點對點網絡中防禦分布式拒絕服務攻擊的方法及系統的製作方法

2023-05-31 05:59:41

專利名稱：：點對點網絡中防禦分布式拒絕服務攻擊的方法及系統的製作方法
技術領域：
：本發明涉及網絡安全領域，尤其涉及一種點對點(P2P，PeertoPeer)網絡中防禦分布式拒絕服務攻擊(DDoS，DistributionDenialofservice)的方法及系統。
背景技術：
：最近幾年，P2P網絡技術迅速成為計算機界關注的熱門話題，受到了學術界和產業界包括電信運營商和研發企業等的雙重關注，與網格計算一起成為分布式計算領域的兩大主要研究熱點。由於P2P網絡的開放性、動態性和匿名性，使得對等點都無法確定通信對方身份及其信任度。在這種動態的網絡環境下，如何保持網絡的魯棒性或稱健壯性，並保證信息資源的可用性，如防禦惡意DDoS攻擊等安全問題，這對P2P網絡的安全性提出了巨大的挑戰。隨著P2P應用領域的日益廣泛，如文件共享、多媒體傳輸、實時通信、以及P2P搜尋引擎等，P2P網絡安全問題變得更加重要和突出。在P2P網絡安全問題中，最為典型的攻擊是DDoS攻擊，現有技術中基於P2P網絡的DDoS攻擊防禦技術主要分為以下四種第一種，基於認證的DDoS攻擊防禦該防禦方案是將認證引入P2P系統，認證技術是解決P2P系統安全問題的一種有效手段，混合式P2P結構中的索引伺服器或者基於分布式哈希表(DHT，Distributedhashtable)的結構化P2P網絡中，節點在收到資源擁有消息、或節點加入消息後首先對消息進行認證，這樣就可以判斷出該消息是否為攻擊者偽造的，將攻擊者偽造的消息丟棄，從而避免索引或路由表遭受汙染，預防了攻擊的發生。基於認證來防禦分布式拒絕服務攻擊，易於部署、方便實現，在一定程度上能夠緩解伺服器的壓力，但是需要結合認證實現，只有當P2P的認證技術是絕對安全時，該方案才是可靠、可用的。然而，目前P2P環境下的認證技術也是一個難題，還沒有一套完整可信的解決方案。第二種，基於支持向量機的DDoS攻擊防禦該防禦方案是利用支持向量機建立DDoS監控模型，有效檢測和防禦拒絕服務攻擊。支持向量機是一種新的機器學習方法，它的關鍵是找到能夠區分正常流量和DDoS攻擊流量的重要屬性，即支持向量。該方法主要是方便分析和提取P2P網絡下DDoS攻擊的重要特徵，為建立DDoS攻擊的特徵庫以及識別和防禦DDoS攻擊提供了可靠的理論支持，該方法具有一定自適應性，有識別變種DDoS攻擊的能力。但是，由於用支持向量機進行識別的收斂速度較慢，也就是說，從流量中區分出正常流量和DDoS攻擊流量的時間較長，而且此方案仍然是按照傳統的模式匹配的思路，加之匹配速度比較慢，所以不能從根本上消除DDoS攻擊。第三種，基於層次模型的DDoS攻擊防禦該防禦體系是當前市場上主流的解決方案，它的原理是對DDoS攻擊流量採取多層分析，層層過濾的方法，使進入網絡的數據流是安全的，從而起到防禦DDoS攻擊的目的。基於層次區分的DDos攻擊防禦方案是目前Cisco公司在解決Internet上的DDoS攻擊防禦的一套完整的解決方案。然而，由於現有的DDoS攻擊特徵變化很快，而這套方案是基於模式匹配的方案，往往是先有DDoS攻擊，然後才能找到攻擊特徵碼，對於新型和未知的攻擊無法檢測出來，或將正常的流量誤報為DDoS攻擊。因此，此防禦方案用於解決P2P網絡的安全問題時，經常會出現有DDoS攻擊檢測不出來，或者檢測出來後防禦效果不好的現象。第四種，基於貝葉斯推理的DDoS攻擊防禦該方案是運用貝葉斯推理的異常檢測方法發現攻擊，使系統能根據DDoS攻擊的強弱，自適應調整防禦機制，維持網絡的服務性能。與基於支持向量機的DDoS攻擊防禦方案相似，基於貝葉斯推理的DDoS攻擊防禦也屬於傳統的DDoS攻擊防禦方案，偏理論、實用性不強，不能從根本上解決DDoS攻擊問題。從以上分析中可以看出，現有技術的實現方案都是在特定條件下解決某一類型的DDoS攻擊，雖然效果比較好，但當條件發生變化或者出現新的DDoS攻擊變種時，這些方案就缺乏應變能力且不能從根本上抵禦DDoS攻擊。此外，上述防禦都是被動防禦，缺少主動性。因此，現有DDoS攻擊防禦技術方案存在著檢測DDoS攻擊效率低、缺乏主動性、對新型DDoS攻擊應變能力差、不能從根本上防禦DDoS攻擊、不具有通用性等缺陷。另外，隨著信息化和P2P網絡的發展，移動終端如手機、筆記本電腦等作為一種新的P2P實體出現，使得P2P網絡向著移動和固定混和模式的P2P網絡方向發展。上述方案在解決新環境下出現的節點移動性、低速率DDoS攻擊(LDDoS)方面缺少應變，沒有提出相應解決方案。
發明內容有鑑於此，本發明的主要目的在於提供一種防禦DDoS攻擊的方法及系統，使P2P網絡的安全性得到保證，進而提高系統的可靠性，保證信息資源的可用性。為達到上述目的，本發明的技術方案是這樣實現的本發明提供了一種P2P網絡中防禦DDoS攻擊的方法，在網絡的節點中設置基於可信賴平臺模塊(TPM)的TPM可信平臺及支持TPM的安全作業系統；該方法包括以下步驟判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點。上述方案中，該方法進一步包括為每個經過TPM可信平臺的運行程序設置Id值；相應的，所述判斷為判斷TPM可信平臺監控到的Id值是否在未經允許發生改變。上述方案中，所述可信還原點為出廠時機器的初始狀態，或為用戶自己設置的狀態。本發明還提供了一種P2P網絡中防禦DDoS攻擊的方法，在網絡的節點中設置TPM可信平臺、支持TPM的安全作業系統、以及DDoS攻擊防禦軟體；該方法包括數據包流入節點時，通過TPM可信平臺和DDoS攻擊防禦軟體防禦DD0S攻擊。上述方案中，所述TPM可信平臺防禦DDOS攻擊具體為判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點。上述方案中，所述DDoS攻擊防禦軟體防禦DD0S攻擊具體為檢測是否有DDoS攻擊，如果有，則直接將數據包丟掉，追蹤到攻擊源，並生成攻擊日誌；如果沒有，則結束當前處理流程。上述方案中，所述檢測是否有DDoS攻擊具體為對網絡上傳輸的動態數據流進行防虛假的檢測；對過濾後的數據進一步進行流量異常的檢測，發現異常網絡流量時，對異常網絡流量進行過濾；對過濾後的數據流進一步進行應用層協議分析；對經過濾的數據流進一步進行速率限制和DDoS流量修整。本發明又提供了一種P2P網絡中防禦DDoS攻擊的系統，該系統包括TPM可信平臺以及安全作業系統；其中，TPM可信平臺，用於判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點；安全作業系統，用於根據經過TPM可信平臺判斷後的程序和數據包，控制程序的運行。上述方案中，所述TPM可信平臺包括I/O模塊，用於負責管理通信總線，將消息發送到合適的部件，執行對TPM進行操作的安全策略；存儲模塊，用於存儲平臺狀態信息數據；執行引擎模塊，用於控制程序的運行；安全模塊，用於對基本輸入輸出系統和作業系統進行完整性度量。上述方案中，所述存儲模塊包括ROM存儲器，用於保存機器在初始時的可信狀態信息；PCR寄存器，用於存儲平臺狀態信息數據。本發明又提供了一種P2P網絡中防禦DDoS攻擊的系統，該系統包括TPM可信平臺、安全作業系統以及DDoS攻擊防禦模塊；其中，TPM可信平臺，用於判斷是否有惡意控制程序進入節點有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點；安全作業系統，用於根據經過TPM可信平臺判斷後的程序和數據包，控制程序的運行；DDoS攻擊防禦模塊，用於將進入安全作業系統的數據包進行DDoS攻擊檢測，並對檢測到的DDoS攻擊流量進行防禦，生成攻擊日誌。上述方案中，所述DDoS攻擊防禦模塊包括攻擊檢測器，用於對網絡上傳輸的動態數據流依次進行防虛假檢測、流量的異常檢測、應用層協議分析以及速率限制和DDoS流量修整；攻擊防禦器，用於將DDoS攻擊檢測器檢測到的DDoS攻擊採取直接丟棄數據包的方法進行防禦；日誌模塊，用於將DDoS攻擊檢測器檢測到的DDoS攻擊生成DDoS攻擊日誌。上述方案中，所述攻擊檢測器中包括異常檢測單元，所述異常檢測單元包括網絡數據包捕獲器，用於捕獲網絡數據流量；特徵提取器，用於在網絡數據包捕獲器捕獲到攻擊流量後，提取攻擊流量的特徵信息；時間序列劃分模塊，用於將網絡流量根據特徵提取器提取的攻擊流量的時間，按照時間序列劃分成多個更小尺度的時間段；6R/S結合小波求解Hurst模塊，用於根據時間序列劃分模塊對攻擊流量時間劃分的結果計算網絡流量的Hurst值，並統計Hurst指數的方差；異常判斷模塊，用於根據R/S結合小波求解Hurst模塊的結果，判斷網絡流量是否為DDoS攻擊流量；圖形用戶接口，用於輸出整個網絡流量的檢測過程。因此，本發明所提供的防禦DDoS攻擊的方法及系統，具有以下的優點和特點1)本發明基於TPM的可信模式可以監控到惡意控制程序並阻止其進入用戶主機，因此可以從根本上破壞殭屍網絡的形成條件，從而大大減少了DDoS攻擊的可能性，達到主動防禦DDoS攻擊的效果；並且，使源端既是DDoS攻擊的發起者也是攻擊的終結者，保證了節點的真實性、可信性和數據的隱私性、機密性。2)本發明提供的DDoS防禦軟體採用依次進行防虛假檢測、流量的異常檢測、應用層協議分析、以及速率限制和DDoS流量修整的多層區分、層層剝離的防禦策略，可大大提高檢測的精度和效率。圖1為本發明基於TPM防禦DDoS攻擊方法的實現流程圖；圖2為本發明基於TPM和DDoS攻擊防禦軟體防禦DDoS攻擊方法的實現流程圖；圖3為本發明DDoS攻擊防禦軟體防禦DDoS攻擊方法的實現流程圖；圖4為本發明基於TPM防禦DDoS攻擊系統的結構示意圖；圖5為本發明基於TPM可信平臺的結構示意圖；圖6為本發明基於TPM和DDoS攻擊防禦軟體系統的結構示意圖；圖7為本發明DDoS攻擊防禦模塊的結構示意圖；圖8為本發明DDoS攻擊檢測器中流量異常檢測單元的結構示意圖；圖9為本發明實施例的基於超級節點的混合P2P網絡部署實施拓撲結構示意圖；圖10為本發明實施例中的節點檢測和防禦DDoS攻擊的流程圖。具體實施例方式下面結合附圖及具體實施例對本發明再作進一步詳細的說明。本發明P2P網絡中基於TPM防禦DDoS攻擊的方法，可以主動防禦DDoS攻擊，如圖1所示，本發明基於TPM防禦DDoS攻擊的方法包括以下步驟步驟101:在網絡的節點中設置基於TPM的TPM可信平臺及支持TPM的安全作業系統；步驟102:判斷是否有惡意控制程序進入節點，如果有，則TPM可信平臺認為有惡意程序入侵並提醒用戶，並請求恢復到可信還原點，結束當前處理流程；如果沒有，則直接結束當前處理流程。這裡，由於任何需要運行的程序首先要經過TPM可信平臺的認證並被賦予一個Id值，這個Id值經過哈希運算後存放在TPM的註冊表中，那麼，TPM可信平臺的判斷具體為如果TPM可信平臺監控到某個Id值在未經自己允許的情況下發生改變時，比如多了一個哈希值，或者某個哈希值被改變，則TPM可信平臺就認為有惡意程序入侵，進而提醒用戶，並要求重新啟動，恢復到可信還原點；其中，所述可信還原點的哈希值可以是出廠時機器的初始值，也可以是用戶自己設置的值。進一步的，可將圖l所述方法與DDoS攻擊防禦軟體相結合，如此，可以更好的防禦DDoS攻擊，如圖2所示，本發明基於TPM和DDoS攻擊防禦軟體的防禦DDoS攻擊方法包括以下步驟步驟201:在網絡的節點中設置TPM可信平臺、支持TPM的安全作業系統、以及DDoS攻擊防禦軟體；步驟202:數據包流入節點時，TPM可信平臺判斷是否有惡意控制程序進入節點，如果有，則提醒用戶，並請求恢復到可信還原點，結束當前流程；如果沒有，則數據包流入安全作業系統；步驟203:數據包進入安全作業系統後，DDoS攻擊防禦軟體檢測是否有DDc)S攻擊，如果有，則直接將數據包丟掉，追蹤到攻擊源，並生成攻擊日誌，結束當前處理流程；如果沒有，則結束當前處理流程。這裡，DDoS攻擊防禦軟體至少包括DDoS攻擊檢測器、DDoS攻擊防禦器和日誌模塊；其中，DDoS攻擊檢測器用於完成檢測；檢測到DDoS攻擊後由DDoS攻擊防禦器完成防禦；日誌模塊用於完成DDoS攻擊日誌的生成。DDoS攻擊防禦軟體採用層層區分、層層剝離的防禦策略，以域名系統(DNS，DomainNameSystem)為例，如圖3所示，基於DDoS攻擊防禦軟體的防禦DDoS攻擊方法包括以下步驟步驟301:對網絡上傳輸的動態數據流進行防虛假的檢測；這裡，就是對虛假的DNS源進行檢測並過濾；步驟302:對過濾後的數據進一步進行流量異常的檢測，如果發現異常網絡流量，對異常網絡流量進行過濾；這裡，所述過濾後的數據檢測是指對視頻、音頻這樣的數據流進行網絡流量的分析檢測；所述對異常網絡流量進行過濾可採用DDoS攻擊檢測器中對流量異常檢測的檢測單元實現。步驟303:過濾後的數據流進一步進行應用層協議分析；本步驟採用深層數據包解析(De印PacketIdentify,DPI)技術，目的是為了防禦應用層DDoS攻擊；步驟304:對經過濾的數據流進一步進行速率限制和DDoS流量修整；這裡，考慮到上述步驟在識別DDoS流量時可能出現的誤差，再進行最後一次修整，目的是為了限制數據流的速率，防止網絡擁塞。基於圖l描述的方法，本發明基於TPM防禦DDoS攻擊的系統如圖4所示，包括TPM可信平臺41以及安全作業系統42;其中，TPM可信平臺41，用於根據運行程序哈希值的變化，判斷是否有惡意控制程序進入節點，有則提醒用戶有惡意程序入侵，請求恢復到可信還原點；安全作業系統42，用於根據經過TPM可信平臺41判斷後的程序和數據包，控制程序的運行。其中，如圖5所示，TPM可信平臺包括I/0模塊51、存儲模塊52、執行引擎模塊53、以及安全模塊54;其中，1/0模塊51，用於負責管理通信總線，具體任務包括執行內部總線和外部總線之間進行轉換的通信協議，將消息發送到存儲模塊52、安全模塊54等部件，執行對TPM進行操作的安全策略；存儲模塊52，用於存儲平臺狀態信息數據，包括初始時機器的可信狀態信息和平臺實時狀態信息；執行引擎模塊53，用於控制存儲模塊52和安全模塊54程序的運行；安全模塊54，用於對基本輸入輸出系統(BIOS)和作業系統進行完整性度量，將度量生成的哈希值傳給存儲模塊52;具體包括密鑰生成、隨機數生成、哈希算法以及平臺身份認證密鑰(AIK，AttestationIdentityKey);存儲模塊51，包括R0M存儲器和PCR寄存器；其中，ROM存儲器，用於保存機器在初始時的可信狀態信息，是非易失性存儲器，啟動後數據不會丟失；PCR寄存器，用於存儲平臺狀態信息數據，由8個160位的平臺狀態寄存器組成，PCR為易失性存儲寄存器；執行引擎模塊52，包括選項控制(Opt-In)模塊以及安全程序執行引擎模塊；其中，選項控制(Opt-In)模塊，用於實現TPM功能的開啟與關閉；安全程序執行引擎模塊，用於控制存儲模塊52和安全模塊54程序的運行。基於TPM可信平臺41的工作流程具體為系統啟動時，TPM可信平臺41通過安全模塊54對基本輸入輸出系統(BIOS)和作業系統進行完整性度量，將度量生成的哈希值保存在存儲模塊52中的PCR存儲器中；然後將度量的結果與TPM中預先存儲在存儲模塊52的中ROM存儲器的存儲數據相比較，驗證兩者是否匹配，如果匹配，則認為TPM可信平臺處於安全狀態；如果不匹配，認為TPM可信平臺處於不安全狀態。基於圖2描述的方法，本發明基於TPM和DDoS攻擊防禦軟體防禦DDoS攻擊的系統如圖6所示，包括基於TPM可信平臺61、安全作業系統62以及DDoS攻擊防禦模塊63;其中，TPM可信平臺61，用於根據運行程序哈希值的變化，判斷是否有惡意控制程序進入節點，有則提醒用戶有惡意程序入侵，並請求恢復到可信還原點；安全作業系統62，用於根據經過基於TPM可信平臺61判斷後的程序和數據包，控制程序的運行；DDoS攻擊防禦模塊63，用於將進入安全作業系統62的數據包進行DDoS攻擊檢測，並對檢測到的DDoS攻擊流量進行防禦，同時生成攻擊日誌。其中，如圖5所示，TPM可信平臺包括I/0模塊51、存儲模塊52、執行引擎模塊53、以及安全模塊54;TPM可信平臺的各個單元的具體處理過程已在上文中詳述，這裡不再贅述。如圖7所示，DDoS攻擊防禦模塊63進一步包括DDoS攻擊檢測器71、DDoS攻擊防禦器72以及日誌模塊73;其中，DDoS攻擊檢測器71，用於檢測DDoS攻擊，對於網絡上傳輸的動態數據流依次進行防虛假檢測、流量的異常檢測、應用層協議分析以及速率限制和DDoS流量修整四個層次的檢測；DDoS攻擊防禦器72，用於將DDoS攻擊檢測器71檢測到的具體的DDoS攻擊採取9直接丟棄數據包的方法進行防禦；日誌模塊73，用於將DDoS攻擊檢測器71檢測到的DDoS攻擊生成DDoS攻擊日誌，以便於責任追溯和對新型的DDoS攻擊進行分析。DDoS攻擊檢測器中對流量異常檢測的檢測單元如圖8所示，包括網絡數據包捕獲器81、特徵提取器82、時間序列劃分模塊83、R/S結合小波求解Hurst模塊84、異常判斷模塊85以及圖形用戶接口86;其中，網絡數據包捕獲器81，用於捕獲網絡數據流量；特徵提取器82，用於在網絡數據包捕獲器81捕獲到攻擊流量後，提取攻擊流量的特徵信息，如時間、包長等；時間序列劃分模塊83，用於將網絡流量根據特徵提取器82提取的攻擊流量的時間，按照時間序列劃分成多個更小尺度的時間段；R/S結合小波求解Hurst模塊84，用於根據時間序列劃分模塊83對攻擊流量時間劃分的結果計算網絡流量的Hurst值，並統計Hurst指數的方差；異常判斷模塊85，用於根據R/S結合小波求解Hurst模塊84的結果，判斷網絡流量是否為DDoS攻擊流量；圖形用戶接口86，用於輸出整個網絡流量的檢測過程。這裡，本發明基於TPM可信平臺和DDoS攻擊防禦軟體的防禦DDoS攻擊系統中的各個單元的具體處理過程已在上文中詳述，不再贅述。下面將本發明防禦DDoS攻擊的方法及系統，應用到混合式P2P網絡的部署當中，並對每種節點檢測和防禦DDoS攻擊的工作流程進行詳細的描述。基於超級節點的混合式P2P網絡具有網絡資源檢索速度快、抗攻擊的特點，如圖9所示，該網絡由超級節點層和普通節點層組成。網絡中包含若干個節點，節點可以為固定的個人電腦(PC)、伺服器(Server)等，也可以為移動的手機、掌上電腦(PDA)以及筆記本電腦等。在P2P網絡中，節點類似於路由器的功能，負責轉發數據流。其中，性能最好、最穩定的節點為超級節點，其餘節點為普通節點；超級節點負責管理普通節點，為普通節點提供索引服務；普通節點和超級節點的角色依據節點當前的狀態可以互換。本實施例中包含兩種節點一種為植入本發明TPM可信平臺的節點，另一種為用戶從網上免費下載安裝DDoS軟體的節點。其中，TPM可信平臺的節點可以是超級節點，也可以是普通節點，要根據該節點當前的性能動態決定其所屬的節點類型；同理，用戶從網上免費下載安裝DDoS軟體的節點也可以是超級節點、或者普通節點。依據地理位置將節點劃分成不同的自治域(AS)，每個AS內有固定的或者移動的節點。將本發明多層檢測、層層隔離的DDoS攻擊防禦軟體以分布式策略部署在每個節點，部署實施層次的拓撲圖如圖9所示。殭屍網絡是目前DDoS攻擊的主流形式，它是一種從傳統惡意代碼形態進化而來的新型攻擊方式，為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，可以控制大量殭屍主機實現信息竊取、分布式拒絕服務攻擊和垃圾郵件發送等攻擊目的。假設某個AS內的用戶端操控一個殭屍網絡，對網絡中的節點進行攻擊，網絡中的節點防禦DDoS攻擊的實現流程如圖10所示，包括以下步驟步驟1001:數據包進入節點後，節點判斷是否有惡意控制程序進入節點；這裡，如果有，對於植入TPM可信平臺的節點，則提醒用戶有惡意控制程序進入本機，並要求重新啟動，恢復到可信還原點；對於用戶從網上免費下載安裝DDoS軟體的節點，則用現有的軟體防火牆和殺毒軟體進行查殺；如果沒有，則結束當前處理流程；步驟1002:數據包進入節點後，節點用DDoS攻擊防禦軟體檢測是否有DDoS攻擊；這裡，由於每個節點都部署了DDoS攻擊防禦軟體，所以對進入節點的數據包均需進行本步驟的DDoS攻擊檢測，該檢測對植入TPM可信平臺的節點和從網上免費下載安裝DDoS軟體的節點的處理方式相同。具體的，如果有DDoS攻擊，則對檢測到的DDoS攻擊採取直接丟棄數據包的方式進行防禦，追蹤到攻擊源，從網絡中直接隔離並生成日誌文件；如果沒有DDoS攻擊，則結束當前處理流程。在實際應用中，步驟1001和步驟1002的執行順序沒有限制，可以先執行步驟1001，再執行步驟1002;也可以先執行步驟1002，再執行步驟1001;還可以同時執行。從本實施例中可以看出，雖然隨著節點性能的動態變化，會重新選出新的超級節點，從而使整個網絡被重構。但是，由於節點中植入了本發明的TPM可信平臺，可以很好的阻止殭屍網絡的形成，加上進一步將DDoS攻擊防禦軟體部署在每個節點上，能有效檢測並防禦DDoS攻擊，因此，無論P2P網絡如何動態變化，DDoS攻擊如何變種，DDoS攻擊的強度都會被大大削弱。以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護範圍之內。權利要求一種P2P網絡中防禦DDoS攻擊的方法，其特徵在於，在網絡的節點中設置基於可信賴平臺模塊(TPM)的TPM可信平臺及支持TPM的安全作業系統；該方法包括以下步驟判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點。2.根據權利要求1所述的方法，其特徵在於，該方法進一步包括為每個經過TPM可信平臺的運行程序設置Id值；相應的，所述判斷為判斷TPM可信平臺監控到的Id值是否在未經允許發生改變。3.根據權利要求1或2所述的方法，其特徵在於，所述可信還原點為出廠時機器的初始狀態，或為用戶自己設置的狀態。4.一種P2P網絡中防禦DDoS攻擊的方法，其特徵在於，在網絡的節點中設置TPM可信平臺、支持TPM的安全作業系統、以及DDoS攻擊防禦軟體；該方法包括數據包流入節點時，通過TPM可信平臺和DDoS攻擊防禦軟體防禦DDOS攻擊。5.根據權利要求4所述的方法，其特徵在於，所述TPM可信平臺防禦DD0S攻擊具體為判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點。6.根據權利要求4或5所述的方法，其特徵在於，所述DDoS攻擊防禦軟體防禦DDOS攻擊具體為檢測是否有DDoS攻擊，如果有，則直接將數據包丟掉，追蹤到攻擊源，並生成攻擊日誌；如果沒有，則結束當前處理流程。7.根據權利要求6所述的方法，其特徵在於，所述檢測是否有DDoS攻擊具體為對網絡上傳輸的動態數據流進行防虛假的檢測；對過濾後的數據進一步進行流量異常的檢測，發現異常網絡流量時，對異常網絡流量進行過濾；對過濾後的數據流進一步進行應用層協議分析；對經過濾的數據流進一步進行速率限制和DDoS流量修整。8.—種P2P網絡中防禦DDoS攻擊的系統，其特徵在於，該系統包括TPM可信平臺以及安全作業系統；其中，TPM可信平臺，用於判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點；安全作業系統，用於根據經過TPM可信平臺判斷後的程序和數據包，控制程序的運行。9.根據權利要求8所述的系統，其特徵在於，所述TPM可信平臺包括I/O模塊，用於負責管理通信總線，將消息發送到合適的部件，執行對TPM進行操作的安全策略；存儲模塊，用於存儲平臺狀態信息數據；執行引擎模塊，用於控制程序的運行；安全模塊，用於對基本輸入輸出系統和作業系統進行完整性度量。10.根據權利要求8或9所述的系統，其特徵在於，所述存儲模塊包括ROM存儲器，用於保存機器在初始時的可信狀態信息；PCR寄存器，用於存儲平臺狀態信息數據。11.一種P2P網絡中防禦DDoS攻擊的系統，其特徵在於，該系統包括TPM可信平臺、安全作業系統以及DDoS攻擊防禦模塊；其中，TPM可信平臺，用於判斷是否有惡意控制程序進入節點有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點；安全作業系統，用於根據經過TPM可信平臺判斷後的程序和數據包，控制程序的運行；DDoS攻擊防禦模塊，用於將進入安全作業系統的數據包進行DDoS攻擊檢測，並對檢測到的DDoS攻擊流量進行防禦，生成攻擊日誌。12.根據權利要求11所述的系統，其特徵在於，所述TPM可信平臺包括I/O模塊，用於負責管理通信總線，將消息發送到合適的部件，執行對TPM進行操作的安全策略；存儲模塊，用於存儲平臺狀態信息數據；執行引擎模塊，用於控制程序的運行；安全模塊，用於對基本輸入輸出系統和作業系統進行完整性度量。13.根據權利要求11或12所述的系統，其特徵在於，所述存儲模塊包括ROM存儲器，用於保存機器在初始時的可信狀態信息；PCR寄存器，用於存儲平臺狀態信息數據。14.根據權利要求11所述的系統，其特徵在於，所述DDoS攻擊防禦模塊包括攻擊檢測器，用於對網絡上傳輸的動態數據流依次進行防虛假檢測、流量的異常檢測、應用層協議分析以及速率限制和DDoS流量修整；攻擊防禦器，用於將DDoS攻擊檢測器檢測到的DDoS攻擊採取直接丟棄數據包的方法進行防禦；日誌模塊，用於將DDoS攻擊檢測器檢測到的DDoS攻擊生成DDoS攻擊日誌。15.根據權利要求11或12所述的系統，其特徵在於，所述攻擊檢測器中包括異常檢測單元，所述異常檢測單元包括網絡數據包捕獲器，用於捕獲網絡數據流量；特徵提取器，用於在網絡數據包捕獲器捕獲到攻擊流量後，提取攻擊流量的特徵信息；時間序列劃分模塊，用於將網絡流量根據特徵提取器提取的攻擊流量的時間，按照時間序列劃分成多個更小尺度的時間段；R/S結合小波求解Hurst模塊，用於根據時間序列劃分模塊對攻擊流量時間劃分的結果計算網絡流量的Hurst值，並統計Hurst指數的方差；異常判斷模塊，用於根據R/S結合小波求解Hurst模塊的結果，判斷網絡流量是否為DDoS攻擊流量；圖形用戶接口，用於輸出整個網絡流量的檢測過程。全文摘要本發明公開了一種P2P網絡中防禦DDoS攻擊的方法，包括在網絡的節點中設置基於可信賴平臺模塊(TPM)的TPM可信平臺及支持TPM的安全作業系統；該方法包括以下步驟判斷是否有惡意控制程序進入節點，有惡意控制程序進入節點時，TPM可信平臺提醒用戶有惡意程序入侵，並請求恢復到可信還原點。本發明同時公開了一種P2P網絡中防禦DDoS攻擊的方法及相應系統，採用本發明，能使P2P網絡的安全性得到保證，進而提高系統的可靠性，保證信息資源的可用性。文檔編號H04L12/26GK101771702SQ20101003380公開日2010年7月7日申請日期2010年1月5日優先權日2010年1月5日發明者李致遠,王汝傳,王治平,韓志傑申請人:中興通訊股份有限公司