CN111786967B - DDoS攻击的防御方法、系统、节点及存储介质 - Google Patents
DDoS攻击的防御方法、系统、节点及存储介质 Download PDFInfo
- Publication number
- CN111786967B CN111786967B CN202010554462.3A CN202010554462A CN111786967B CN 111786967 B CN111786967 B CN 111786967B CN 202010554462 A CN202010554462 A CN 202010554462A CN 111786967 B CN111786967 B CN 111786967B
- Authority
- CN
- China
- Prior art keywords
- data packet
- destination
- processing operation
- packet
- packet loss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及网络安全技术领域,公开了DDoS攻击的防御方法、系统、节点及存储介质。本发明实施例先获取目的IP字段为第一目的IP的第一数据包;获取与第一目的IP对应的丢包动作概率;通过丢包动作概率确定与第一数据包对应的数据包处理操作;将数据包处理操作下发至与控制节点连接的转发节点,以使转发节点采用数据包处理操作处理第一数据包,防御DDoS攻击行为。明显地,本发明实施例通过限制发向特定目的IP的数据包的数量,从而实现了基于目的IP的流量限制行为,可对可疑流量进行动态化的实时的流量约束,从而提高了DDoS防御行为的准确性,解决了SDN控制实体难以应对DDoS攻击的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及DDoS攻击的防御方法、系统、节点及存储介质。
背景技术
软件定义网络(SDN,Software Defined Network)作为一种新兴的网络体系结构,因其具备的多种优良特性,愈来愈受到更为广泛的关注。
例如,SDN具备着可编程的网络管理,也易于重新配置和按需分配资源位置,从而可显著提高网络性能。
若将SDN与传统网络进行比较,可发现二者的根本区别在于,SDN架构中分离开了数据平面和控制平面。具体地,对于典型的SDN架构而言,所有的网络决策都是由控制实体以集中方式在控制平面中做出的。
其中,控制实体可表现为一个SDN控制器。
鉴于集中式的SDN控制器可完全了解网络状态,因此,它可以做出全局最佳决策。
但是,SDN控制器却很容易受到分布式拒绝服务(DDoS,Distributed Denial ofService)攻击而变得极其脆弱,安全性较差。
其中,DDoS攻击是指不同位置的多个攻击者同时向一个或数个目标发动攻击的非法攻击行为。
可见,目前,SDN控制实体存在着难以应对DDoS攻击的技术问题。
发明内容
为了解决SDN控制实体难以应对DDoS攻击的技术问题,本发明实施例提供DDoS攻击的防御方法、系统、节点及存储介质。
第一方面,本发明实施例提供一种DDoS攻击的防御方法,包括:
获取目的网际互连协议IP字段为第一目的IP的第一数据包;
获取与所述第一目的IP对应的丢包动作概率;
通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
优选地,所述获取目的网际互连协议IP字段为第一目的IP的第一数据包之前,所述DDoS攻击的防御方法还包括:
通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率。
优选地,所述通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率,具体包括:
在预设分布式决策模型中通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率;
其中,所述预设分布式决策模型是通过在NS3网络仿真环境下对待训练决策模型进行训练得到的分布式决策模型。
优选地,所述通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率之前,所述DDoS攻击的防御方法还包括:
获取当前周期的上一周期的历史数据包;
从所述历史数据包中确定各目的IP分别对应的第二数据包;
根据所述第二数据包与所述历史数据包确定流量比例;
根据所述流量比例确定预设目的IP熵值;
相应地,所述获取目的网际互连协议IP字段为第一目的IP的第一数据包,具体包括:
获取所述当前周期内目的IP字段为第一目的IP的第一数据包。
优选地,所述将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为之后,所述DDoS攻击的防御方法还包括:
在进入下一周期时,将所述当前周期内的当前数据包作为新的历史数据包,所述当前周期变更为新的上一周期,所述下一周期变更为新的当前周期,并返回执行所述获取当前周期的上一周期的历史数据包的步骤。
优选地,所述数据包处理操作包括丢包操作;
相应地,所述将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为,具体包括:
将所述丢包操作下发至与控制节点连接的转发节点,以使所述转发节点丢弃所述第一数据包。
优选地,所述丢包动作概率不等于预设丢包阈值,所述预设丢包阈值对应的数据包处理操作为丢包操作。
第二方面,本发明实施例提供一种DDoS攻击的防御系统,包括:
数据包获取模块,用于获取目的网际互连协议IP字段为第一目的IP的第一数据包;
丢包概率模块,用于获取与所述第一目的IP对应的丢包动作概率;
操作确定模块,用于通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
DDoS防御模块,用于将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
第三方面,本发明实施例提供一种控制节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明第一方面提供的一种DDoS攻击的防御方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明第一方面提供的一种DDoS攻击的防御方法的步骤。
本发明实施例提供的DDoS攻击的防御方法、系统、节点及存储介质,先获取目的网际互连协议IP字段为第一目的IP的第一数据包;获取与第一目的IP对应的丢包动作概率;通过丢包动作概率确定与第一数据包对应的数据包处理操作;将数据包处理操作下发至与控制节点连接的转发节点,以使转发节点采用数据包处理操作处理第一数据包,防御DDoS攻击行为。明显地,本发明实施例可基于与某一目的IP对应的丢包动作概率进行面向数据包处理操作的决策操作,以通过决策出的数据包处理操作处理某一目的IP的数据包,可见,本发明实施例通过限制发向特定目的IP的数据包的数量,从而实现了基于目的IP的流量限制行为,可对可疑流量进行动态化的实时的流量约束,从而提高了DDoS防御行为的准确性,解决了SDN控制实体难以应对DDoS攻击的技术问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种DDoS攻击的防御方法的流程图;
图2为本发明又一实施例提供的一种DDoS攻击的防御方法的流程图;
图3为本发明再一实施例提供的一种DDoS攻击的防御方法的流程图;
图4为本发明再一实施例提供的一种DDoS防御架构示意图;
图5为本发明实施例提供的一种DDoS攻击的防御系统的结构示意图;
图6为本发明实施例提供的一种控制节点的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种DDoS攻击的防御方法的流程图,如图1所示,该方法包括:
S1,获取目的网际互连协议IP字段为第一目的IP的第一数据包。
应当理解的是,本发明实施例的执行主体为SDN架构中的控制实体。该控制实体可为一控制节点,也可记为控制器。
可以理解的是,为了较好地防御DDoS攻击行为,本发明实施例将对实时获取到的数据包进行数据包处理操作的实时决策。
具体地,控制节点侧可获取到多个数据包,数据包中记录有该数据包欲发往的目的IP信息,其中,IP表示网际互连协议(Internet Protocol)。
其中,目的IP信息可表现为目的IP地址,也可简记为目的IP。
S2,获取与所述第一目的IP对应的丢包动作概率。
具体地,当控制节点获取到第一数据包时,第一数据包为欲发往第一目的IP对应的主机的数据包;接着,控制节点处将存在着与各个目的IP对应的丢包动作概率,该丢包动作概率可用于决定是否丢弃该数据包。
例如,若第一目的IP对应的丢包动作概率为0.4,则表征着控制节点将指示转发节点丢弃掉40%的目的IP字段为第一目的IP的数据包,仅保留60%的目的IP字段为第一目的IP的数据包。
可见,丢包动作概率可用于概率决策行为以得出当前时刻欲启用的数据包处理操作。
当然,也可应用于第二目的IP。
S3,通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作。
S4,将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
可以理解的是,在基于丢包动作概率进行概率丢包时,确定了当前的数据包处理操作后,比如,当前的数据包处理操作可为丢包操作,则可指示转发节点丢弃掉第一数据包。
可见,本发明实施例通过限制发向特定目的IP的数据包的数量,从而实现了基于目的IP的流量限制行为,可对可疑流量进行动态化的实时的流量约束,从而实现了对于DDoS攻击的防御操作;同时,该DDoS防御行为还具有较高的准确性。
本发明实施例提供的DDoS攻击的防御方法,先获取目的网际互连协议IP字段为第一目的IP的第一数据包;获取与第一目的IP对应的丢包动作概率;通过丢包动作概率确定与第一数据包对应的数据包处理操作;将数据包处理操作下发至与控制节点连接的转发节点,以使转发节点采用数据包处理操作处理第一数据包,防御DDoS攻击行为。明显地,本发明实施例可基于与某一目的IP对应的丢包动作概率进行面向数据包处理操作的决策操作,以通过决策出的数据包处理操作处理某一目的IP的数据包,可见,本发明实施例通过限制发向特定目的IP的数据包的数量,从而实现了基于目的IP的流量限制行为,可对可疑流量进行动态化的实时的流量约束,从而提高了DDoS防御行为的准确性,解决了SDN控制实体难以应对DDoS攻击的技术问题。
图2为本发明又一实施例提供的一种DDoS攻击的防御方法的流程图,本发明又一实施例基于上述图1所示的实施例。
本实施例中,就本发明实施例运行的实施架构而言,可为SDN架构,控制节点、转发节点均为SDN架构下的节点。
进一步地,就本发明实施例运行的实施架构而言,可为分布式SDN架构,控制节点、转发节点均为分布式SDN架构下的节点。
基于SDN架构而发展出的分布式SDN技术可在集中控制和分布式运营之间取得良好的平衡,可以应对SDN架构下易于出现的不良工况。
进一步地,就SDN架构下易于出现的不良工况而言,例如有,随着网络的不断发展,流量请求、操作约束的数量呈指数增长,越来越高的计算、通信要求可能会给SDN架构下的SDN控制器带来巨大的运行负担,从而导致SDN架构的性能下降,例如,可能出现延迟,甚至可能发生网络故障。
但是,分布式SDN架构可以较好地应对上述不良工况。
在上述实施例的基础上,优选地,所述S1之前,所述DDoS攻击的防御方法还包括:
S01,通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率。
具体地,为了获得各目的IP分别对应的丢包动作概率,可使用一预设目的IP熵值来生成。
当然,生成的多个目的IP分别对应的丢包动作概率,将包括有第一目的IP对应的丢包动作概率。
在实际使用时,直接查询出某个目的IP对应的丢包动作概率,适用至针对此目的IP的数据包即可。
在上述实施例的基础上,优选地,所述通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率,具体包括:
在预设分布式决策模型中通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率;
其中,所述预设分布式决策模型是通过在NS3网络仿真环境下对待训练决策模型进行训练得到的分布式决策模型。
可以理解的是,本发明实施例可通过使用一预设分布式决策模型来完成面向数据包处理操作的决策操作,以决定于当前时刻面对某一数据包时是采用丢包操作还是保留操作。
具体地,具体为SDN控制器的控制节点侧可设置有一预设分布式决策模型,此预设分布式决策模型还可记为强化学习智能体。
其中,此强化学习智能体的状态输入信息可为目的IP熵值,通过进行决策,可输出当前周期下的与目的IP分别对应的丢包动作概率,并将与丢包动作概率对应的数据包处理操作下发到各个转发节点。各个转发节点可根据该数据包处理操作,对相应的目的IP的流量进行概率性的丢包行为。
进一步地,本发明实施例可应用于分布式SDN控制器场景下,即,将分布式地存在着多个SDN控制器,彼此之间协同工作,可将此场景下的控制节点记为分布式SDN控制器。
具体地,每个预设分布式决策模型也将对应地存在于每个分布式SDN控制器上,独立运行。
进一步地,每个预设分布式决策模型可使用各自对应的本地的预设目的IP熵值,从而使得整体方案具备良好的可扩展性。
本发明实施例提供的DDoS攻击的防御方法,可通过预设分布式决策模型进行面向数据包处理操作的决策操作。
在上述实施例的基础上,优选地,所述待训练决策模型是通过强化学习模型进行建模操作以得到的决策模型。
可以理解的是,就预设分布式决策模型的创建过程而言,此处可给出一类创建方式。
例如,鉴于分布式SDN技术下的分布式SDN控制器架构在地理上存在着远距离分布的特性,为了创建出预设分布式决策模型,可先基于分布式强化学习进行建模操作,再进行集中式的线下训练操作,以得到优化后的决策模型。
其中,优化后的决策模型即为上述的预设分布式决策模型。
在得到预设分布式决策模型后,再将预设分布式决策模型部署到真实网络进行分布式的线上推理操作,具体地,将预设分布式决策模型部署于分布式SDN控制器中。
可见,控制节点可具体为分布式SDN控制器。
进一步地,就训练环节而言,可将NS3网络仿真器作为训练环境,外部DDoS防御推理引擎可通过不断地与NS3网络仿真环境进行交互,以训练待训练决策模型,同时,将不断地优化推理的策略性能,从而得到预设分布式决策模型。
图3为本发明再一实施例提供的一种DDoS攻击的防御方法的流程图,本发明再一实施例基于上述图2所示的实施例。
本实施例中,所述S01之前,所述DDoS攻击的防御方法还包括:
S001,获取当前周期的上一周期的历史数据包。
可以理解的是,此处可提供一类预设目的IP熵值的确定方式,可参见如下文。
比如,若将时间划分为等长的连续的多个周期,在每个周期内,控制节点都可对接收到的packet-in数据包进行分析。其中,第一数据包、历史数据包等的数据包类型均可为packet-in数据包。接着,可通统计packet-in数据包的包头中的目的IP信息,以得到各个目的IP的流量的所占比例。
S002,从所述历史数据包中确定各目的IP分别对应的第二数据包。
具体地,可将上一周期记为T1,将当前周期记为T2,T1之后即为T2。其中,T1周期内的数据包可记为历史数据包。
接着,鉴于T1周期内存在着多个数据包,目的IP均不同,则可先从中选出目的IP为第一目的IP的数据包,目的IP为第二目的IP的数据包等,可统一记为第二数据包。
其中,第二数据包也可有多个。
可见,历史数据包由分别与不同目的IP对应的第二数据包构成。
S003,根据所述第二数据包与所述历史数据包确定流量比例。
接着,在遍历完T1周期内的全部的第二数据包后,可得出每个目的IP分别对应的流量比例。
当然,也包括第一目的IP所占的流量比例。
具体地,可使用第二数据包的数量比上总的数据包即历史数据包的数量,得到的比值即为流量比例。
比如,若存在2个目的IP,流量比例可能分别为0.4、0.6。
S004,根据所述流量比例确定预设目的IP熵值。
然后,可使用与各个目的IP对应的流量比例确定出预设目的IP熵值,以用于后续的概率决策行为。
相应地,所述S1,具体包括:
S11,获取所述当前周期内目的IP字段为第一目的IP的第一数据包。
可以理解的是,T1周期内确定出的预设目的IP熵值将用于T2周期内的决策操作,即,上一周期确定出的熵值将用于当前周期的决策操作。
本发明实施例提供的DDoS攻击的防御方法,给出了一类目的IP熵值的确定方式,而且,上一周期确定出的熵值将用于当前周期的决策操作。
在上述实施例的基础上,优选地,所述S4之后,所述DDoS攻击的防御方法还包括:
S5,在进入下一周期时,将所述当前周期内的当前数据包作为新的历史数据包,所述当前周期变更为新的上一周期,所述下一周期变更为新的当前周期。
返回执行S001。
在具体实现中,在完成对于T2周期内的决策操作后,此时,可进入下一周期,可记为T3。
可见,存在着上一周期T1,当前周期T2,下一周期T3。
其中,当前周期T2内接收到的全部的数据包可记为当前数据包。
又鉴于已进入了下一周期T3,在表达上,当前周期T2变更为了上一周期,下一周期T3变更为了当前周期。
可见,存在着上一周期T2,当前周期T3。
此时,T2内接收到的全部的数据包将被变化地记为历史数据包,同理地,此时,当前数据包实际上就是T3内接受到的全部的数据包。
进一步地,在第一次返回操作时,S001中的历史数据包即为T2内接收到的全部的数据包,S11内表述的第一数据包即为T3内接受到的部分的数据包,可见,第一返回操作将针对T3进行决策操作。
同理地,可不断地进行循环决策,下一次返回操作可针对T3的下一周期比如T4,以此类推。
在上述实施例的基础上,优选地,所述数据包处理操作包括丢包操作;
相应地,所述将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为,具体包括:
将所述丢包操作下发至与控制节点连接的转发节点,以使所述转发节点丢弃所述第一数据包。
具体地,可实时判断实时接收到的某一数据包的处理方式,以完成概率性丢包行为。
例如,若当前时刻确定出的某一数据包的处理操作为丢包操作,则可丢弃该数据包,以达到限制DDoS攻击流量的目的。
进一步地,数据包处理操作还包括与丢包操作相对的保留操作,保留操作将保留数据包。
其中,转发节点可具体为SDN交换机。
本发明实施例还可提供一类分布式强化学习建模的具体建模方式,可参见下文。
具体地,每个SDN控制器上均部署有一个强化学习智能体,所有的智能体将一起进行集中式的线下协同训练和分布式的线上推理决策,从而充分利用了分布式SDN控制器在地理上远距离分布的特点。
进一步地,就预设分布式决策模型的建模过程而言,包括有对于状态空间、动作空间和奖励函数的设计环节。
其一,状态空间是指,在正常的网络通信中一个主机可以连接到的整个网络中的任何其他主机。
鉴于每个IP都有相同的概率出现在包入的目的IP字段中,但是如果网络受到DDoS攻击,SDN控制器将会接收到大量的包入,某个目标主机的IP就会以很高的频率出现。
因此,可计算目的IP地址对应着的熵值,即目的IP熵值。
此外,在特定的窗口大小下,可发现熵值在DDoS攻击下会明显下降。
就熵值的计算环节而言,在每一个决策周期内每个SDN控制器上均会统计目的IP的熵值H(x)。
具体地,可采用如下所示的熵值确定公式去确定目的IP的熵值H(x),
其中,H(x)表示目的IP熵值,E[]表示对括号中的随机变量求期望,p(xi)代表每个目的IP出现的概率,xi表示目的IP,i表示序号,n为总的数据包的数目。
其中,p(xi)的确定方式可为,计算上一个周期内每个不同目的IP的数据包数目与总的数据包的数目的比值,也就是上述的流量比例。
其二,动作空间是指,每个SDN交换机可基于目的IP地址进行概率丢包。
例如,若目的IP地址为a的丢包动作概率为0.4,则意味着SDN交换机将把40%的目的IP为a的流量丢弃掉,剩余60%的流量将正常转发到目的地,从而达到限流的作用。
同时,本发明实施例将禁止完全过滤或完全关闭发送到服务器的聚合流量,也就是说,动作空间中不包含丢包动作概率为1.0的情况,丢包动作概率为1.0则意味着100%的丢包率。这是因为,传入的流量可能也包含着一些合法的流量,完全过滤某个IP传入的流量可能有助于攻击者的攻击行为,比如,拒绝掉所有合法用户对服务器的访问。
其三,奖励函数用于决策模型与NS3网络仿真环境的交换环节,可评价决策模型的性能。
鉴于决策模型的核心目标是保持合法流量的占比尽量高。
因此,奖励函数设置为每个目的IP的流量的合法流量占比的累加和,奖励函数为
其中,r表示奖励函数,m表示当前周期内整个网络中出现的所有流量的不同目的IP的数量,LegitimateTraffici表示目的IP为i的流量中合法流量的大小,TotalTraffici表示目的IP为i的总的流量大小,总的流量包括有合法流量与攻击流量。
通过使用奖励函数进行待训练决策模型的训练操作,以得到与最优解对应的决策模型。
进一步地,所有的预设分布式决策模型通过共享同一价值评估网络,可将决策模型导向最优解。
在上述实施例的基础上,优选地,所述丢包动作概率不等于预设丢包阈值,所述预设丢包阈值对应的数据包处理操作为丢包操作。
具体地,预设丢包阈值的含义为,若丢包动作概率等于预设丢包阈值,则丢弃某一目的IP对应的全部数据包,所以,数据包处理操仅包括丢包操作。
将丢包动作概率设置为不等于预设丢包阈值,这是因为,流量中可能也包含着一些合法流量,不宜全部拒绝。
所以,数据包处理操作一般地将同时包括有丢包操作与保留操作。
进一步地,目前也存在着一些常规或基于机器学习的DDoS防御方式,但往往存在着一些缺陷,比如,合法流量易被错误丢弃。明显地,通过将丢包动作概率设置为不等于预设丢包阈值,可有效缓解此技术缺陷。
进一步地,此处不排除,数据包处理操作仅包括保留操作。
此外,目前存在着的一些常规或基于机器学习的DDoS防御方式的缺陷还包括有,训练样本缺乏、可扩展性差等。
进一步地,强化学习模型可应用于分布式SDN控制器场景下。
其中,强化学习模型可具体采用多智能体DDPG(Deep Deterministic PolicyGradient)算法,该神经网络可采用输入层、输出层及三层全连接隐藏层的神经网络结构。
特别地,三层隐藏层的网络节点数可分别为32、64和32。
为了便于理解分布式SDN技术下的整体架构,可参见图4所示的DDoS防御架构示意图。
具体地,图4以广域网场景为例,将存在着多个控制器集群,每个控制器集群中又包括多个控制节点,每个控制节点上又运行有强化学习智能体。
综上,鉴于常规的和基于机器学习的DDoS方法均面临着训练样本缺乏、可扩展性差及合法流量被错误丢弃等诸多问题,正基于此,本发明实施例通过将DDoS防御过程建模成一个针对特定目的IP的流量进行限速的马尔科夫决策过程,同时,引入了分布式强化学习算法,从而可对所有流量进行基于目的IP的限速,进而实现了对可疑流量进行动态实时限速,提高了DDoS防御系统的准确性和可扩展性,同时还降低由于错误判断而对合法流量的负面作用。
图5为本发明实施例提供的一种DDoS攻击的防御系统的结构示意图,如图5所示,该系统包括:数据包获取模块301、丢包概率模块302、操作确定模块303及DDoS防御模块304;
数据包获取模块301,用于获取目的网际互连协议IP字段为第一目的IP的第一数据包;
丢包概率模块302,用于获取与所述第一目的IP对应的丢包动作概率;
操作确定模块303,用于通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
DDoS防御模块304,用于将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
本发明实施例提供的DDoS攻击的防御系统,先获取目的网际互连协议IP字段为第一目的IP的第一数据包;获取与第一目的IP对应的丢包动作概率;通过丢包动作概率确定与第一数据包对应的数据包处理操作;将数据包处理操作下发至与控制节点连接的转发节点,以使转发节点采用数据包处理操作处理第一数据包,防御DDoS攻击行为。明显地,本发明实施例可基于与某一目的IP对应的丢包动作概率进行面向数据包处理操作的决策操作,以通过决策出的数据包处理操作处理某一目的IP的数据包,可见,本发明实施例通过限制发向特定目的IP的数据包的数量,从而实现了基于目的IP的流量限制行为,可对可疑流量进行动态化的实时的流量约束,从而提高了DDoS防御行为的准确性,解决了SDN控制实体难以应对DDoS攻击的技术问题。
本发明实施例提供的系统实施例是为了实现上述各方法实施例的,具体流程和详细内容请参照上述方法实施例,此处不再赘述。
图6为本发明实施例提供的一种控制节点的实体结构示意图,如图6所示,该控制节点可以包括:处理器(processor)401、通信接口(Communications Interface)402、存储器(memory)403和总线404,其中,处理器401,通信接口402,存储器403通过总线404完成相互间的通信。通信接口402可以用于控制节点的信息传输。处理器401可以调用存储器403中的逻辑指令,以执行包括如下的方法:
获取目的网际互连协议IP字段为第一目的IP的第一数据包;
获取与所述第一目的IP对应的丢包动作概率;
通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
此外,上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:
获取目的网际互连协议IP字段为第一目的IP的第一数据包;
获取与所述第一目的IP对应的丢包动作概率;
通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种DDoS攻击的防御方法,其特征在于,包括:
获取目的网际互连协议IP字段为第一目的IP的第一数据包;
获取与所述第一目的IP对应的丢包动作概率;
通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为;
所述获取目的网际互连协议IP字段为第一目的IP的第一数据包之前,所述DDoS攻击的防御方法还包括:
在预设分布式决策模型中通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率;
其中,所述预设分布式决策模型是通过在NS3网络仿真环境下对待训练决策模型进行训练得到的分布式决策模型;
其中,所述分布式决策模型的奖励函数为:
其中,r表示奖励函数,m表示当前周期内整个网络中出现的所有流量的不同目的IP的数量,LegitimateTraffici表示目的IP为i的流量中合法流量的大小,TotalTraffici表示目的IP为i的总的流量大小,总的流量包括有合法流量与攻击流量。
2.根据权利要求1所述的DDoS攻击的防御方法,其特征在于,所述通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率之前,所述DDoS攻击的防御方法还包括:
获取当前周期的上一周期的历史数据包;
从所述历史数据包中确定各目的IP分别对应的第二数据包;
根据所述第二数据包与所述历史数据包确定流量比例;
根据所述流量比例确定预设目的IP熵值;
相应地,所述获取目的网际互连协议IP字段为第一目的IP的第一数据包,具体包括:
获取所述当前周期内目的IP字段为第一目的IP的第一数据包。
3.根据权利要求2所述的DDoS攻击的防御方法,其特征在于,所述将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为之后,所述DDoS攻击的防御方法还包括:
在进入下一周期时,将所述当前周期内的当前数据包作为新的历史数据包,所述当前周期变更为新的上一周期,所述下一周期变更为新的当前周期,并返回执行所述获取当前周期的上一周期的历史数据包的步骤。
4.根据权利要求1至3中任一项所述的DDoS攻击的防御方法,其特征在于,所述数据包处理操作包括丢包操作;
相应地,所述将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为,具体包括:
将所述丢包操作下发至与控制节点连接的转发节点,以使所述转发节点丢弃所述第一数据包。
5.根据权利要求1至3中任一项所述的DDoS攻击的防御方法,其特征在于,所述丢包动作概率不等于预设丢包阈值,所述预设丢包阈值对应的数据包处理操作为丢包操作。
6.一种DDoS攻击的防御系统,其特征在于,包括:
数据包获取模块,用于获取目的网际互连协议IP字段为第一目的IP的第一数据包;
丢包概率模块,用于获取与所述第一目的IP对应的丢包动作概率;
操作确定模块,用于通过所述丢包动作概率确定与所述第一数据包对应的数据包处理操作;
DDoS防御模块,用于将所述数据包处理操作下发至与控制节点连接的转发节点,以使所述转发节点采用所述数据包处理操作处理所述第一数据包,防御DDoS攻击行为;
所述丢包概率模块,在获取目的网际互连协议IP字段为第一目的IP的第一数据包之前,还用于:
在预设分布式决策模型中通过预设目的IP熵值进行面向数据包处理操作的决策操作,以得到与第一目的IP对应的丢包动作概率;
其中,所述预设分布式决策模型是通过在NS3网络仿真环境下对待训练决策模型进行训练得到的分布式决策模型;
其中,所述分布式决策模型的奖励函数为:
其中,r表示奖励函数,m表示当前周期内整个网络中出现的所有流量的不同目的IP的数量,LegitimateTraffici表示目的IP为i的流量中合法流量的大小,TotalTraffici表示目的IP为i的总的流量大小,总的流量包括有合法流量与攻击流量。
7.一种控制节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5中任一项所述DDoS攻击的防御方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述DDoS攻击的防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010554462.3A CN111786967B (zh) | 2020-06-17 | 2020-06-17 | DDoS攻击的防御方法、系统、节点及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010554462.3A CN111786967B (zh) | 2020-06-17 | 2020-06-17 | DDoS攻击的防御方法、系统、节点及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111786967A CN111786967A (zh) | 2020-10-16 |
| CN111786967B true CN111786967B (zh) | 2022-02-01 |
Family
ID=72757309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010554462.3A Active CN111786967B (zh) | 2020-06-17 | 2020-06-17 | DDoS攻击的防御方法、系统、节点及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786967B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783901B (zh) * | 2021-11-15 | 2022-02-08 | 湖南宸瀚信息科技有限责任公司 | 一种基于区块链的多通信节点协同抗攻击网络系统 |
| CN114785551B (zh) * | 2022-03-23 | 2024-03-26 | 清华大学 | 天地融合网络恶意流量攻击主动抑制方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101378394B (zh) * | 2008-09-26 | 2012-01-18 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测方法及网络设备 |
| CN106131844B (zh) * | 2016-07-21 | 2019-08-27 | 江苏大学 | 一种ndn中恶意请求兴趣包攻击的防御方法 |
| CN108900513B (zh) * | 2018-07-02 | 2021-05-07 | 哈尔滨工业大学 | 一种基于bp神经网络的ddos效果评估方法 |
-
2020
- 2020-06-17 CN CN202010554462.3A patent/CN111786967B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111786967A (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Guo et al. | Deep-reinforcement-learning-based QoS-aware secure routing for SDN-IoT | |
| Li et al. | Detection and defense of DDoS attack–based on deep learning in OpenFlow‐based SDN | |
| Liu et al. | Deep reinforcement learning based smart mitigation of DDoS flooding in software-defined networks | |
| Li et al. | Distributed network intrusion detection system in satellite-terrestrial integrated networks using federated learning | |
| Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
| CN111786967B (zh) | DDoS攻击的防御方法、系统、节点及存储介质 | |
| CN114363093A (zh) | 一种基于深度强化学习的蜜罐部署主动防御方法 | |
| Tang et al. | Real-time detection and mitigation of LDoS attacks in the SDN using the HGB-FP algorithm | |
| CN111131199B (zh) | 业务攻击流量清洗控制方法、装置、服务器及存储介质 | |
| Wang et al. | Deep learning for securing software-defined industrial internet of things: attacks and countermeasures | |
| Hammar et al. | Intrusion prevention through optimal stopping | |
| JP2022013823A (ja) | 人工ニューラルネットワークによって分散型ネットワークの健全性ステータス(health status)を予測するための方法 | |
| CN115396366A (zh) | 基于图注意力网络的分布式智能路由方法 | |
| Kim et al. | DIVERGENCE: deep reinforcement learning-based adaptive traffic inspection and moving target defense countermeasure framework | |
| CN110784487B (zh) | 一种基于数据包抽检模型的sdn节点防御方法 | |
| CN117155629A (zh) | 一种基于人工智能的电力信息系统网络主动防御方法及系统 | |
| US20220417269A1 (en) | Edge-based polymorphic network with advanced agentless security | |
| CN115499365A (zh) | 路由优化方法、装置、设备及介质 | |
| KR20220097201A (ko) | 연합학습을 이용한 네트워크 혼잡 제어방법 | |
| CN111752730B (zh) | 一种拟态调度判决方法、拟态调度器及可读存储介质 | |
| Shen et al. | An adaptive Markov game model for cyber threat intent inference | |
| Fernández-Carrasco et al. | Security and 5G: Attack mitigation using Reinforcement Learning in SDN networks | |
| Adeke et al. | An efficient approach based on parameter optimization for network traffic classification using machine learning | |
| Li et al. | Event‐triggered‐based secure adaptive NN consensus tracking control of switched multi‐agent systems | |
| Shen et al. | Strategies comparison for game theoretic cyber situational awareness and impact assessment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |