【技术实现步骤摘要】
一种基于数据包抽检模型的SDN节点防御方法
本专利技术属于互联网
技术介绍
SDN是一种新型网络架构,是网络虚拟化的一种实现方式,其核心技术是将网络设备的控制面与数据面分离开来,实现了网络流量的灵活控制,赋予网络管道智能,为核心网络及应用的创新提供了良好的平台。其特点是网络集中控制和可编程性,提升网络的控制能力和自动化管理。SDN基于流的控制粒度,使得控制器其对数据流的内部信息并不了解,这就导致了SDN容易被特洛伊木马、蠕虫、垃圾信息、DDos等攻击。为了保证网络的安全性,对数据包进行检测就存在必要性。但是,由于网络性能有上限,在高速传输的网络中对所有数据包进行检测会产生较大延时,会严重影响网络的带宽,所以在有限的网络资源下对数据包进行随机抽样,会减少延时,提高网络带宽,同时又能一定程度上保证网络安全。零和博弈是博弈论的一个分支,由于攻击与防御属于非合作行为,在严格竞争下,一方损失必然是另一方收益,博弈各方的收益与损失和总和为零。
技术实现思路
本专利技术的目的是利用数据包抽检模...
【技术保护点】
1.一种基于数据包抽检模型的SDN节点防御方法,包括:数据包抽检零和博弈模型,SDN网络攻击损失计算方法,节点重要度计算,其特征是数据包抽检零和博弈模型:/n攻击者的行为可以看作是从一台受控的网络设备控制多台网络设备向一台或者多台网络设备发送恶意包;防御者在数据包抽检时,如果抽检到恶意数据包就会立即断开所有网络连接,则算攻击失败,防御者得分为正,否则则算攻击成功,防御者得分为负;攻击者每次攻击发送一定数量数据包,其中包含恶意数据包和非恶意数据包,如果未被防御者抽中拦截,则是攻击成功,得分为正,否则就算攻击失败,得分为负;在攻防博弈过程中,攻击者和防御者都会以贪心策略来最大化...
【技术特征摘要】
1.一种基于数据包抽检模型的SDN节点防御方法,包括:数据包抽检零和博弈模型,SDN网络攻击损失计算方法,节点重要度计算,其特征是数据包抽检零和博弈模型:
攻击者的行为可以看作是从一台受控的网络设备控制多台网络设备向一台或者多台网络设备发送恶意包;防御者在数据包抽检时,如果抽检到恶意数据包就会立即断开所有网络连接,则算攻击失败,防御者得分为正,否则则算攻击成功,防御者得分为负;攻击者每次攻击发送一定数量数据包,其中包含恶意数据包和非恶意数据包,如果未被防御者抽中拦截,则是攻击成功,得分为正,否则就算攻击失败,得分为负;在攻防博弈过程中,攻击者和防御者都会以贪心策略来最大化自己的收益;
网络为了保证数据的正常快速传输,不可能对所有传输数据包中的数据进行检测是否含有恶意代码,所以只能使用抽样检测的方法;
根据上述背景提出假设:
假设1在有限的防御资源约束下,网络设备在防御时,抽检数据包的概率与其重要度成正比;
假设2攻击者总是追求收益最大化,所以会优先攻击重要度高的网络设备;
对于攻击者而言,其采取的攻击策略主要有两种:
a.在未知防御者网络设备重要度的情况下,对防御者网络设备进行均衡攻击;
b.在已知防御者网络设备重要度的情况下,重点攻击重要度高的网络设备;
假设攻击者使用攻击策略1时,把恶意数据包平均分配给n个网络设备,而这个n恰好等于防御者网络设备数;假设攻击者在使用攻击策略时,可能随机分配给重要度高的防御者网络设备,也可能随机分配给重要度低的网络设备;
防御者在应对攻击者时,采用防御策略主要是两种:
a.网络设备获得同等的防御资源,也就是抽包检测的概率是相等的;
b.网络设备获得的防御资源与其重要度成正比,也就是抽包检测的概率是与其重要度成正比。
2.根据权利要求1所述的基于数据包抽检模型的SDN节点防御方法,其特征是SDN网络攻击损失计算方法:
把SDN网络构建成无向图,设顶点的集合为V,边集合为E的图记作G=(V,E),另外,G=(V,E)的顶点数和边数分别为|V|和|E|.连接两个顶点u,v的边记作e=(u,v);
攻击者在发动攻击时,发送恶意数据包的概率与防御网络设备重要性成正比,假设重要度为x的网络设备每n个数据包中抽取k个,这n个数据包中包括m个恶意数据...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。