CN117596597A - DRDoS攻击主动防御方法及装置 - Google Patents
DRDoS攻击主动防御方法及装置 Download PDFInfo
- Publication number
- CN117596597A CN117596597A CN202410072692.4A CN202410072692A CN117596597A CN 117596597 A CN117596597 A CN 117596597A CN 202410072692 A CN202410072692 A CN 202410072692A CN 117596597 A CN117596597 A CN 117596597A
- Authority
- CN
- China
- Prior art keywords
- malicious
- attacker
- program
- defending
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007123 defense Effects 0.000 title claims abstract description 141
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000005070 sampling Methods 0.000 claims abstract description 145
- 230000006870 function Effects 0.000 claims abstract description 117
- 230000008901 benefit Effects 0.000 claims description 44
- 238000001514 detection method Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 7
- 230000000116 mitigating effect Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种DRDoS攻击主动防御方法及装置,属于计算机网络技术领域,其方法包括:构建攻击方和防御方的效用函数,根据攻击方和防御方的效用函数,确定第一防御程序的实际数据包抽样率;在核心网中使用第一防御程序根据实际数据包抽样率检测恶意机器人,并丢弃检测出的恶意机器人发送的恶意数据包;在目标侧使用第二防御程序检测恶意机器人,并丢弃核心网转发并经反射器放大后的恶意数据包。本发明通过在斯塔克伯格博弈的均衡条件下求解得到实际数据包抽样率,使得基于实际数据包抽样率构建的防御策略使攻击方的效用最大的情况下依然不超过零,进而迫使理性的攻击方选择放弃攻击,实现对DRDoS攻击高效且成本较低的主动防御。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种DRDoS攻击主动防御方法及装置。
背景技术
物联网中分布式拒绝服务(DDoS)攻击的激增以及分布式反射拒绝服务(DRDoS)攻击等变体的出现严重威胁着5G网络。由于受害者的设备(目标侧)计算能力有限,通常配置了防火墙等相对简单的防御方法。一旦检测到来自同一物联网机器人的攻击,来自该机器人(即具有相同IP地址)的所有数据包都会被丢弃。因此,在受害者处部署防御策略可以检测到恶意机器人,而且简单、成本低,但是它的功能固定且单一,无法满足按需防御和在运行时动态处理攻击。
具有强大计算能力的互联网服务侧(Internet Service Provider,ISP)防御策略一般部署在5G核心(5GC)网络中。它可以同时进行数据包采样和检测恶意机器人,将恶意流量在经互联网中的反射源放大之前丢弃,在防御DRDoS攻击中显示出了有效性。但缺点是成本较高。
因此,一种高效且成本较低的针对DRDoS攻击的防御方法成为亟需解决的问题。
发明内容
本发明提供一种DRDoS攻击主动防御方法及系统,用以解决现有技术中针对DRDoS攻击的防御力和成本难以平衡的缺陷,实现一种高效且成本较低的针对DRDoS攻击的防御方法。
本发明提供一种DRDoS攻击主动防御方法,包括:
根据攻击方造成目标侧的合法数据包丢失而获得的收益、攻击方控制恶意机器人发起攻击所需的成本和防御方检测到恶意机器人产生的沉没成本构建攻击方的效用函数,其中,防御方包括部署于核心网的第一防御程序和部署于目标侧的第二防御程序;
根据目标侧接收到合法数据包的收益和第一防御程序对接收到的合法数据包和恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建防御方的效用函数;
根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率;
使用第一防御程序根据实际数据包抽样率检测并丢弃核心网接收的数据包中的恶意数据包,使用第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
根据本发明提供的一种DRDoS攻击主动防御方法,根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率的步骤包括:
确定攻击方的效用函数最大时的第一恶意机器人数量;
确定防御方的效用函数最小时的第一抽样率;
根据第一恶意机器人数量,确定使攻击方的效用函数最大为零时的第二抽样率;
在第二抽样率大于第一抽样率的情况下,将第二抽样率确定为实际数据包抽样率。
根据本发明提供的一种DRDoS攻击主动防御方法,在所述根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数的步骤之前,还包括:
根据攻击方的收益常数和第二防御程序丢弃合法数据包的数量,确定攻击方造成目标侧的合法数据包丢失而获得的收益;
根据攻击方的成本常数、攻击方控制的恶意机器人数量以及每个恶意机器人发起的恶意数据包的数量,确定攻击方控制恶意机器人发起攻击所需的成本;
根据攻击方的沉没成本常数、防御方对恶意机器人的总检出率、攻击方控制的恶意机器人数量以及每个恶意机器人发起的恶意数据包的数量,确定恶意机器人产生的沉没成本。
根据本发明提供的一种DRDoS攻击主动防御方法,在所述根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数的步骤之前,还包括:
根据防御方的边际收益常数、合法数据包的数量以及第二防御程序丢弃合法数据包的数量,确定目标侧接收到合法数据包的收益;
根据防御方的采样成本常数、核心网接收到的恶意数据包和合法数据包的总量以及第一防御程序的抽样率,确定第一防御程序对接收到的合法数据包和恶意数据包抽样检测产生的抽样成本。
根据本发明提供的一种DRDoS攻击主动防御方法,在所述根据所述攻击方的沉没成本常数、所述防御方对所述恶意机器人的总检出率、所述攻击方控制的恶意机器人数量以及每个所述恶意机器人发起的恶意数据包的数量,确定所述恶意机器人产生的沉没成本的步骤之前,还包括:
根据第二防御程序对恶意机器人的检出率、第一防御程序对恶意机器人的检出率和第一防御程序的抽样率确定总检出率。
根据本发明提供的一种DRDoS攻击主动防御方法,在所述根据所述攻击方的收益常数和所述第二防御程序丢弃合法数据包的数量,确定所述攻击方造成目标侧的合法数据包丢失而获得的收益的步骤之前,还包括:
根据第二防御程序接收到的恶意数据包和合法数据包的总量、第二防御程序对数据包的最大处理阈值和合法数据包的数量,确定第二防御程序丢弃合法数据包的数量。
本发明还提供一种DRDoS攻击主动防御装置,包括:
构建模块,用于根据攻击方造成目标侧的合法数据包丢失而获得的收益、攻击方控制恶意机器人发起攻击所需的成本和防御方检测到恶意机器人产生的沉没成本构建攻击方的效用函数,其中,防御方包括部署于核心网的第一防御程序和部署于目标侧的第二防御程序;
构建模块还用于,根据目标侧接收到合法数据包的收益和第一防御程序对接收到的合法数据包和恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建防御方的效用函数;
确定模块,用于根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率;
执行模块,用于使用第一防御程序根据实际数据包抽样率检测并丢弃核心网接收的数据包中的恶意数据包,使用第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如上述任一种DRDoS攻击主动防御方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种DRDoS攻击主动防御方法。
本发明还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现如上述任一种DRDoS攻击主动防御方法。
本发明提供的一种DRDoS攻击主动防御方法及装置,通过构建攻击方的效用函数和防御方的效用函数,在Stackelberg博弈的均衡条件下求解得到第一防御程序的实际数据包抽样率,使得基于实际数据包抽样率构建的防御策略能使攻击方的效用最大的情况下依然不超过零,进而迫使理性的攻击方选择放弃攻击,实现了对DRDoS攻击高效且成本较低的主动防御。
进一步地,在确定实际数据包抽样率时,本发明假设防御方处于最不利的情景下,即攻击方已经完全获知防御方的防御策略。换而言之,求解得到的实际数据包抽样率既考虑了攻击方的攻击策略,也考虑了潜在变化的参数,进而不断构建并升级防御方自身的防御策略,最终达到主动防御得目的。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的DRDoS攻击主动防御方法的流程示意图;
图2是本发明提供的DRDoS攻击主动防御方法中攻击缓解架构的结构示意图;
图3是本发明提供的DRDoS攻击主动防御方法中攻击方和防御方的博弈场景图;
图4是本发明提供的DRDoS攻击主动防御装置的结构示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先对以下内容进行介绍:
基于现有部署于ISP侧的防御成本较高、部署于目标侧的传统防御难以满足防御需求的问题,也可设计结合ISP侧(即部署于核心网中)和目标侧防御的混合防御策略,以充分利用两种防御策略的优势。
但是由于部署于ISP侧的防御策略和部署于目标侧的防御策略使用不同的方式对来自于攻击方的恶意数据包进行检测,且均有其特定的恶意机器人检出率,因此混合防御策略需要综合考虑两处防御策略的检测率。
通常来说,混合防御策略需要ISP侧的防御以最佳速率对核心网中收到的数据包进行抽样检测,以识别恶意机器人,并减少绝大多数DRDoS流量,再通过目标侧的防御措施,如防火墙等,对经由核心网过滤过的剩余数据包进行防护。
然而,这样的混合防御策略也依然存在问题,体现为部署于ISP侧的防御往往因为数据包采样的方法不足而受阻。由于ISP侧通常拥有更多的合法流量,而恶意流量相对较少,过于频繁的发送采样信息也易导致防御程序故障,因此,合适的ISP侧数据包采样方法是降低系统负载和延迟的有效措施,而现有的数据包采样技术在面对不断升级的攻击手段时鲁棒性较差。
具体来说,数据包采样技术在降低时延和成本,提高恶意流量检测效率方面至关重要。已有固定经验采样速率和感知入侵动态分组采样技术方案,前者通过丰富经验的安全工程师设置一个固定的数据包采样速率,后者是先初步设定一个数据包采样速率,然后周期性观察攻击态势,如果恶意流量增多,则增加数据包采样速率,反之,保持不变。然而上述传统的数据包采样技术在面对更高明的攻击者时暴露出其局限性,在面对不断演化的攻击方法时鲁棒性较差。
下面结合图1至图3描述本发明的DRDoS攻击主动防御方法,如图1所示,包括:
步骤101,根据攻击方造成目标侧的合法数据包丢失而获得的收益、攻击方控制恶意机器人发起攻击所需的成本和防御方检测到恶意机器人产生的沉没成本构建攻击方的效用函数,其中,防御方包括部署于核心网的第一防御程序和部署于目标侧的第二防御程序;
基于上述背景,本申请提出了一种基于斯塔克伯格博弈(Stackelberg博弈)的混合防御方法,基于攻击方与防御方的效用均衡状态,部署防御方的防御策略。
其中,本申请的防御方包括部署于核心网的第一防御程序,也就是ISP侧防御,以及部署于目标侧的第二防御程序。
可选地,本申请对第一防御程序和第二防御程序的设置不做限定,使第一防御程序能够实现对核心网中的流量数据包抽样检测,拦截部分恶意数据包,第二防御程序能在防御能力内对所有接收到的数据包进行检测即可。
本申请中的第一防御程序和第二防御程序部署的攻击缓解架构则如图2所示,具体包括用户设备(User Equipment,UE)、下一代无线接入网(RAN)、5GC和数据网络组成,3GPP定义的5G网络中基于服务的架构采用控制面和用户面分离的方式,以实现应用的低延迟。
当DRDoS攻击流量从UE端发起时,如果没有部署防御策略,恶意数据包会通过RAN、5GC和本地子网到达反射器(即部署了放大协议的服务器,如NTP服务器),对受害者造成严重破坏。
本申请中,部署于目标侧的第二防御程序为防火墙,防火墙可以通过IP地址丢弃来自同一物联网机器人的恶意数据包;部署于ISP侧,即核心网的第一防御程序,除了3GPP定义的网络功能外,还包括作为策略控制应用程序的SDN控制器,以及由SDN交换机(即SwitchIn和SwitchOut)、SDN广域网(WAN)和作为扩展软件功能的数据包检测中心(PacketDetection Center,PDC)组成的UPF。其中,PDC用于部署恶意流量检测方法,可以通过对核心网接收的数据包抽样检测,从而识别恶意机器人并拦截其发出的恶意数据包。
当DRDoS攻击流量从UE侧发起,与合法流量混合的攻击流量到达SDN SwitchIn交换机后,PDC对数据包抽样并验证其源IP地址(如图2的③所示),如果检测到任何可疑行为,则将相应的协议数据单元(PDU)ID和IP地址发送到SDN控制器(如图2的④所示)。然后,SDN控制器会指定并向SDN SwitchOut交换机发送相应的流表规则,SDN SwitchOut交换机执行接收到的流表规则并丢弃记录于其中的攻击流量,如带有伪造IP地址的数据包(如图2的⑤所示)。
至此,攻击流量在进入数据网络中的反射器之前大部分已经得到缓解,未拦截的攻击流量和合法流量则正常转发至目标侧,使目标侧的防火墙能对接收到的流量进行检测。
基于上述攻击缓解框架,本申请提出了基于Stackelberg博弈的防御模型,以根据攻击方的效用函数和防御方的效用函数求解PDC中部署的最佳数据包抽样率,作为实际数据包抽样率。
因此,首先需要构建攻击方的效用函数。
攻击方的效用函数由三部分组成,第一部分为攻击方造成目标侧的合法数据包丢失而获得的收益。
具体来说,阈值效应是DRDoS攻击的一个重要特征。在目标侧的第二防御程序接收到的数据包总量,即合法数据包与恶意数据包的总量超过了第二防御程序的最大数据包处理阈值时,数据包缓冲区溢出,目标侧会随机丢弃数据包,若丢弃的数据包中包含合法数据包,攻击方就会产生收益,也就是攻击方效益函数的第一部分。
第二部分为攻击方控制恶意机器人发起攻击所需的成本,这一部分成本根据攻击方使用的恶意机器人数量以及每个恶意机器人发出的恶意数据包数量确定。
第三部分为防御方检测到恶意机器人产生的沉没成本。其中,防御方包括第一防御程序和第二防御程序,因此,沉没成本包括第一防御程序由于检测到恶意机器人而丢弃其发送的恶意数据包产生的沉没成本和第二防御程序由于检测到恶意机器人而丢弃其发送的恶意数据包产生的沉没成本。
需要说明的是,尽管防御方是对恶意机器人发送的恶意数据包进行抽样检测,由于防御方在检测到恶意机器人发送的任一恶意数据包后,即可通过该恶意数据包的IP地址确定并丢弃来源于同一地址的,也就是该恶意数据包对应的恶意机器人发出的全部恶意数据包,因此,沉没成本为防御方检测到恶意机器人产生的成本。
将攻击方的收益减去攻击方的成本以及减去攻击方的沉没成本,即构建得到攻击方的效用函数。
步骤102,根据目标侧接收到合法数据包的收益和第一防御程序对接收到的合法数据包和恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建防御方的效用函数;
进一步地,构建防御方的效用函数,包括两部分。
第一部分为目标侧接收到合法数据包的收益。需要注意的是,由于阈值效应,并不是所有发送的合法数据包都能被攻击方接收,因此,目标侧接收到的合法数据包为由核心网转发至目标侧的合法数据包与被第二防御程序丢弃的合法数据包的差值。
第二部分为第一防御程序对核心网接收到的所有数据包,即对全部合法数据包与恶意数据包进行抽样检测时产生的抽样成本。
将防御方的收益减去防御方的抽样成本,构建防御方的效用函数。
步骤103,根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率;
构建完成攻击方的效用函数和防御方的效用函数后,基于Stackelberg博弈模型对其进行分析,以确定第一防御程序的实际数据包抽样率。
具体来说,对于攻击方而言,攻击方的目标是确定最优的恶意机器人数量,使攻击方的效用函数最大。
对于防御方而言,则是确定最优的第一防御程序抽样率,使防御方的效用函数最大化,同时使攻击方的效用函数不大于零。
需要注意的是,本申请中防御方的最终目标是在考虑到最坏的攻击情况下,即向攻击方暴露防御能力时,以尽可能少的安全资源消耗实现有效防御。
其中,最坏的攻击情况即攻击方获知防御方的第一防御程序的实际数据包抽样率,并根据实际数据包抽样率确定使用恶意机器人的数量。具体来说,当DRDoS攻击流量从UE端发起,而防御方尚未部署防御策略时,攻击方在这一轮攻击中可以获取防御方的防御措施(攻击缓解架构)和第二防御程序的最大数据包处理阈值等关键防御信息,并在下一轮攻击中调整策略,这就是对防御方来说的最坏情况。
攻击方和防御方的博弈场景如图3所示,在上述基础上,将攻击方和防御方之间的交互制定为一个Stackelberg博弈。其中,表示恶意机器人的数量,/>表示每个恶意机器人发起的恶意数据包的数量,/>表示合法数据包的数量。
攻击方作为跟随者,根据防御方的策略调整攻击策略,攻击方的攻击策略即使用的恶意机器人的数量。
当攻击方与防御方处于Stackelberg博弈均衡状态时,理性的攻击方的最佳策略是放弃攻击。
其中,均衡状态表示当攻击方找到使其攻击效用最大化的最优恶意机器人数量,防御方找到使其防御效用最大化的第一防御程序最优抽样率,同时,使得攻击方在获知该抽样率的情况下,其得到的攻击效用最大仍不超过零。
换而言之,即便防御方处于最坏的攻击情况下,攻击方获得的最大攻击效用仍为零,迫使理性的攻击方会将放弃攻击作为最优策略,即实现了对DRDoS攻击的防护。
因此,根据构建的攻击方的效用函数、防御方的效用函数和Stackelberg博弈均衡条件求解,得到的抽样率作为第一防御程序的实际数据包抽样率,并认为第一防御程序处于实际数据包抽样率时,攻击方会将放弃攻击作为最优攻击策略。
步骤104,使用第一防御程序根据实际数据包抽样率检测并丢弃核心网接收的数据包中的恶意数据包,使用第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
基于上述论述,在确定了实际数据包抽样率后,在本申请提供的攻击缓解架构中,第一防御程序,即PDC,使用实际数据包抽样率对核心网接收到的数据包进行抽样检测,并将检测出的来源于同一地址的恶意数据包通过SDN SwitchOut丢弃,将其他数据包发送至目标侧。
目标侧的第二防御程序对接收到的所有数据包进行检测和防护,使得基于第一防御程序和第二防御程序构成的防御策略造成攻击方的最大攻击效用不超过零,进而迫使理性的攻击方选择放弃攻击,实现对DRDoS攻击的主动防御。
本发明通过构建攻击方的效用函数和防御方的效用函数,在Stackelberg博弈的均衡条件下求解得到第一防御程序的实际数据包抽样率,使得基于实际数据包抽样率构建的防御策略能使攻击方的效用最大的情况下依然不超过零,进而迫使理性的攻击方选择放弃攻击,实现对DRDoS攻击的高效且成本较低的主动防御。
进一步地,在确定实际数据包抽样率时,本发明假设防御方处于最不利的情景下,即攻击方已经完全获知防御方的防御策略。换而言之,求解得到的实际数据包抽样率既考虑了攻击方的攻击策略,也考虑了潜在变化的参数,进而不断构建并升级防御方自身的防御策略,最终达到主动防御得目的。
本发明DRDoS攻击主动防御方法中,所述根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率的步骤包括:
确定所述攻击方的效用函数最大时的第一恶意机器人数量;
确定所述防御方的效用函数最小时的第一抽样率;
根据所述第一恶意机器人数量,确定使所述攻击方的效用函数最大为零时的第二抽样率;
在所述第二抽样率大于所述第一抽样率的情况下,将所述第二抽样率确定为所述实际数据包抽样率。
本发明DRDoS攻击主动防御方法中,在所述根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数的步骤之前,还包括:
根据攻击方的收益常数以及第二防御程序丢弃合法数据包的数量确定攻击方造成目标侧的合法数据包丢失而获得的收益;
具体的,将攻击方的收益常数(/>/数据包)与第二防御程序丢弃合法数据包的数量/>的乘积作为攻击方造成目标侧的合法数据包丢失而获得的收益。
根据攻击方的成本常数、攻击方控制的恶意机器人数量以及每个恶意机器人发起的恶意数据包的数量,确定攻击方控制恶意机器人发起攻击所需的成本;
具体地,本申请认为攻击方的每个恶意机器人发起的恶意数据包的数量相同。
因此,将攻击方的成本常数(/>/数据包)、攻击方控制的恶意机器人数量/>以及每个恶意机器人发起的恶意数据包的数量/>,作为攻击方控制恶意机器人发起攻击所需的成本。
根据攻击方的沉没成本常数、防御方对恶意机器人的总检出率、攻击方控制的恶意机器人数量以及每个恶意机器人发起的恶意数据包的数量,确定恶意机器人产生的沉没成本。
具体地,将攻击方的沉没成本常数(/>/数据包)、防御方对恶意机器人的总检出率/>、攻击方控制的恶意机器人的数量/>、以及每个恶意机器人发起的恶意数据包的数量,作为恶意机器人发起的恶意数据包产生的沉没成本。
最终确定出的攻击者的效用函数如下所示:
本发明DRDoS攻击主动防御方法中,在所述根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数的步骤之前,还包括:
根据防御方的边际收益常数、合法数据包的数量以及第二防御程序丢弃合法数据包的数量,确定目标侧接收到合法数据包的收益;
具体地,将防御方的边际收益常数(/>/数据包)、以及目标侧实际接收到的合法数据包数量的乘积,作为目标侧接收到合法数据包的收益。
其中,目标侧实际接收到的合法数据包数量为合法数据包的数量减去第二防御程序丢弃合法数据包的数量/>得到的差值。
根据防御方的采样成本常数、核心网接收到的恶意数据包和合法数据包的总量以及第一防御程序的抽样率,确定第一防御程序对接收到的合法数据包和恶意数据包抽样检测产生的抽样成本。
具体地,将防御方的采样成本常数(/>/数据包)、核心网接收到的数据包总量以及第一防御程序的抽样率/>作为第一防御程序对接收到的合法数据包和恶意数据包抽样检测产生的抽样成本。
其中,核心网接收到的数据包总量及核心网接收到的恶意数据包数量与核心网接收到的合法数据包的数量/>的和。
最终确定出防御方的效用函数如下:
本发明DRDoS攻击主动防御方法中,在所述根据所述攻击方的沉没成本常数、所述防御方对所述恶意机器人的总检出率、所述攻击方控制的恶意机器人数量以及每个所述恶意机器人发起的恶意数据包的数量,确定所述恶意机器人产生的沉没成本的步骤之前,还包括:
根据第二防御程序对恶意机器人的检出率、第一防御程序对恶意机器人的检出率和第一防御程序的抽样率确定总检出率。
进一步地,防御方的防御能力,即防御方的总检出率由第一防御程序对恶意机器人的检出率和第二防御程序对恶意机器人的检出率/>确定。
其中,和/>都在[0,1]之间。
具体地,由于第一防御程序对接收到的数据包采用抽样检测的方式,因此,第一防御程序的抽样率与第一防御程序的检出率/>的乘积表示第一防御程序的防御能力。
在此基础上,确定出防御方的总检出率。
同时不难确定,总检出率也位于[0,1]之间。
本发明DRDoS攻击主动防御方法中,在所述根据所述攻击方的收益常数和所述第二防御程序丢弃合法数据包的数量,确定所述攻击方造成目标侧的合法数据包丢失而获得的收益的步骤之前,还包括:
根据第二防御程序接收到的恶意数据包和合法数据包的总量、第二防御程序对数据包的最大处理阈值和合法数据包的数量确定第二防御程序丢弃合法数据包的数量。
当第二防御程序接收到的数据包总量超过受害者对数据包的最大数据包处理阈值/>(即/>)时,数据包缓冲区溢出,第二防御程序会随机丢弃数据包。
如果第二防御程序丢弃的数据包中包含合法数据包,攻击方就会获得收益。相反,若,则合法用户发送的合法数据包能全部被用户侧接收,防御方会获得收益。
在此基础上,第二防御程序丢弃合法数据包的数量可以表示为:
其中,第二防御程序接收到的数据包总量为合法数据包的数量/>以及经过第一防御程序抽样检测后并经反射器放大后发送至第二防御程序的恶意数据包的数量。
因此,可以表示为:
其中,如图3所示,表示经过第一防御程序和第二防御程序后到达目标侧的恶意数据包,/>表示反射器提供的数据包放大系数。对于未放大的DDoS攻击,/>;否则。
本发明DRDoS攻击主动防御方法中,根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率的步骤包括:
确定攻击方的效用函数最大时的第一恶意机器人数量;
基于上述论述,不难发现,攻击方的效用函数和防御方的效用函数/>均为关于恶意机器人的数量/>和第一防御程序的抽样率/>的函数,也就是:
在此基础上,再通过Stackelberg博弈的均衡条件求解第一防御程序的实际数据包抽样率。
其中,攻击方的目标是确定最优恶意机器人数量,来最大化其效用函数/>,因此,它可以被表述为:
防御方的目标是找到最佳采样率,使防御方的效用函数/>尽可能大,同时使攻击方的效用函数不大于0,因此,可以表述为:
通过求解Stackelberg博弈的均衡,可以得到双方的最优策略,即满足以下条件的Stackelberg均衡解:
进一步地,对攻击方而言,若,则攻击方无论如何都无法获益,在此情况下,攻击方的最佳策略是放弃攻击,将恶意机器人数量/>设置为0。
因此,从开始分析,求解最优恶意机器人数量/>,即第一恶意机器人数量。
先求出的一阶和二阶差分,即/>和/>,可以发现,/>相对于/>是凹的,当/>时,其一阶倒数有唯一的零点。
因此,可以得到两个解:和/>。其中,/>。
显然,恶意机器人的数量为正整数,故而/>不符合条件,因此有:
其中,代表数字的上限。需要注意的是,尽管问题P1是一个混合整数规划问题,但/>的特性仍然可以使其得到最优解/>。
确定防御方的效用函数最小时的第一抽样率;
进一步地,求解问题P2。此时,首先分析防御方的效用函数,取/>关于/>的一阶微分和二阶微分,即/>和/>。
不难发现,相对于/>是凸的,因此,/>的最大值必须在/>的可行区间[0,1]的边界处达到。因此,只需求解/>的零点和约束条件/>同时决定的边界即可。
令,得到两个解,分别为/>和。
其中,。
将代入/>,解算发现,/>与/>在[0,1]冲突,因此,/>是能使最小化的解,即,第一抽样率为/>。
根据第一机器人数量,确定使攻击方的效用函数最大为0时的第二抽样率;
进一步地,求解限制条件。
其中,将预先确定的第一恶意机器人数量代入/>即可得到最大攻击方的效用函数/>。/>
再根据求解第二抽样率/>:
可以看出,是关于/>单调递减的,因此,当防御者不做抽样检测,即时,攻击者的最优策略获益。否则,如果/>个包都被采样,攻击者不可避免的会放弃攻击。因此,随着/>从0增加到1,/>逐渐减小到0。由于/>是连续的,因此,一定存在一个关键的检测率/>,满足/>。
通过化简,可以得到/>。注意到,/>,因此,/>可以求出为:
其中,。
在第二抽样率大于第一抽样率的情况下,将第二抽样率确定为实际数据包抽样率。
在求解出后,注意到/>总是成立。
不难理解,由于是防御方的效用函数最小时的解,因此,当第一防御程序的抽样率为/>时,防御方的收益大于抽样率为第一抽样率时防御方的收益,也就是防御方能够获得效用。
同时,为使攻击方在处于最大效用时,攻击方的最大效用仍不大于零的解;且当第一防御程序的抽样率/>时不满足Stackelberg的均衡条件。
因此,基于上述事实,将第二抽样率认为是第一防御程序的实际数据包抽样率。
可选地,实际使用时,可以将作为第一防御程序的实际数据包抽样率,其中,/>是选择的任意小的正数。
下面对本发明提供的DRDoS攻击主动防御装置进行描述,下文描述的DRDoS攻击主动防御装置与上文描述的DRDoS攻击主动防御方法可相互对应参照。
如图4所示,DRDoS攻击主动防御装置包括构建模块401、确定模块402和执行模块403:
构建模块401,用于根据攻击方造成目标侧的合法数据包丢失而获得的收益、攻击方控制恶意机器人发起攻击所需的成本和防御方检测到恶意机器人产生的沉没成本构建攻击方的效用函数,其中,防御方包括部署于核心网的第一防御程序和部署于目标侧的第二防御程序;
其中,本申请的防御方包括部署于核心网的第一防御程序,也就是ISP侧防御,以及部署于目标侧的第二防御程序。
可选地,本申请对第一防御程序和第二防御程序的设置不做限定,使第一防御程序能够实现对核心网中的流量数据包抽样检测,拦截部分恶意数据包,第二防御程序能在防御能力内对所有接收到的数据包进行检测即可。
本申请中的第一防御程序和第二防御程序部署的攻击缓解架构则如图2所示,具体包括用户设备(User Equipment,UE)、下一代无线接入网(RAN)、5GC和数据网络组成,3GPP定义的5G网络中基于服务的架构采用控制面和用户面分离的方式,以实现应用的低延迟。
基于上述攻击缓解框架,本申请提出了基于Stackelberg博弈的防御模型,以根据攻击方的效用函数和防御方的效用函数求解PDC中部署的最佳数据包抽样率,作为实际数据包抽样率。
因此,首先需要构建攻击方的效用函数。
攻击方的效用函数由三部分组成,第一部分为攻击方造成目标侧的合法数据包丢失而获得的收益。
具体来说,阈值效应是DRDoS攻击的一个重要特征。在目标侧的第二防御程序接收到的数据包总量,即合法数据包与恶意数据包的总量超过了第二防御程序的最大数据包处理阈值时,数据包缓冲区溢出,目标侧会随机丢弃数据包,若丢弃的数据包中包含合法数据包,攻击方就会产生收益,也就是攻击方效益函数的第一部分。
第二部分为攻击方控制恶意机器人发起攻击所需的成本,这一部分成本根据攻击方使用的恶意机器人数量以及每个恶意机器人发出的恶意数据包数量确定。
第三部分为防御方检测到恶意机器人产生的沉没成本。其中,防御方包括第一防御程序和第二防御程序,因此,沉没成本包括第一防御程序由于检测到恶意机器人而丢弃其发送的恶意数据包产生的沉没成本和第二防御程序由于检测到恶意机器人而丢弃其发送的恶意数据包产生的沉没成本。将攻击方的收益减去攻击方的成本以及减去攻击方的沉没成本,即构建得到攻击方的效用函数。
构建模块401还用于,根据目标侧接收到合法数据包的收益和第一防御程序对接收到的合法数据包和恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建防御方的效用函数;
进一步地,构建防御方的效用函数,包括两部分。
第一部分为目标侧接收到合法数据包的收益。需要注意的是,由于阈值效应,并不是所有发送的合法数据包都能被攻击方接收,因此,目标侧接收到的合法数据包为由核心网转发至目标侧的合法数据包与被第二防御程序丢弃的合法数据包的差值。
第二部分为第一防御程序对核心网接收到的所有数据包,即对全部合法数据包与恶意数据包进行抽样检测时产生的抽样成本。
将防御方的收益减去防御方的抽样成本,构建效用函数。
确定模块402,用于根据攻击方的效用函数和防御方的效用函数,确定第一防御程序的实际数据包抽样率;
构建完成攻击方的效用函数和防御方的效用函数后,基于Stackelberg博弈模型对其进行分析,以确定第一防御程序的实际数据包抽样率。
具体来说,对于攻击方而言,攻击方的目标是确定最优的恶意机器人数量,使攻击方的效用函数最大。
对于防御方而言,则是确定最优的第一防御程序抽样率,使防御方的效用函数最大化,同时使攻击方的效用函数不大于零。
需要注意的是,本申请中防御方的最终目标是在考虑到最坏的攻击情况下,即向攻击方暴露防御能力时,以尽可能少的安全资源消耗实现有效防御。
其中,最坏的攻击情况即攻击方获知防御方的第一防御程序的实际数据包抽样率,并根据实际数据包抽样率确定使用恶意机器人的数量。具体来说,当DRDoS攻击流量从UE端发起,而防御方尚未部署防御策略时,攻击方在这一轮攻击中可以获取防御方的防御措施(攻击缓解架构)和第二防御程序的最大数据包处理阈值等关键防御信息,并在下一轮攻击中调制策略,这就是对防御方来说的最坏情况。
攻击方和防御方的博弈场景如图3所示,在上述基础上,将攻击方和防御方之间的交互制定为一个Stackelberg博弈。其中,表示恶意机器人的数量,/>表示每个恶意机器人发起的恶意数据包的数量,/>表示合法数据包的数量。
攻击方作为跟随者,根据防御方的策略调整攻击策略,攻击方的攻击策略即使用的恶意机器人的数量。
当攻击方与防御方处于Stackelberg博弈均衡状态时,理性的攻击方的最佳策略是放弃攻击。
其中,均衡状态表示当攻击方找到使其攻击效用最大化的最优恶意机器人数量,防御方找到使其防御效用最大化的第一防御程序最优抽样率,同时,使得攻击方在获知该抽样率的情况下,其得到的攻击效用最大仍不超过零。
换而言之,即便防御方处于最坏的攻击情况下,攻击方获得的最大攻击效用仍为零,迫使理性的攻击方会将放弃攻击作为最优策略,也就实现了对DRDoS攻击的防护。
因此,根据构建的攻击方的效用函数、防御方的效用函数和Stackelberg均衡条件求解,得到的抽样率作为第一防御程序的实际数据包抽样率,并认为第一防御程序处于实际数据包抽样率时,攻击方会将放弃攻击作为最优攻击策略。
执行模块403,用于使用第一防御程序根据实际数据包抽样率检测并丢弃核心网接收的数据包中的恶意数据包,使用第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
基于上述论述,在确定了实际数据包抽样率后,在本申请提供的攻击缓解架构中,使第一防御程序,即PDC使用实际数据包抽样率对核心网接收到的数据包进行抽样检测,并将检测出的恶意数据包通过SDN SwitchOut丢弃,将其他数据包发送至目标侧。
目标侧的第二防御程序对接收到的所有数据包进行检测和防护,使得基于第一防御程序和第二防御程序构成的防御策略造成攻击方的最大攻击效用不超过零,并使理性的攻击方选择放弃攻击,实现对DRDoS攻击的主动防御。
本发明通过构建攻击方的效用函数和防御方的效用函数,在Stackelberg博弈的平衡条件下求解得到第一防御程序的实际数据包抽样率,使得基于实际数据包抽样率构建的防御策略能使攻击方的效用最大的情况下依然不超过零,进而迫使理性的攻击方选择放弃攻击,实现对DRDoS攻击的高效且成本较低的主动防御。
进一步地,在确定实际数据包抽样率时,本发明假设防御方处于最不利的情景下,即攻击方已经完全获知防御方的防御策略。换而言之,求解得到的实际数据包抽样率既考虑了攻击方的攻击策略,也考虑了潜在变化的参数,进而不断构建并升级防御方自身的防御策略,最终达到主动防御得目的。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行DRDoS攻击主动防御方法,该方法包括:根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数,其中,所述防御方包括部署于核心网的第一防御程序和部署于所述目标侧的第二防御程序;根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数;根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率;使用所述第一防御程序根据所述实际数据包抽样率检测并丢弃所述核心网接收的数据包中的恶意数据包,使用所述第二防御程序检测并丢弃所述核心网转发的数据包中的恶意数据包。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的DRDoS攻击主动防御方法,该方法包括:根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数,其中,所述防御方包括部署于核心网的第一防御程序和部署于所述目标侧的第二防御程序;根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发出的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数;根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率;使用所述第一防御程序根据所述实际数据包抽样率检测并丢弃所述核心网接收的数据包中的恶意数据包,使用所述第二防御程序检测并丢弃所述核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法提供的DRDoS攻击主动防御方法,该方法包括:根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数,其中,所述防御方包括部署于核心网的第一防御程序和部署于所述目标侧的第二防御程序;根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发出的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数;根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率;使用所述第一防御程序根据所述实际数据包抽样率检测并丢弃所述核心网接收的数据包中的恶意数据包,使用所述第二防御程序检测并丢弃所述核心网转发并经反射器放大后发送至目标侧的恶意数据包。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种DRDoS攻击主动防御方法,其特征在于,包括:
根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数,其中,所述防御方包括部署于核心网的第一防御程序和部署于所述目标侧的第二防御程序;
根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数;
根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率;
使用所述第一防御程序根据所述实际数据包抽样率检测并丢弃所述核心网接收的数据包中的恶意数据包,使用所述第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
2.根据权利要求1所述的DRDoS攻击主动防御方法,其特征在于,所述根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率的步骤包括:
确定所述攻击方的效用函数最大时的第一恶意机器人数量;
确定所述防御方的效用函数最小时的第一抽样率;
根据所述第一恶意机器人数量,确定使所述攻击方的效用函数最大为零时的第二抽样率;
在所述第二抽样率大于所述第一抽样率的情况下,将所述第二抽样率确定为所述实际数据包抽样率。
3.根据权利要求1或2任一项所述的DRDoS攻击主动防御方法,其特征在于,在所述根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数的步骤之前,还包括:
根据所述攻击方的收益常数和所述第二防御程序丢弃合法数据包的数量,确定所述攻击方造成目标侧的合法数据包丢失而获得的收益;
根据所述攻击方的成本常数、所述攻击方控制的恶意机器人数量以及每个所述恶意机器人发起的恶意数据包的数量,确定所述攻击方控制恶意机器人发起攻击所需的成本;
根据所述攻击方的沉没成本常数、所述防御方对所述恶意机器人的总检出率、所述攻击方控制的恶意机器人数量以及每个所述恶意机器人发起的恶意数据包的数量,确定所述恶意机器人产生的沉没成本。
4.根据权利要求1或2任一项所述的DRDoS攻击主动防御方法,其特征在于,在所述根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数的步骤之前,还包括:
根据所述防御方的边际收益常数、所述合法数据包的数量以及所述第二防御程序丢弃合法数据包的数量,确定所述目标侧接收到所述合法数据包的收益;
根据所述防御方的采样成本常数、所述核心网接收到的所述恶意数据包和所述合法数据包的总量以及所述第一防御程序的抽样率,确定所述第一防御程序对接收到的所述合法数据包和所述恶意数据包抽样检测产生的抽样成本。
5.根据权利要求3所述的DRDoS攻击主动防御方法,其特征在于,在所述根据所述攻击方的沉没成本常数、所述防御方对所述恶意机器人的总检出率、所述攻击方控制的恶意机器人数量以及每个所述恶意机器人发起的恶意数据包的数量,确定所述恶意机器人产生的沉没成本的步骤之前,还包括:
根据所述第二防御程序对所述恶意机器人的检出率、所述第一防御程序对所述恶意机器人的检出率和所述第一防御程序的抽样率确定所述总检出率。
6.根据权利要求3所述的DRDoS攻击主动防御方法,其特征在于,在所述根据所述攻击方的收益常数和所述第二防御程序丢弃合法数据包的数量,确定所述攻击方造成目标侧的合法数据包丢失而获得的收益的步骤之前,还包括:
根据所述第二防御程序接收到的所述恶意数据包和所述合法数据包的总量、所述第二防御程序对数据包的最大处理阈值和所述合法数据包的数量,确定所述第二防御程序丢弃合法数据包的数量。
7.一种DRDoS攻击主动防御装置,其特征在于,包括:
构建模块,用于根据攻击方造成目标侧的合法数据包丢失而获得的收益、所述攻击方控制恶意机器人发起攻击所需的成本和防御方检测到所述恶意机器人产生的沉没成本构建所述攻击方的效用函数,其中,所述防御方包括部署于核心网的第一防御程序和部署于所述目标侧的第二防御程序;
所述构建模块还用于,根据所述目标侧接收到所述合法数据包的收益和所述第一防御程序对接收到的所述合法数据包和所述恶意机器人发起的恶意数据包抽样检测产生的抽样成本,构建所述防御方的效用函数;
确定模块,用于根据所述攻击方的效用函数和所述防御方的效用函数,确定所述第一防御程序的实际数据包抽样率;
执行模块,用于使用所述第一防御程序根据所述实际数据包抽样率检测并丢弃所述核心网接收的数据包中的恶意数据包,使用所述第二防御程序检测并丢弃核心网转发并经反射器放大后发送至所述目标侧的恶意数据包。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述DRDoS攻击主动防御方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述DRDoS攻击主动防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410072692.4A CN117596597B (zh) | 2024-01-18 | 2024-01-18 | DRDoS攻击主动防御方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410072692.4A CN117596597B (zh) | 2024-01-18 | 2024-01-18 | DRDoS攻击主动防御方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117596597A true CN117596597A (zh) | 2024-02-23 |
CN117596597B CN117596597B (zh) | 2024-04-12 |
Family
ID=89911918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410072692.4A Active CN117596597B (zh) | 2024-01-18 | 2024-01-18 | DRDoS攻击主动防御方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117596597B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130174256A1 (en) * | 2011-12-29 | 2013-07-04 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
CN112969180A (zh) * | 2021-03-31 | 2021-06-15 | 山东大学 | 模糊环境下无线传感器网络攻击防御方法及系统 |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
US20220224723A1 (en) * | 2015-10-28 | 2022-07-14 | Qomplx, Inc. | Ai-driven defensive cybersecurity strategy analysis and recommendation system |
-
2024
- 2024-01-18 CN CN202410072692.4A patent/CN117596597B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130174256A1 (en) * | 2011-12-29 | 2013-07-04 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
US20220224723A1 (en) * | 2015-10-28 | 2022-07-14 | Qomplx, Inc. | Ai-driven defensive cybersecurity strategy analysis and recommendation system |
US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
CN112969180A (zh) * | 2021-03-31 | 2021-06-15 | 山东大学 | 模糊环境下无线传感器网络攻击防御方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN117596597B (zh) | 2024-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gelenbe et al. | A self-aware approach to denial of service defence | |
KR102039842B1 (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
EP3399723B1 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
EP1592197A2 (en) | Network amplification attack mitigation | |
Cambiaso et al. | Slowcomm: Design, development and performance evaluation of a new slow DoS attack | |
KR20110061784A (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
Guo et al. | An efficient approach to prevent battery exhaustion attack on BLE-based mesh networks | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
CN112261021B (zh) | 软件定义物联网下DDoS攻击检测方法 | |
Muraleedharan et al. | Behaviour analysis of HTTP based slow denial of service attack | |
CN110661763B (zh) | 一种DDoS反射攻击防御方法、装置及其设备 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
CN117596597B (zh) | DRDoS攻击主动防御方法及装置 | |
Hayawi et al. | Thwarting ICMP low-rate attacks against firewalls while minimizing legitimate traffic loss | |
CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
CN112751801A (zh) | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 | |
CN114024731B (zh) | 报文处理方法及装置 | |
CN114745142B (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 | |
CN111628982B (zh) | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 | |
Trabelsi et al. | Resilence of network stateful firewalls against emerging DoS attacks: A case study of the blacknurse attack | |
Kabdjou et al. | Cyber Deception System based on Monte Carlo Simulation in the Mobile Edge Computing (MEC) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |