【技术实现步骤摘要】
一种链路泛洪攻击流量动态清洗系统及方法
[0001]本专利技术涉及网络安全
,具体而言,尤其涉及一种链路泛洪攻击 流量动态清洗系统及方法。
技术介绍
[0002]链路泛洪攻击(Link Flooding Attack,LFA),如Coremelt和Crossfire,是 一类典型的网络攻击手段,其可通过泛洪关键的网络链路,切断目标网络与 互联网的连接,造成大面积网络瘫痪,对网络空间危害极其严重。2013年至 2022年间,互联网发生了多次大规模LFA,造成了大量互联网服务中断,损 失无法估量。
[0003]针对LFA,当前主要的防御方法主要包括攻击流量检测、重路由和流量 清洗三类,其中流量清洗在网络的边缘或内部直接丢弃攻击流量,可有效减 轻攻击流量对网络的影响。然而,传统流量清洗方法依赖攻击的先验知识, 具有严重的滞后性和静态性,容易被攻击者识别并绕过,难以有效应对有组 织高强度的动态LFA。
技术实现思路
[0004]本专利技术提供一种链路泛洪攻击流量动态清洗系统及方法,主要将移动目 标防御(Moving Target Defense,MTD)思想引入流量清洗,通过周期性动态 部署清洗规则使得攻击者无法发起有效攻击,并利用博弈论分析了LFA攻防 博弈,从而得到最优防御策略,以较小引入开销对动态LFA进行有效抵抗。
[0005]本专利技术采用的技术手段如下:
[0006]本专利技术提供了一种链路泛洪攻击流量动态清洗系统,包括控制平面和数 据平面,所述控制平面和数据平面通过...
【技术保护点】
【技术特征摘要】
1.一种链路泛洪攻击流量动态清洗系统,其特征在于,包括控制平面和数据平面,所述控制平面和数据平面通过南向接口进行数据交互,所述南向接口包括p4runtime和虚拟化网络功能管理南向接口;所述控制平面包括SDN控制器;所述数据平面包括P4可编程交换机和流量清洗服务器,所述P4可编程交换机通过p4runtime与SDN控制器进行数据交互,所述流量清洗服务器通过VNF管理南向接口与SDN控制器进行数据交互;所述P4可编程交换机用于根据SDN控制器下发的防御策略和流清洗规则转发网络流量、检测和识别攻击流,并按照清洗规则清洗攻击流量;所述流量清洗服务器接收P4可编程交换机发送的无法采用“匹配
‑
动作”模式清洗的攻击流,并将攻击流发送给指定流量清洗VNF处理。2.根据权利要求1所述的一种链路泛洪攻击流量动态清洗系统,其特征在于,所述流量清洗服务器包括流量入口、流量出口、流量
‑
VNF表和多个流量清洗VNF;所述流量入口用于接收由P4可编程交换机发送的待清洗流量;所述流量
‑
VNF表用于实现流量匹配和传递,通过查表将流量传递给特定流量清洗VNF;所述流量清洗VNF用于清洗特定类型的攻击流量;所述流量出口用于将清洗后的流量回送给P4可编程交换机;所述SDN控制器通过VNF管理南向接口管理流量
‑
VNF表和流量清洗VNF,并对所述流量清洗VNF进行动态增删。3.根据权利要求1所述的一种链路泛洪攻击流量动态清洗系统,其特征在于,所述控制平面还包括:攻击感知模块、策略生成模块、交换机管理模块、流表管理模块以及VNF管理模块;所述攻击感知模块用于感知全网链路状态,发现被攻击的网络链路;所述策略生成模块用于根据攻防状态构建状态基于博弈论分析LFA攻防博弈,计算最优清洗策略;所述交换机管理模块用于管理P4可编程交换机的包处理逻辑;所述流表管理模块用于根据防御策略设置P4可编程交换机并对其安装流清洗规则;所述VNF管理模块用于根据攻击流量类型在数据平面安装/删除流量清洗VNF。4.根据权利要求3所述的一种链路泛洪攻击流量动态清洗系统,其特征在于,所述策略生成模块用于根据攻防状态基于博弈论分析LFA攻防博弈,计算最优清洗策略,包括:根据攻击感知模块获取的供给策略和防御策略构建流量清洗博弈TSG,所述TSG是一个四元组,TSG={N,S,D,U},其中(1)N={A,D}是局中人空间,其中A为攻击者,D为防御者,(2)是攻击者策略空间,对s
a
∈S
a
,且0≤s
a
≤g,表示攻击者选择的攻击流数量,(3)是防御者策略空间,对s
d
∈S
d
,且0≤s
d
≤g,表示防御者可选择清洗的攻击流数目,(4)U=...
【专利技术属性】
技术研发人员:赵正,赵奇,范晓娅,毛倩,刘洪波,李沐南,王野,解泽强,丰宇凡,蔡博宇,
申请(专利权)人:大连海事大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。