一種基于數據包抽檢模型的SDN節點防御方法，屬于互聯網技術領域。本方法把數據包抽檢模型設計成攻防雙方都參與的零和博弈，根據博弈結果分析SDN網絡中的節點安全性。本發明包括三部分：一是把數據包抽檢模型用于模擬網絡攻防；二是根據網絡拓撲計算網絡節點重要度；三是計算攻防雙方收益。本發明專利通過數據包抽檢模型來研究SDN網絡節點防御攻擊策略，提升網絡的安全性能。

技術領域

本發明屬于互聯網技術領域。

背景技術

SDN是一種新型網絡架構，是網絡虛擬化的一種實現方式，其核心技術是將網絡設備的控制面與數據面分離開來，實現了網絡流量的靈活控制，賦予網絡管道智能，為核心網絡及應用的創新提供了良好的平臺。其特點是網絡集中控制和可編程性，提升網絡的控制能力和自動化管理。

SDN基于流的控制粒度，使得控制器其對數據流的內部信息并不了解，這就導致了SDN容易被特洛伊木馬、蠕蟲、垃圾信息、DDos等攻擊。為了保證網絡的安全性，對數據包進行檢測就存在必要性。但是，由于網絡性能有上限，在高速傳輸的網絡中對所有數據包進行檢測會產生較大延時，會嚴重影響網絡的帶寬，所以在有限的網絡資源下對數據包進行隨機抽樣，會減少延時，提高網絡帶寬，同時又能一定程度上保證網絡安全。

零和博弈是博弈論的一個分支，由于攻擊與防御屬于非合作行為，在嚴格競爭下，一方損失必然是另一方收益，博弈各方的收益與損失和總和為零。

發明內容

本發明的目的是利用數據包抽檢模型模擬網絡攻擊，利用SDN控制器在有限的防御資源情況下，依據節點重要度智能分配防御資源，從而降低網絡損失。

本發明包括：數據包抽檢零和博弈模型，SDN網絡攻擊損失計算方法，節點重要度計算。

1數據包抽檢零和博弈模型

攻擊者的行為可以看作是從一臺受控的網絡設備控制多臺網絡設備向一臺或者多臺網絡設備發送惡意包；防御者在數據包抽檢時，如果抽檢到惡意數據包就會立即斷開所有網絡連接，則算攻擊失敗，防御者得分為正，否則則算攻擊成功，防御者得分為負。攻擊者每次攻擊發送一定數量數據包，其中包含惡意數據包和非惡意數據包，如果未被防御者抽中攔截，則是攻擊成功，得分為正，否則就算攻擊失敗，得分為負。在攻防博弈過程中，攻擊者和防御者都會以貪心策略來最大化自己的收益。

網絡為了保證數據的正常快速傳輸，不可能對所有傳輸數據包中的數據進行檢測是否含有惡意代碼，所以只能使用抽樣檢測的方法。

根據上述背景提出假設：

假設1在有限的防御資源約束下，網絡設備在防御時，抽檢數據包的概率與其重要度成正比。

假設2攻擊者總是追求收益最大化，所以會優先攻擊重要度高的網絡設備。

對于攻擊者而言，其采取的攻擊策略主要有兩種：

a.在未知防御者網絡設備重要度的情況下，對防御者網絡設備進行均衡攻擊。

b.在已知防御者網絡設備重要度的情況下，重點攻擊重要度高的網絡設備。

假設攻擊者使用攻擊策略1時，把惡意數據包平均分配給n個網絡設備，而這個n恰好等于防御者網絡設備數。假設攻擊者在使用攻擊策略時，可能隨機分配給重要度高的防御者網絡設備，也可能隨機分配給重要度低的網絡設備。

防御者在應對攻擊者時，采用防御策略主要是兩種：

a.網絡設備獲得同等的防御資源，也就是抽包檢測的概率是相等的。

b.網絡設備獲得的防御資源與其重要度成正比，也就是抽包檢測的概率是與其重要度成正比。

2SDN網絡攻擊損失計算方法