CN110784487B - 一种基于数据包抽检模型的sdn节点防御方法 - Google Patents

一种基于数据包抽检模型的sdn节点防御方法 Download PDF

Info

Publication number
CN110784487B
CN110784487B CN201911081322.2A CN201911081322A CN110784487B CN 110784487 B CN110784487 B CN 110784487B CN 201911081322 A CN201911081322 A CN 201911081322A CN 110784487 B CN110784487 B CN 110784487B
Authority
CN
China
Prior art keywords
network
importance
node
attack
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911081322.2A
Other languages
English (en)
Other versions
CN110784487A (zh
Inventor
刘兰
周荣富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Polytechnic Normal University
Original Assignee
Guangdong Polytechnic Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Polytechnic Normal University filed Critical Guangdong Polytechnic Normal University
Priority to CN201911081322.2A priority Critical patent/CN110784487B/zh
Publication of CN110784487A publication Critical patent/CN110784487A/zh
Application granted granted Critical
Publication of CN110784487B publication Critical patent/CN110784487B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

一种基于数据包抽检模型的SDN节点防御方法,属于互联网技术领域。本方法把数据包抽检模型设计成攻防双方都参与的零和博弈,根据博弈结果分析SDN网络中的节点安全性。本发明包括三部分:一是把数据包抽检模型用于模拟网络攻防;二是根据网络拓扑计算网络节点重要度;三是计算攻防双方收益。本发明专利通过数据包抽检模型来研究SDN网络节点防御攻击策略,提升网络的安全性能。

Description

一种基于数据包抽检模型的SDN节点防御方法
技术领域
本发明属于互联网技术领域。
背景技术
SDN是一种新型网络架构,是网络虚拟化的一种实现方式,其核心技术是将网络设备的控制面与数据面分离开来,实现了网络流量的灵活控制,赋予网络管道智能,为核心网络及应用的创新提供了良好的平台。其特点是网络集中控制和可编程性,提升网络的控制能力和自动化管理。
SDN基于流的控制粒度,使得控制器其对数据流的内部信息并不了解,这就导致了SDN容易被特洛伊木马、蠕虫、垃圾信息、DDos等攻击。为了保证网络的安全性,对数据包进行检测就存在必要性。但是,由于网络性能有上限,在高速传输的网络中对所有数据包进行检测会产生较大延时,会严重影响网络的带宽,所以在有限的网络资源下对数据包进行随机抽样,会减少延时,提高网络带宽,同时又能一定程度上保证网络安全。
零和博弈是博弈论的一个分支,由于攻击与防御属于非合作行为,在严格竞争下,一方损失必然是另一方收益,博弈各方的收益与损失和总和为零。
发明内容
本发明的目的是利用数据包抽检模型模拟网络攻击,利用SDN控制器在有限的防御资源情况下,依据节点重要度智能分配防御资源,从而降低网络损失。
本发明包括:数据包抽检零和博弈模型,SDN网络攻击损失计算方法,节点重要度计算。
1数据包抽检零和博弈模型
攻击者的行为可以看作是从一台受控的网络设备控制多台网络设备向一台或者多台网络设备发送恶意包;防御者在数据包抽检时,如果抽检到恶意数据包就会立即断开所有网络连接,则算攻击失败,防御者得分为正,否则则算攻击成功,防御者得分为负。攻击者每次攻击发送一定数量数据包,其中包含恶意数据包和非恶意数据包,如果未被防御者抽中拦截,则是攻击成功,得分为正,否则就算攻击失败,得分为负。在攻防博弈过程中,攻击者和防御者都会以贪心策略来最大化自己的收益。
网络为了保证数据的正常快速传输,不可能对所有传输数据包中的数据进行检测是否含有恶意代码,所以只能使用抽样检测的方法。
根据上述背景提出假设:
假设1在有限的防御资源约束下,网络设备在防御时,抽检数据包的概率与其重要度成正比。
假设2攻击者总是追求收益最大化,所以会优先攻击重要度高的网络设备。
对于攻击者而言,其采取的攻击策略主要有两种:
a.在未知防御者网络设备重要度的情况下,对防御者网络设备进行均衡攻击。
b.在已知防御者网络设备重要度的情况下,重点攻击重要度高的网络设备。
假设攻击者使用攻击策略1时,把恶意数据包平均分配给n个网络设备,而这个n恰好等于防御者网络设备数。假设攻击者在使用攻击策略时,可能随机分配给重要度高的防御者网络设备,也可能随机分配给重要度低的网络设备。
防御者在应对攻击者时,采用防御策略主要是两种:
a.网络设备获得同等的防御资源,也就是抽包检测的概率是相等的。
b.网络设备获得的防御资源与其重要度成正比,也就是抽包检测的概率是与其重要度成正比。
2SDN网络攻击损失计算方法
把SDN网络构建成无向图,设顶点的集合为V,边集合为E的图记作G=(V,E),另外,G=(V,E)的顶点数和边数分别为|V|和|E|.连接两个顶点u,v的边记作e=(u,v)。
攻击者在发动攻击时,发送恶意数据包的概率与防御网络设备重要性成正比,假设重要度为x的网络设备每n个数据包中抽取k个,这n个数据包中包括m个恶意数据包,那么在n个数据包中抽取k个不包含那m个恶意数据包的概率是
Figure BDA0002264056380000031
那么这就是未检出恶意数据包的概率。
对于攻击者来说,其收益为:
Figure BDA0002264056380000032
对于防御者来说,其收益为:
Figure BDA0002264056380000033
两者的收益和为0。
3节点重要度计算
当攻击者成功攻击网络节点vt时,其可获得的收益即为节点vt所对应的重要度
Figure BDA0002264056380000034
而攻击者倾向于攻击网络中的重要度较高节点以对网络造成更大的攻击效果,故根据网络节点重要度量化分析网络节点收益值,对较重要的网络节点赋予较高的收益值。网络中的节点分为交换机节点Sk∈S,S包含于N和主机节点Hk∈H,H包含于N。对于保证网络正常工作来说,交换机节点(交换设备)重要度等于连接它的所有主机节点(终端设备)重要度之和,网络中不同交换机的重要度可能不同,如核心交换机比边缘交换机重要;不同主机也有区别,比如核心服务器与普通主机。综上所述,提出原则1、原则2和原则3。
原则1:各网络节点重要度是其直接重要度和间接重要度的和。
原则2:网络节点的直接重要度等于与其相连的低一级网络节点重要度之和,间接重要度是与其相连的同一级网络节点的直接重要度之和。
原则3:最低级网络节点初始值可以不同。
根据原则1和原则2对网络节点进行重要度等级的划分,交换机节点的重要度等级SIValue往往高于主机节点的重要度等级HIValue。可根据不同网络情景用具体数值来表示不同网络节点的重要度等级,如HIValue可取值为1,取值时注意体现它们之间的大小关系,即
Figure BDA0002264056380000041
根据原则3,假设每台主机的重要度为1或2,那么一台交换机的重要度等于与其连接的所有主机重要度之和,这是直接重要度,加上与其相连的所有交换机的直接重要度。
附图说明
图1节点重要度计算模型图;
图2SDN节点防御模型流程图。
具体的实施方式
本发明的实施模型流程示意图如图2所示。
Step1:搭建数据包抽检模型。
Step2:使用模型模拟网络攻防。
Step3:计算防守收益。
首先,用数据包抽检模型模拟最常用的4种拓扑,对4种拓扑在不同攻防策略下进行数据包抽检实验,对每组仿真实验重复进行10次,再对每组仿真结果取平均值。在不同的攻击策略与拓扑的组合下,对比基于零和博弈的SDN数据包与随机抽检策略(如表1)。
表1网络拓扑
拓扑1 拓扑2 拓扑3 拓扑4
交换机数 3 1 5 3
主机数 4 4 5 5
链路数 7 4 9 7
拓扑结构 树型 星型 线型 混合型

Claims (2)

1.一种基于数据包抽检模型的SDN节点防御方法,包括:数据包抽检零和博弈模型,SDN网络攻击损失计算方法,节点重要度计算,其特征是数据包抽检零和博弈模型:
攻击者的行为看作是从一台受控的网络设备向一台或者多台网络设备发送恶意包;防御者在数据包抽检时,如果抽检到恶意数据包就会立即断开所有网络连接,则算攻击失败,防御者得分为正,否则则算攻击成功,防御者得分为负;攻击者每次攻击发送一定数量数据包,其中包含恶意数据包和非恶意数据包,如果未被防御者抽中拦截,则是攻击成功,得分为正,否则就算攻击失败,得分为负;在攻防博弈过程中,攻击者和防御者都会以贪心策略来最大化自己的收益;
网络为了保证数据的正常快速传输,不可能对所有传输数据包中的数据进行检测是否含有恶意代码,所以只能使用抽样检测的方法;
根据上述背景提出假设:
假设1在有限的防御资源约束下,网络设备在防御时,抽检数据包的概率与其重要度成正比;
假设2攻击者总是追求收益最大化,所以会优先攻击重要度高的网络设备;
对于攻击者而言,其采取的攻击策略有两种:
a.在未知防御者网络设备重要度的情况下,对防御者网络设备进行均衡攻击;
b.在已知防御者网络设备重要度的情况下,重点攻击重要度高的网络设备;
假设攻击者使用攻击策略a时,把恶意数据包平均分配给N个网络设备,而这个N恰好等于防御者网络设备数;
防御者在应对攻击者时,采用防御策略是两种:
a.网络设备获得同等的防御资源,也就是抽包检测的概率是相等的;
b.网络设备获得的防御资源与其重要度成正比,也就是抽包检测的概率是与其重要度成正比;
把SDN网络构建成无向图,设顶点的集合为V,边集合为E的图记作G=(V,E),另外,G=(V,E)的顶点数和边数分别为|V|和|E|,连接两个顶点u,v的边记作e=(u,v);
攻击者在发动攻击时,发送恶意数据包的概率与防御网络设备重要性成正比,假设重要度为x的网络设备每n个数据包中抽取k个,这n个数据包中包括m个恶意数据包,那么在n个数据包中抽取k个不包含那m个恶意数据包的概率是
Figure FDA0003161529000000021
那么这就是未检出恶意数据包的概率;
对于攻击者来说,其收益为:
Figure FDA0003161529000000022
对于防御者来说,其收益为:
Figure FDA0003161529000000023
两者的收益和为0;
当攻击者成功攻击网络节点vt时,其可获得的收益即为节点vt所对应的重要度,而攻击者倾向于攻击网络中的重要度较高节点以对网络造成更大的攻击效果,故根据网络节点重要度量化分析网络节点收益值,对较重要的网络节点赋予较高的收益值;N个网络设备包括交换节点和主机节点,交换机节点Sk∈S,S包含于N;主机节点Hk∈H,H包含于N;对于保证网络正常工作来说,交换机节点重要度等于连接它的所有主机节点重要度之和,网络中不同交换机的重要度不同,不同主机也有区别;综上所述,提出原则1、原则2和原则3;
原则1:各网络节点重要度是其直接重要度和间接重要度的和;
原则2:网络节点的直接重要度等于与其相连的低一级网络节点重要度之和,间接重要度是与其相连的同一级网络节点的直接重要度之和;
原则3:最低级网络节点初始值可以不同;
根据原则1和原则2对网络节点进行重要度等级的划分,交换机节点的重要度等级SIValue往往高于主机节点的重要度等级HIValue;可根据不同网络情景用具体数值来表示不同网络节点的重要度等级,取值时注意体现它们之间的大小关系;
根据原则3,假设每台主机的重要度为1或2,那么一台交换机的重要度等于与其连接的所有主机重要度之和,这是直接重要度,加上与其相连的所有交换机的直接重要度。
2.根据权利要求1所述的基于数据包抽检模型的SDN节点防御方法,其特征是:
Step1:搭建数据包抽检模型;
Step2:使用模型模拟网络攻防;
Step3:计算防守收益;
首先,用数据包抽检模型模拟最常用的4种拓扑,对4种拓扑在不同攻防策略下进行数据包抽检实验,对每组仿真实验重复进行10次,再对每组仿真结果取平均值;在不同的攻击策略与拓扑的组合下,对比基于零和博弈的SDN数据包与随机抽检策略。
CN201911081322.2A 2019-11-07 2019-11-07 一种基于数据包抽检模型的sdn节点防御方法 Active CN110784487B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911081322.2A CN110784487B (zh) 2019-11-07 2019-11-07 一种基于数据包抽检模型的sdn节点防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911081322.2A CN110784487B (zh) 2019-11-07 2019-11-07 一种基于数据包抽检模型的sdn节点防御方法

Publications (2)

Publication Number Publication Date
CN110784487A CN110784487A (zh) 2020-02-11
CN110784487B true CN110784487B (zh) 2021-08-31

Family

ID=69390116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911081322.2A Active CN110784487B (zh) 2019-11-07 2019-11-07 一种基于数据包抽检模型的sdn节点防御方法

Country Status (1)

Country Link
CN (1) CN110784487B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115543577B (zh) * 2022-08-08 2023-08-04 广东技术师范大学 基于协变量的Kubernetes资源调度优化方法、存储介质及设备
CN116389075B (zh) * 2023-03-08 2023-10-20 安芯网盾(北京)科技有限公司 一种主机攻击行为动态拦截方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863293B2 (en) * 2012-05-23 2014-10-14 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
CN107147670B (zh) * 2017-06-16 2019-12-06 福建中信网安信息科技有限公司 基于博弈体系的apt防御方法
CN108880935B (zh) * 2018-06-05 2020-09-15 广州杰赛科技股份有限公司 网络节点重要度的获得方法和装置、设备、存储介质
CN108898010A (zh) * 2018-06-25 2018-11-27 北京计算机技术及应用研究所 一种建立面向恶意代码防御的攻防随机博弈模型的方法

Also Published As

Publication number Publication date
CN110784487A (zh) 2020-02-11

Similar Documents

Publication Publication Date Title
CN104836702B (zh) 一种大流量环境下主机网络异常行为检测及分类方法
US20200287918A1 (en) Threat mitigation system and method
CN112819300B (zh) 网络攻击下基于随机博弈网的配电网风险评估方法
Li et al. Distinguishing DDoS attacks from flash crowds using probability metrics
CN109194684B (zh) 一种模拟拒绝服务攻击的方法、装置及计算设备
Chapade et al. Securing cloud servers against flooding based DDoS attacks
Shen et al. Adaptive Markov game theoretic data fusion approach for cyber network defense
CN110784487B (zh) 一种基于数据包抽检模型的sdn节点防御方法
CN110166408A (zh) 防御泛洪攻击的方法、装置和系统
CN114726557A (zh) 一种网络安全防护方法及装置
Nurwarsito et al. DDoS attack early detection and mitigation system on SDN using random forest algorithm and Ryu framework
Xiao et al. Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model
Shohani et al. Introducing a new linear regression based method for early DDoS attack detection in SDN
Wang et al. Botnet detection using social graph analysis
Höner et al. Minimizing trust leaks for robust sybil detection
Valizadeh et al. Ddos attacks detection in multi-controller based software defined network
CN114115068A (zh) 一种内生安全交换机的异构冗余防御策略下发方法
CN111786967B (zh) DDoS攻击的防御方法、系统、节点及存储介质
CN112995176A (zh) 应用于电力通信网络中的网络攻击可达性计算方法及装置
CN110855654B (zh) 基于流量互访关系的漏洞风险量化管理方法和系统
Eom et al. Active cyber attack model for network system's vulnerability assessment
Li et al. Effective DDoS attacks detection using generalized entropy metric
CN112491801B (zh) 一种基于关联矩阵的面向对象网络攻击建模方法及装置
Chen et al. An autonomic detection and protection system for denial of service attack
CN108881255B (zh) 一种基于c&c通信状态转换检测僵尸网络的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant