本發明公開了一種基于負載均衡的內生安全交換機防御執行體構建方法，該方法針對網絡業務交互場景下的交換機和控制器節點進行監控，結合負載均衡思想和軟件定義網絡特性，構建兩種博弈模型，形成了一種內生安全交換機的防御方法。本發明擬對4種DDOS攻擊：流表過載攻擊、緩沖區飽和攻擊、控制器資源飽和攻擊和數據—控制平面信道帶寬耗盡攻擊進行防御。

技術領域

本發明屬于網絡攻防技術領域，尤其涉及一種基于負載均衡的內生安全交換機防御執行體構建方法。

背景技術

核心交換機在整個網絡中處于關鍵位置，如果核心交換機發生致命性的故障，將導致本地網絡的癱瘓，所造成的損失難以估計。在實際應用場景中，攻擊者為了能夠突破各類防御機制，對交換機進行復雜且高頻率的攻擊。由于方法和工具的普及性，服務失效攻擊(DoS攻擊)成為當前互聯網中常見的攻擊手段之一，攻擊者通過某種手段，有意地造成計算機或網絡不能正常提供服務或使得服務質量降低，雖不能竊取信息或運行惡意代碼，但對依賴向用戶提供服務的企業產生的傷害是巨大的。近幾年，隨著云計算和高性能網絡設備的應用，普通Dos攻擊要想對具有高性能設備的網絡產生影響需要較大的成本。因此，將多臺計算機聯合起來作為攻擊平臺，通過遠程連接，利用惡意程序，對同一目標進行攻擊的分布式服務失效攻擊(DDoS攻擊)，逐漸替代傳統DoS攻擊，成為威脅網絡空間安全的主流攻擊方式。

DDoS攻擊的目標一般包括應用服務程序、操作系統、網絡協議和網絡鏈路。對于網絡鏈路，其常常采取擁塞型攻擊，基本形式為報文泛洪，比如MAC表洪泛攻擊、UDP洪泛攻擊等，即攻擊者通過發送大量的報文使受攻擊鏈路和鏈路上重要網絡設備無法進行正常通信，導致大量丟包，甚至路由的轉變和丟失，使得正常通信報文無法通過，構成網絡傳輸服務的失效。

負載均衡主要是為了解決任務調度和資源分配的問題，其建立在現有網絡結構之上，它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。

發明內容

發明目的：針對以上問題，本發明提出了一種基于負載均衡的內生安全交換機防御執行體構建方法，基于對圖1所示的網絡業務交互的場景下的交換機和控制器節點進行監控，結合負載均衡技術手段和軟件定義網絡特性，通過在負載均衡策略中使用博弈模型，達到對DDoS攻擊的有效防御。

為實現本發明的目的，本發明所采用的技術方案是一種基于負載均衡的內生安全交換機防御執行體構建方法。

基于負載均衡的內生安全交換機防御執行體的系統結構圖。總體結構分為三個部分：交換機和控制器的監控機制、流調度策略和交換機遷移策略以及網絡設備節點。

交換機和控制器的監控機制利用Sflow協議通過輪詢算法發送Query請求，根據接收到的Reply消息對交換機和控制器進行監測，為流調度策略和交換機遷移策略提供數據支持。

流調度策略和交換機遷移策略是本方法的兩種防御策略。流調度策略為交換機之間的合作博弈策略，目的是通過對流的分配，使得交換機群處于負載均衡的狀態。交換機遷移策略為控制器之間的非合作博弈策略，目標交換機進行純策略博弈，通過對過載控制器子域中交換機的遷移，使得控制器處于負載均衡狀態。

流調度策略首先收集交換機的負載和資源信息，當控制器收到交換機發送的PacketIn消息后，對流量進行負載需求的分析，同時在下一跳交換機之間建立合作博弈域，計算各交換機節點的負載均衡度，并通過迭代獲取使得交換機群整體負載均衡度最大的轉發路徑，控制器下發流表，進行流轉發操作。

交換機遷移策略,首先遍歷控制器負載情況，從集群中提取出負載超過閾值的控制器為過載控制器，對過載控制器子域中的交換機進行遷移優先級的定級，建立遷移交換機的從控制器們之間的非合作博弈域，通過獲取有限次迭代過程中的最優遷入控制器，完成控制器角色轉換，再次判斷過載控制器的負載情況。