基于数据包抽检模型的SDN节点防御方法.pdf

《基于数据包抽检模型的SDN节点防御方法.pdf》由会员分享，可在线阅读，更多相关《基于数据包抽检模型的SDN节点防御方法.pdf（8页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911081322.2 (22)申请日 2019.11.07 (71)申请人 广东技术师范大学 地址 510665 广东省广州市天河区中山大 道西293号 (72)发明人 刘兰周荣富 (74)专利代理机构 广州市深研专利事务所 44229 代理人 陈雅平 (51)Int.Cl. H04L 29/06(2006.01) H04L 12/24(2006.01) (54)发明名称 一种基于数据包抽检模型的SDN节点防御方 法 (57)摘要 一种基于数据包抽检模型的SDN节点防御方。

2、 法， 属于互联网技术领域。 本方法把数据包抽检 模型设计成攻防双方都参与的零和博弈， 根据博 弈结果分析SDN网络中的节点安全性。 本发明包 括三部分： 一是把数据包抽检模型用于模拟网络 攻防； 二是根据网络拓扑计算网络节点重要度； 三是计算攻防双方收益。 本发明专利通过数据包 抽检模型来研究SDN网络节点防御攻击策略， 提 升网络的安全性能。 权利要求书2页 说明书3页 附图2页 CN 110784487 A 2020.02.11 CN 110784487 A 1.一种基于数据包抽检模型的SDN节点防御方法， 包括： 数据包抽检零和博弈模型， SDN 网络攻击损失计算方法， 节点重要度计算。

3、， 其特征是数据包抽检零和博弈模型： 攻击者的行为可以看作是从一台受控的网络设备控制多台网络设备向一台或者多台 网络设备发送恶意包； 防御者在数据包抽检时， 如果抽检到恶意数据包就会立即断开所有 网络连接， 则算攻击失败， 防御者得分为正， 否则则算攻击成功， 防御者得分为负； 攻击者每 次攻击发送一定数量数据包， 其中包含恶意数据包和非恶意数据包， 如果未被防御者抽中 拦截， 则是攻击成功， 得分为正， 否则就算攻击失败， 得分为负； 在攻防博弈过程中， 攻击者 和防御者都会以贪心策略来最大化自己的收益； 网络为了保证数据的正常快速传输， 不可能对所有传输数据包中的数据进行检测是否 含有恶意。

4、代码， 所以只能使用抽样检测的方法； 根据上述背景提出假设： 假设1在有限的防御资源约束下， 网络设备在防御时， 抽检数据包的概率与其重要度成 正比； 假设2攻击者总是追求收益最大化， 所以会优先攻击重要度高的网络设备； 对于攻击者而言， 其采取的攻击策略主要有两种： a.在未知防御者网络设备重要度的情况下， 对防御者网络设备进行均衡攻击； b.在已知防御者网络设备重要度的情况下， 重点攻击重要度高的网络设备； 假设攻击者使用攻击策略1时， 把恶意数据包平均分配给n个网络设备， 而这个n恰好等 于防御者网络设备数； 假设攻击者在使用攻击策略时， 可能随机分配给重要度高的防御者 网络设备， 也可。

5、能随机分配给重要度低的网络设备； 防御者在应对攻击者时， 采用防御策略主要是两种： a.网络设备获得同等的防御资源， 也就是抽包检测的概率是相等的； b.网络设备获得的防御资源与其重要度成正比， 也就是抽包检测的概率是与其重要度 成正比。 2.根据权利要求1所述的基于数据包抽检模型的SDN节点防御方法， 其特征是SDN网络 攻击损失计算方法： 把SDN网络构建成无向图， 设顶点的集合为V， 边集合为E的图记作G(V,E)， 另外， G (V,E)的顶点数和边数分别为|V|和|E|.连接两个顶点u,v的边记作e(u,v)； 攻击者在发动攻击时， 发送恶意数据包的概率与防御网络设备重要性成正比， 。

6、假设重 要度为x的网络设备每n个数据包中抽取k个， 这n个数据包中包括m个恶意数据包， 那么在n 个数据包中抽取k个不包含那m个恶意数据包的概率是那么这就是未检出恶意数据包的 概率； 对于攻击者来说， 其收益为： 对于防御者来说， 其收益为： 两者的收益和为0。 权利要求书 1/2 页 2 CN 110784487 A 2 3.根据权利要求1所述的基于数据包抽检模型的SDN节点防御方法， 其特征是节点重要 度计算： 当攻击者成功攻击网络节点vt时， 其可获得的收益即为节点vt所对应的重要度 而攻击者倾向于攻击网络中的重要度较高节点以对网络造成更大的攻击效果， 故 根据网络节点重要度量化分析网络。

7、节点收益值， 对较重要的网络节点赋予较高的收益值； 网络中的节点分为交换机节点SkS， S包含于N和主机节点HkH， H包含于N； 对于保证网络 正常工作来说， 交换机节点(交换设备)重要度等于连接它的所有主机节点(终端设备)重要 度之和， 网络中不同交换机的重要度可能不同， 如核心交换机比边缘交换机重要； 不同主机 也有区别， 比如核心服务器与普通主机； 综上所述， 提出原则1、 原则2和原则3； 原则1： 各网络节点重要度是其直接重要度和间接重要度的和； 原则2： 网络节点的直接重要度等于与其相连的低一级网络节点重要度之和， 间接重要 度是与其相连的同一级网络节点的直接重要度之和； 原则3。

8、： 最低级网络节点初始值可以不同； 根据原则1和原则2对网络节点进行重要度等级的划分， 交换机节点的重要度等级 SIValue往往高于主机节点的重要度等级HIValue； 可根据不同网络情景用具体数值来表示 不同网络节点的重要度等级， 如HIValue可取值为1， 取值时注意体现它们之间的大小关系， 即 根据原则3， 假设每台主机的重要度为1或2， 那么一台交换机的重要度等于与其连接的 所有主机重要度之和， 这是直接重要度， 加上与其相连的所有交换机的直接重要度。 4.根据权利要求1所述的基于数据包抽检模型的SDN节点防御方法， 其特征是： Step1： 搭建数据包抽检模型； Step2： 使。

9、用模型模拟网络攻防； Step3： 计算防守收益； 首先， 用数据包抽检模型模拟最常用的4种拓扑， 对4种拓扑在不同攻防策略下进行数 据包抽检实验， 对每组仿真实验重复进行10次， 再对每组仿真结果取平均值； 在不同的攻击 策略与拓扑的组合下， 对比基于零和博弈的SDN数据包与随机抽检策略。 权利要求书 2/2 页 3 CN 110784487 A 3 一种基于数据包抽检模型的SDN节点防御方法 技术领域 0001 本发明属于互联网技术领域。 背景技术 0002 SDN是一种新型网络架构， 是网络虚拟化的一种实现方式， 其核心技术是将网络设 备的控制面与数据面分离开来， 实现了网络流量的灵活控。

10、制， 赋予网络管道智能， 为核心网 络及应用的创新提供了良好的平台。 其特点是网络集中控制和可编程性， 提升网络的控制 能力和自动化管理。 0003 SDN基于流的控制粒度， 使得控制器其对数据流的内部信息并不了解， 这就导致了 SDN容易被特洛伊木马、 蠕虫、 垃圾信息、 DDos等攻击。 为了保证网络的安全性， 对数据包进 行检测就存在必要性。 但是， 由于网络性能有上限， 在高速传输的网络中对所有数据包进行 检测会产生较大延时， 会严重影响网络的带宽， 所以在有限的网络资源下对数据包进行随 机抽样， 会减少延时， 提高网络带宽， 同时又能一定程度上保证网络安全。 0004 零和博弈是博弈。

11、论的一个分支， 由于攻击与防御属于非合作行为， 在严格竞争下， 一方损失必然是另一方收益， 博弈各方的收益与损失和总和为零。 发明内容 0005 本发明的目的是利用数据包抽检模型模拟网络攻击， 利用SDN控制器在有限的防 御资源情况下， 依据节点重要度智能分配防御资源， 从而降低网络损失。 0006 本发明包括： 数据包抽检零和博弈模型， SDN网络攻击损失计算方法， 节点重要度 计算。 0007 1数据包抽检零和博弈模型 0008 攻击者的行为可以看作是从一台受控的网络设备控制多台网络设备向一台或者 多台网络设备发送恶意包； 防御者在数据包抽检时， 如果抽检到恶意数据包就会立即断开 所有网络。

12、连接， 则算攻击失败， 防御者得分为正， 否则则算攻击成功， 防御者得分为负。 攻击 者每次攻击发送一定数量数据包， 其中包含恶意数据包和非恶意数据包， 如果未被防御者 抽中拦截， 则是攻击成功， 得分为正， 否则就算攻击失败， 得分为负。 在攻防博弈过程中， 攻 击者和防御者都会以贪心策略来最大化自己的收益。 0009 网络为了保证数据的正常快速传输， 不可能对所有传输数据包中的数据进行检测 是否含有恶意代码， 所以只能使用抽样检测的方法。 0010 根据上述背景提出假设： 0011 假设1在有限的防御资源约束下， 网络设备在防御时， 抽检数据包的概率与其重要 度成正比。 0012 假设2攻。

13、击者总是追求收益最大化， 所以会优先攻击重要度高的网络设备。 0013 对于攻击者而言， 其采取的攻击策略主要有两种： 0014 a.在未知防御者网络设备重要度的情况下， 对防御者网络设备进行均衡攻击。 说明书 1/3 页 4 CN 110784487 A 4 0015 b.在已知防御者网络设备重要度的情况下， 重点攻击重要度高的网络设备。 0016 假设攻击者使用攻击策略1时， 把恶意数据包平均分配给n个网络设备， 而这个n恰 好等于防御者网络设备数。 假设攻击者在使用攻击策略时， 可能随机分配给重要度高的防 御者网络设备， 也可能随机分配给重要度低的网络设备。 0017 防御者在应对攻击者。

14、时， 采用防御策略主要是两种： 0018 a.网络设备获得同等的防御资源， 也就是抽包检测的概率是相等的。 0019 b.网络设备获得的防御资源与其重要度成正比， 也就是抽包检测的概率是与其重 要度成正比。 0020 2SDN网络攻击损失计算方法 0021 把SDN网络构建成无向图， 设顶点的集合为V， 边集合为E的图记作G(V,E)， 另外， G(V,E)的顶点数和边数分别为|V|和|E|.连接两个顶点u,v的边记作e(u,v)。 0022 攻击者在发动攻击时， 发送恶意数据包的概率与防御网络设备重要性成正比， 假 设重要度为x的网络设备每n个数据包中抽取k个， 这n个数据包中包括m个恶意数。

15、据包， 那么 在n个数据包中抽取k个不包含那m个恶意数据包的概率是那么这就是未检出恶意数据 包的概率。 0023 对于攻击者来说， 其收益为： 0024 0025 对于防御者来说， 其收益为： 0026 0027 两者的收益和为0。 0028 3节点重要度计算 0029 当攻击者成功攻击网络节点vt时， 其可获得的收益即为节点vt所对应的重要度 而攻击者倾向于攻击网络中的重要度较高节点以对网络造成更大的攻击效果， 故 根据网络节点重要度量化分析网络节点收益值， 对较重要的网络节点赋予较高的收益值。 网络中的节点分为交换机节点SkS， S包含于N和主机节点HkH， H包含于N。 对于保证网络 正。

16、常工作来说， 交换机节点(交换设备)重要度等于连接它的所有主机节点(终端设备)重要 度之和， 网络中不同交换机的重要度可能不同， 如核心交换机比边缘交换机重要； 不同主机 也有区别， 比如核心服务器与普通主机。 综上所述， 提出原则1、 原则2和原则3。 0030 原则1： 各网络节点重要度是其直接重要度和间接重要度的和。 0031 原则2： 网络节点的直接重要度等于与其相连的低一级网络节点重要度之和， 间接 重要度是与其相连的同一级网络节点的直接重要度之和。 0032 原则3： 最低级网络节点初始值可以不同。 0033 根据原则1和原则2对网络节点进行重要度等级的划分， 交换机节点的重要度等。

17、级 SIValue往往高于主机节点的重要度等级HIValue。 可根据不同网络情景用具体数值来表示 不同网络节点的重要度等级， 如HIValue可取值为1， 取值时注意体现它们之间的大小关系， 即 0034 根据原则3， 假设每台主机的重要度为1或2， 那么一台交换机的重要度等于与其连 说明书 2/3 页 5 CN 110784487 A 5 接的所有主机重要度之和， 这是直接重要度， 加上与其相连的所有交换机的直接重要度。 附图说明 0035 图1节点重要度计算模型图； 0036 图2SDN节点防御模型流程图。 0037 具体的实施方式 0038 本发明的实施模型流程示意图如图2所示。 00。

18、39 Step1： 搭建数据包抽检模型。 0040 Step2： 使用模型模拟网络攻防。 0041 Step3： 计算防守收益。 0042 首先， 用数据包抽检模型模拟最常用的4种拓扑， 对4种拓扑在不同攻防策略下进 行数据包抽检实验， 对每组仿真实验重复进行10次， 再对每组仿真结果取平均值。 在不同的 攻击策略与拓扑的组合下， 对比基于零和博弈的SDN数据包与随机抽检策略(如表1)。 0043 表1网络拓扑 0044 拓扑1拓扑2拓扑3拓扑4 交换机数3153 主机数4455 链路数7497 拓扑结构树型星型线型混合型 说明书 3/3 页 6 CN 110784487 A 6 图1 说明书附图 1/2 页 7 CN 110784487 A 7 图2 说明书附图 2/2 页 8 CN 110784487 A 8 。