一種基於圖靈測試的DDoS防禦方法
2023-10-18 01:30:14 1
專利名稱:一種基於圖靈測試的DDoS防禦方法
技術領域:
本發明涉及一種網絡攻擊的防禦方法,特別涉及ー種DDoS防禦方法。
背景技術:
伴隨著信息技術的高度發展,網際網路承載著越來越多重要的交互服務,作為ー個開放式的網絡,保證這些服務的正常運轉顯得尤為重要。然而,當今的網絡安全環境日益惡化,殭屍網絡規模逐漸擴大,分布式 拒絕服務攻擊已經成為網際網路健康發展的最大威脅。分布式拒絕服務攻擊,亦稱作DDoS(即「Distributed Denial of Service」的縮寫),是利用網絡上已被攻陷的電腦向某一特定的目標電腦發動密集式的「拒絕服務」要求,用以把目標電腦的網絡資源及系統資源耗盡,或使之造成擁塞,無法向真正正常請求的用戶提供服務。根據Arbor Networks公司2005-2010年度安全報告,DDoS呈現出明顯的加速增長趨勢,到2010年達到lOOGbps,已經成為網絡安全的最大威脅。並且,基於應用層的攻擊日益複雜,成為目前DDoS的主要方式。目前,針對分布式拒絕服務攻擊,採用的防禦措施是使用訪問控制列表,攔截特定用戶的通信請求數據。而所攔截的用戶依賴於攻擊檢測技木。現有的常用攻擊檢測技術基於貝葉斯推導。貝葉斯網絡最早是由Pearl提出的,它模擬人的認知思維推理模式,用ー組條件概率函數以有向無環圖形式表示因果推理模型。基於貝葉斯的DDoS攻擊檢測技術採用分治理論的貝葉斯分類器算法,把分治理論的思想和貝葉斯網絡分類器有機結合起來,既保留了貝葉斯網絡分類器模型的結構簡單、複雜度低的優點,又降低了傳統貝葉斯分類器時間複雜度的問題。將通過大量數據進行貝葉斯網絡訓練得到的檢測結果作為DDoS攻擊檢測的依據,具有誤檢率低的優點。但是,現有攻擊檢測技術檢測的是用戶的行為,也就是根據用戶對伺服器的通信數據,來推斷該用戶是否對伺服器發動了攻擊,較為被動。而且攻擊者的攻擊方式會隨著時間的推移不斷更新變化,傳統的攻擊檢測技術面臨需要不斷升級以應對的風險。針對基於人機互動的網站服務的特點,存在這樣ー個明顯的結論由人類發出的請求應當是被判定為合法的,應予以受理的;而由機器發出的請求,則應當被視為可疑的,待檢測的。因此,可以通過圖靈測試鑑別和區分請求的來源,從而有效防禦針對人機互動網站主要的擁塞型和資源耗盡型DDoS攻擊。同時,雖然攻擊者的攻擊方式會隨著時間的推移不斷更新變化,但是攻擊源是受控的主機卻不會變化,圖靈測試檢測攻擊源而不是檢測攻擊方式,規避了需要更新升級的被動局面。因此,基於圖靈測試的DDoS防禦方法逐漸被廣泛採用。例如,網站普遍採用要求用戶輸入驗證碼的方式驗證發出請求的是人還是機器或程序。但是,基於圖靈測試的DDoS防禦方法的發展還處於比較初級的階段。傳統的驗證碼僅僅包括數字或字符,逐漸能被機器所識別。人們希望使用改進的基於圖靈測試的驗證方法,能夠檢測請求來源的文字識別能力,圖形識別能力,語義識別能力,邏輯分析能力,圖形處理能力和自我意識,對請求發出主體的真實身份做出嚴格判斷。
發明內容
本發明的目的在於提供一種改進的基於圖靈測試的DDoS防禦方法,能夠有效的主動甄別正常用戶和攻擊源。本發明的目的是通過以下技術方案實現的ー種基於圖靈測試的DDoS 防禦方法,包括以下步驟一、接收用戶請求數據;ニ、與用戶進行基於模擬問答或圖形識別的交互,交互過程包括(I)向用戶提出模擬問答或圖形識別問題;(2)接收用戶回執數據;(3)根據用戶回執數據甄別用戶是否為正常人類用戶,若是則允許訪問,若不是則拒絕訪問。有益效果本發明通過使用改進的圖靈測試,有效判定對象的發出者是正常的人類用戶,還是由機器或軟體模擬正常用戶對伺服器發出的請求,以此來掐斷非法請求的來源,從而使攻擊者處於被動局面,並且無需隨著攻擊方式的更新變化而不斷更新。
圖I為實施例採用的身份認證方法流程圖。
具體實施例方式
下面結合附圖,具體說明本發明的優選實施方式。本實施例為ー種基於圖靈測試的DDoS防禦方法,包括以下步驟一、截獲用戶請求數據本實施例通過NDIS (Network Driver Interface Specif ication,即網絡驅動接ロ規範)中間層驅動,攔截所有進入伺服器的請求數據,並決定是否對數據進行放行處理。使用NDIS中間層驅動截獲用戶請求數據不依賴於具體的網絡實現方案,可以實現跨平臺、跨語言種類的用戶請求數據攔截和處理。ニ、用戶身份判定如附圖1,用戶身份判定步驟為(I)通過與用戶資料庫交互,獲取當前請求源IP和MAC所對應的受信等級,若其受信等級高於當前網絡安全臨界閾值,則接受此請求數據包;(2)若缺乏當前請求源IP和MAC記錄信息,或者其受信等級低於當前網絡安全臨界閾值,但是在警告範圍之內,則需要判斷請求數據中是否帶有認證數據,即是否包含上次系統圖靈測試中用戶的回執,若有,則判斷此認證數據是否為合法數據,若認證數據合法,則提升用戶受信等級,並根據新的受信等級進行身份判定,若認證數據不合法,則降低用戶受信等級,並繼續進行圖靈測試;若請求數據中不包含認證數據,則判斷用戶是否為待驗證用戶,若是則直接進行圖靈測試,若不是則直接拒絕請求;
(3)若其受信等級低於當前網絡安全臨界閾值,且低於警告範圍的閾值,則拒絕其請求數據包。三、圖靈測試圖靈測試系統根據檢測請求來源的文字識別能力,圖形識別能力,語義識別能力,邏輯分析能力,圖形處理能力和自我意識,對用戶的真實身份做出嚴格判斷。例如,可以採用以下一種或多種圖靈測試的方式I)模擬問答
根據請求數據中帶有的可利用數據,如當前時間,用戶IP等,推斷出用戶的地理位置、用戶使用的作業系統、瀏覽器、使用的語言文字,結合網站自身信息、特徵,模擬交互場景,使用已有智能語言庫,生成問題,請用戶選擇答案,每個答案自帶不同的數據信息,根據用戶選擇的不同答案返回不同的數據信息,檢驗此數據信息,判斷用戶是否選擇了正確的答案,從而判斷用戶的文字、語言識別能力、信息處理能力和問題分析能力。2)圖形識別向用戶提供多種簡單圖形,如星星、月亮、長城等,請用戶選擇系統指定的圖形,每個圖形自帶不同的數據信息,根據用戶選擇的不同圖形返回不同的數據信息,檢驗此數據信息,判斷用戶是否選擇了正確的圖形。此方法用於驗證用戶的圖形識別能力,較傳統的驗證碼機制而言,有無窮的可擴展性,在驗證碼逐漸能被機器所識別的技術水平下,由於簡單圖形的無限擴展,基於模式匹配的驗證識別技術難以跟上圖形更新的腳步,從而使攻擊者處於以被動局面,使得DDoS防禦首次在一定程度上掌握了局勢的主動權。作為ー種改進,將數據信息順序分為多個部分,向用戶提供的每個圖形後各帶有一部分數據信息,請用戶按照指定的順序選擇圖形,若用戶選擇的順序正確,則返回伺服器的是正確的數據,否則將是錯誤的。此方法改進了普通的圖像識別方法中可能被隨機選中的缺陷,將圖形識別,文字識別,語義分析融為一身,使圖靈檢測方法更為嚴謹。作為另ー種改進,向用戶提供ー張2X2拆分後的圖片,每張圖片後各帶有一部分數據信息,請用戶按照正確的順序排列此圖形,若用戶選擇的順序正確,則返回伺服器的是正確的數據,否則將是錯誤的。也可以附上原圖。此方法更深刻的考察用戶的圖形分析能力,需要用戶擁有一定的常識儲備和整體判斷組合分析能力,並且不乏樂趣,也使用戶能易於接受,使驗證過程生動而快樂。以上幾種方法以考察用戶圖形識別能力為基礎,綜合驗證了用戶的多種人類具備而機器較難以實現的能力,使系統能做出綜合的、完整的、嚴謹的用戶屬性判定。3)對校驗數據信息生成方式的改進傳統驗證碼驗證機制需要在伺服器端儲存用戶請求數據信息和驗證碼原始校驗數據信息,以實現比對,這無疑増加了伺服器的負擔。改進型校驗數據信息生成機制,有效的彌補了上述缺陷。首先根據當前系統時間生成校驗函數,再對用戶請求中帶有的特徵數據,如IP和MAC,使用該校驗函數,生成校驗數據信息I ;然後再利用一個構造散列函數對校驗數據信息I進行散列,得到散列數碼,將此數碼作為供用戶選擇的正確答案附帯的數據信息,返回用戶請求回執;
獲取用戶回執數據之後,再次利用校驗函數和用戶請求中帶有的特徵數據生成校驗數據信息2,將用戶回執返回的數據信息利用逆散列函數進行還原,再與校驗數據信息2進行比較,若一致,則證明用戶正確的回執了系統請求的數據。本發明不僅限於以上實施例,凡是利用本發明的設計思路,做ー些簡單變化的設計,都應計入本發明的保護範圍之內 。
權利要求
1.ー種基於圖靈測試的DDoS防禦方法,其特徵在於,包括以下步驟 一、接收用戶請求數據; ニ、與用戶進行基於模擬問答或圖形識別的交互,交互過程包括 (1)向用戶提出模擬問答或圖形識別問題; (2)接收用戶回執數據; (3)根據用戶回執數據甄別用戶是否為正常人類用戶,若是則允許訪問,若不是則拒絕訪問。
2.根據權利要求I所述的ー種基於圖靈測試的DDoS防禦方法,其特徵在於,步驟ニ中的與用戶進行基於模擬問答的交互過程為根據請求數據中帶有的可利用數據,推斷出用戶的地理位置、用戶使用的作業系統、瀏覽器、使用的語言文字,結合網站自身信息、特徵,模擬交互場景,使用已有智能語言庫,生成問題,請用戶選擇答案,每個答案自帶不同的數據信息,根據用戶選擇的不同答案返回不同的數據信息,檢驗此數據信息,判斷用戶是否選擇了正確的答案。
3.根據權利要求I所述的ー種基於圖靈測試的DDoS防禦方法,其特徵在於,步驟ニ中的與用戶進行基於圖形識別的交互過程為向用戶提供多種簡單圖形,請用戶選擇系統指定的圖形,每個圖形自帶不同的數據信息,根據用戶選擇的不同圖形返回不同的數據信息,檢驗此數據信息,判斷用戶是否選擇了正確的圖形。
4.根據權利要求I所述的ー種基於圖靈測試的DDoS防禦方法,其特徵在於,步驟ニ中的與用戶進行基於圖形識別的交互過程為將數據信息順序分為多個部分,向用戶提供的每個圖形後各帶有一部分數據信息,請用戶按照指定的順序選擇圖形,若用戶選擇的順序正確,則返回伺服器的是正確的數據,否則將是錯誤的。
5.根據權利要求I所述的ー種基於圖靈測試的DDoS防禦方法,其特徵在於,步驟ニ中的與用戶進行基於圖形識別的交互過程為向用戶提供ー張2X2拆分後的圖片,每張圖片後各帶有一部分數據信息,請用戶按照正確的順序排列此圖形,若用戶選擇的順序正確,則返回伺服器的是正確的數據,否則將是錯誤的。
6.根據權利要求2-5任一項所述的ー種基於圖靈測試的DDoS防禦方法,其特徵在於 首先根據當前系統時間生成校驗函數,再對用戶請求中帶有的特徵數據,使用該校驗函數,生成校驗數據信息I ; 然後再利用一個構造散列函數對校驗數據信息I進行散列,得到散列數碼,將此數碼作為供用戶選擇的正確答案附帯的數據信息,返回用戶請求回執; 獲取用戶回執數據之後,再次利用校驗函數和用戶請求中帶有的特徵數據生成校驗數據信息2,將用戶回執返回的數據信息利用逆散列函數進行還原,再與校驗數據信息2進行比較,若一致,則證明用戶正確的回執了系統請求的數據。
全文摘要
本發明涉及一種基於圖靈測試的DDoS防禦方法,包括以下步驟一、接收用戶請求數據;二、與用戶進行基於模擬問答或圖形識別的交互,交互過程包括向用戶提出模擬問答或圖形識別問題的步驟;接收用戶回執數據的步驟;根據用戶回執數據甄別用戶是否為正常人類用戶,若是則允許訪問,若不是則拒絕訪問的步驟。本發明通過使用圖靈測試,判定對象的發出者是正常的人類用戶,還是由機器或軟體模擬正常用戶對伺服器發出的請求,以此來掐斷非法請求的來源,從而使攻擊者處於被動局面,使DDoS防禦掌握了局勢的主動權,並且無需隨著攻擊方式的更新變化而不斷更新。
文檔編號H04L29/06GK102694807SQ20121017645
公開日2012年9月26日 申請日期2012年5月31日 優先權日2012年5月31日
發明者何平凡, 梁漢, 鐘鳴, 陳博, 陳杰浩, 馬辰 申請人:北京理工大學