)向用戶提出模擬問答或圖形識別問題; (2)接收用戶回執(zhí)數據�; (3)根據用戶回執(zhí)數據甄別用戶是否為正常人類用戶,若是則允許訪問����,若不是則拒絕訪問。
2.根據權利要求I所述的ー種基于圖靈測試的DDoS防御方法�����,其特征在于,步驟ニ中的與用戶進行基于模擬問答的交互過程為根據請求數據中帶有的可利用數據��,推斷出用戶的地理位置�����、用戶使用的操作系統(tǒng)����、瀏覽器、使用的語言文字��,結合網站自身信息�、特征,模擬交互場景�����,使用已有智能語言庫�,生成問題,請用戶選擇答案�,每個答案自帶不同的數據信息,根據用戶選擇的不同答案返回不同的數據信息����,檢驗此數據信息����,判斷用戶是否選擇了正確的答案�。
3.根據權利要求I所述的ー種基于圖靈測試的DDoS防御方法��,其特征在于��,步驟ニ中的與用戶進行基于圖形識別的交互過程為向用戶提供多種簡單圖形����,請用戶選擇系統(tǒng)指定的圖形,每個圖形自帶不同的數據信息��,根據用戶選擇的不同圖形返回不同的數據信息���,檢驗此數據信息�����,判斷用戶是否選擇了正確的圖形����。
4.根據權利要求I所述的ー種基于圖靈測試的DDoS防御方法���,其特征在于����,步驟ニ中的與用戶進行基于圖形識別的交互過程為將數據信息順序分為多個部分,向用戶提供的每個圖形后各帶有一部分數據信息�����,請用戶按照指定的順序選擇圖形��,若用戶選擇的順序正確�,則返回服務器的是正確的數據,否則將是錯誤的���。
5.根據權利要求I所述的ー種基于圖靈測試的DDoS防御方法�����,其特征在于�����,步驟ニ中的與用戶進行基于圖形識別的交互過程為向用戶提供ー張2X2拆分后的圖片���,每張圖片后各帶有一部分數據信息�����,請用戶按照正確的順序排列此圖形��,若用戶選擇的順序正確,則返回服務器的是正確的數據��,否則將是錯誤的�����。
6.根據權利要求2-5任一項所述的ー種基于圖靈測試的DDoS防御方法�����,其特征在于 首先根據當前系統(tǒng)時間生成校驗函數���,再對用戶請求中帶有的特征數據��,使用該校驗函數��,生成校驗數據信息I ; 然后再利用一個構造散列函數對校驗數據信息I進行散列�,得到散列數碼����,將此數碼作為供用戶選擇的正確答案附帯的數據信息��,返回用戶請求回執(zhí)��; 獲取用戶回執(zhí)數據之后�����,再次利用校驗函數和用戶請求中帶有的特征數據生成校驗數據信息2���,將用戶回執(zhí)返回的數據信息利用逆散列函數進行還原,再與校驗數據信息2進行比較����,若一致,則證明用戶正確的回執(zhí)了系統(tǒng)請求的數據���。
全文摘要
本發(fā)明涉及一種基于圖靈測試的DDoS防御方法��,包括以下步驟一����、接收用戶請求數據��;二、與用戶進行基于模擬問答或圖形識別的交互����,交互過程包括向用戶提出模擬問答或圖形識別問題的步驟;接收用戶回執(zhí)數據的步驟���;根據用戶回執(zhí)數據甄別用戶是否為正常人類用戶�����,若是則允許訪問,若不是則拒絕訪問的步驟����。本發(fā)明通過使用圖靈測試,判定對象的發(fā)出者是正常的人類用戶��,還是由機器或軟件模擬正常用戶對服務器發(fā)出的請求��,以此來掐斷非法請求的來源���,從而使攻擊者處于被動局面�,使DDoS防御掌握了局勢的主動權����,并且無需隨著攻擊方式的更新變化而不斷更新��。
文檔編號H04L29/06GK102694807SQ20121017645
公開日2012年9月26日 申請日期2012年5月31日 優(yōu)先權日2012年5月31日
發(fā)明者何平凡, 梁漢, 鐘鳴, 陳博, 陳杰浩, 馬辰 申請人:北京理工大學