一種基于博弈獎懲機制的SDN網絡抗DDos方法，包括數據輸入模塊、SDN防護模塊、數據查詢模塊、數據分類模塊、訪問請求模塊和獎懲機制模塊；數據輸入模塊與SDN防護模塊通訊連接；SDN防護模塊分別與數據分類模塊、數據查詢模塊和獎懲機制模塊通訊連接；數據分類模塊和數據查詢模塊分別與訪問請求模塊通訊連接；訪問請求模塊與獎懲機制模塊通訊連接。本發明對請求的數據進行防護篩選并發送，對數據的訪問異常進行循環排序處理和引入獎懲機制，對實施DDoS流量的攻擊者進行懲罰，并對合作的玩家進行獎勵，從而有效地為網絡管理員實施期望的結果，實現動態防御的目的，以減輕對SDN控制器的大規模流量攻擊，并在不同的網絡拓撲中進行應用，具有很好的可擴展性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于博弈獎懲機制的SDN網絡抗DDos方法。

背景技術

分布式拒絕服務攻擊(DDos)可以使很多的計算機在同一時間遭受到攻擊，使攻擊的目標無法正常使用，分布式拒絕服務攻擊已經出現了很多次，導致很多的大型網站都出現了無法進行操作的情況，這樣不僅僅會影響用戶的正常使用，同時造成的經濟損失也是非常巨大的；分布式拒絕服務攻擊原理分布式拒絕服務攻擊DDoS是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用于控制和實際發起攻擊，其中主控端只發布命令而不參與實際的攻擊，代理端發出DDoS的實際攻擊包。對于主控端和代理端的計算機，攻擊者有控制權或者部分控制權。它在攻擊過程中會利用各種手段隱藏自己不被別人發現。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關閉或離開網絡.而由主控端將命令發布到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目標主機發送大量的服務請求數據包，這些數據包經過偽裝，無法識別它的來源，而且這些數據包所請求的服務往往要消耗大量的系統資源，造成目標主機無法為用戶提供正常服務。甚至導致系統崩潰。針對愈演愈烈的DDoS攻擊威脅，引入博弈論的獎懲機制，將DDoS攻擊建模為攻擊者和管理員之間的動態博弈，對實施DDoS流量的攻擊者進行懲罰，同時對合作的玩家進行獎勵，從而有效地為網絡管理員實施期望的結果，實現動態防御的目的。

發明內容

(一)發明目的

為解決背景技術中存在的技術問題，本發明提出一種基于博弈獎懲機制的SDN網絡抗DDos方法，通過SDN防護模塊，對請求的數據進行防護篩選并將通過篩選的數據請求發送，并將檢測請求數據類型并將不同類型的數據規劃成不同類別進行分開儲存，之后查詢不同類型請求的網絡地址和端口信息；最后通過對數據的訪問異常進行循環排序處理以及引入博弈論的獎懲機制，對實施DDoS流量的攻擊者進行懲罰，同時對合作的玩家進行獎勵，從而有效地為網絡管理員實施期望的結果，實現動態防御的目的，以減輕對SDN控制器的大規模流量攻擊，并在不同的網絡拓撲中進行應用，具有很好的可擴展性。

(二)技術方案

本發明提供了一種基于博弈獎懲機制的SDN網絡抗DDos方法，包括數據輸入模塊、SDN防護模塊、數據查詢模塊、數據分類模塊、訪問請求模塊和獎懲機制模塊；數據輸入模塊與SDN防護模塊通訊連接；SDN防護模塊分別與數據分類模塊、數據查詢模塊和獎懲機制模塊通訊連接；數據分類模塊和數據查詢模塊分別與訪問請求模塊通訊連接；訪問請求模塊與獎懲機制模塊通訊連接；

數據輸入模塊，用于引導數據進入網路服務器；

SDN防護模塊，用于對請求的數據進行防護篩選并將通過篩選的數據請求發送；