一种基于博弈奖惩机制的SDN网络抗DDos方法与流程

一种基于博弈奖惩机制的sdn网络抗ddos方法
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种基于博弈奖惩机制的sdn网络抗ddos方法。


背景技术：

2.分布式拒绝服务攻击(ddos)可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的；分布式拒绝服务攻击原理分布式拒绝服务攻击ddos是一种基于dos的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的dos攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与dos攻击由单台主机发起攻击相比较，分布式拒绝服务攻击ddos是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。一个完整的ddos攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出ddos的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权。它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络.而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。针对愈演愈烈的ddos攻击威胁，引入博弈论的奖惩机制，将ddos攻击建模为攻击者和管理员之间的动态博弈，对实施ddos流量的攻击者进行惩罚，同时对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的。


技术实现要素：

3.(一)发明目的
4.为解决背景技术中存在的技术问题，本发明提出一种基于博弈奖惩机制的sdn网络抗ddos方法，通过sdn防护模块，对请求的数据进行防护筛选并将通过筛选的数据请求发送，并将检测请求数据类型并将不同类型的数据规划成不同类别进行分开储存，之后查询不同类型请求的网络地址和端口信息；最后通过对数据的访问异常进行循环排序处理以及引入博弈论的奖惩机制，对实施ddos流量的攻击者进行惩罚，同时对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的，以减轻对sdn控制器的大规模流量攻击，并在不同的网络拓扑中进行应用，具有很好的可扩展性。
5.(二)技术方案
6.本发明提供了一种基于博弈奖惩机制的sdn网络抗ddos方法，包括数据输入模块、sdn防护模块、数据查询模块、数据分类模块、访问请求模块和奖惩机制模块；数据输入模块与sdn防护模块通讯连接；sdn防护模块分别与数据分类模块、数据查询模块和奖惩机制模块通讯连接；数据分类模块和数据查询模块分别与访问请求模块通讯连接；访问请求模块与奖惩机制模块通讯连接；
7.数据输入模块，用于引导数据进入网路服务器；
8.sdn防护模块，用于对请求的数据进行防护筛选并将通过筛选的数据请求发送；
9.数据分类模块，用于检测请求数据类型并将不同类型的数据规划成不同类别进行分开储存，之后依次申请；
10.数据查询模块，用于查询不同类型请求的网络地址和端口信息；
11.访问请求模块，用于将整理好的请求依次进行访问，并将访问结果反馈到来源端口；
12.奖惩机制模块，用于对不同信息进行分级并标记，且对信息通过预设制度进行奖励和惩罚。
13.优选的，sdn防护模块包括由openflow设备和openflow交换机通过将网络设备的控制面与数据面分离开来的sdn数据平面、由snort ids和拓扑管理器以及网络配合组合的sdn控制平面和由ddos防护、攻击图发生器以及攻击策略发生器组成的sdn应用平面。
14.优选的，数据查询模块在进行数据地址查询以及源头地址查询后，会将信息储存一段时间，待数据完成访问以及被禁止访问后，即删去储存数据。
15.优选的，访问请求模块中数据在进行请求时，可连续进行两次，防止因用户端网络不好而导致数据反馈不到位所产生的访问异常。
16.优选的，sdn控制平面中设有异常数据库，且异常数据库与snort ids通讯连接。
17.优选的，ddos防护模块中设有解决syn flood攻击、udp flood攻击以及icmp flood攻击的解决方案。
18.优选的，奖惩机制模块中的奖惩力度可通过控制系统进行更改。
19.优选的，奖惩机制模块中设有黑白名单机制。
20.优选的，一种基于博弈奖惩机制的sdn网络抗ddos方法，包括以下具体步骤；
21.s1,网路请求数据通过openflow设备和openflow交换机通过将网络数据输入到sdn数据平面内，然后sdn防护模块中的控制平面内的snort ids对数据进行检测，最后通过拓扑管理器将根据从snort ids收到的警报处理所有这些攻击；
22.s2，奖惩机制模块将有风险数据进行标记并禁止其访问，对正常数据进行分类并将不同类型的数据规划成不同类别进行分开储存，同时对不同类型的数据进行查询其网络地址和端口信息，之后依次申请；
23.s3，用于将整理好的请求依次进行访问，并将访问结果反馈到来源端口，并对根据奖惩机制模块进行标记，对于再次访问享有优先权；
24.s4，在s3中，当请求发生异常时，将其按照访问先后进行排序，然后再次进行访问，如果再次发生异常时，将发生请求异常的不同数据的网络发起地址和源头信息进行对比，之后则分为以下两种方法进行处理，一、如网络发起地址和源头信息一致，每次申请后，如出现异常情况，每次申请间隔时间延长一倍，三次后则禁止访问，保护网路，防止其资源占
用；二、如网络发起地址和源头信息不一致，每次申请后，如出现异常情况，每次申请间隔时间延长一倍，五次后暂时性禁止访问，一段时间后仍可继续重新访问。
25.与现有技术相比，本发明的上述技术方案具有如下有益的技术效果：通过sdn防护模块，对请求的数据进行防护筛选并将通过筛选的数据请求发送，并将检测请求数据类型并将不同类型的数据规划成不同类别进行分开储存，之后查询不同类型请求的网络地址和端口信息；最后通过对数据的访问异常进行循环排序处理以及引入博弈论的奖惩机制，对实施ddos流量的攻击者进行惩罚，同时对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的，以减轻对sdn控制器的大规模流量攻击，并在不同的网络拓扑中进行应用，具有很好的可扩展性。
附图说明
26.图1为本发明提出的一种基于博弈奖惩机制的sdn网络抗ddos方法的系统框图。
27.图2为本发明提出的一种基于博弈奖惩机制的sdn网络抗ddos方法中sdn防护模块的框图。
28.图3为本发明提出的一种基于博弈奖惩机制的sdn网络抗ddos方法执行框图。
具体实施方式
29.为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
30.如图1
‑
3所示，本发明提出的一种基于博弈奖惩机制的sdn网络抗ddos方法，包括数据输入模块、sdn防护模块、数据查询模块、数据分类模块、访问请求模块和奖惩机制模块；数据输入模块与sdn防护模块通讯连接；sdn防护模块分别与数据分类模块、数据查询模块和奖惩机制模块通讯连接；数据分类模块和数据查询模块分别与访问请求模块通讯连接；访问请求模块与奖惩机制模块通讯连接；
31.数据输入模块，用于引导数据进入网路服务器；
32.sdn防护模块，用于对请求的数据进行防护筛选并将通过筛选的数据请求发送；
33.数据分类模块，用于检测请求数据类型并将不同类型的数据规划成不同类别进行分开储存，之后依次申请；
34.数据查询模块，用于查询不同类型请求的网络地址和端口信息；
35.访问请求模块，用于将整理好的请求依次进行访问，并将访问结果反馈到来源端口；
36.奖惩机制模块，用于对不同信息进行分级并标记，且对信息通过预设制度进行奖励和惩罚。
37.在一个可选的实施例中，sdn防护模块包括由openflow设备和openflow交换机通过将网络设备的控制面与数据面分离开来的sdn数据平面、由snort ids和拓扑管理器以及网络配合组合的sdn控制平面和由ddos防护、攻击图发生器以及攻击策略发生器组成的sdn应用平面。
38.在一个可选的实施例中，数据查询模块在进行数据地址查询以及源头地址查询后，会将信息储存一段时间，待数据完成访问以及被禁止访问后，即删去储存数据，不需要在发生异常时再次查询，增加其查询速度。
39.在一个可选的实施例中，访问请求模块中数据在进行请求时，可连续进行两次，防止因用户端网络不好而导致数据反馈不到位所产生的访问异常，增加容错率。
40.在一个可选的实施例中，sdn控制平面中设有异常数据库，且异常数据库与snort ids通讯连接，方便在遇到相同入侵类型以及入侵方式时快速处理，提高效率。
41.在一个可选的实施例中，ddos防护模块中设有解决syn flood攻击、udp flood攻击以及icmp flood攻击的解决方案。
42.在一个可选的实施例中，奖惩机制模块中的奖惩力度可通过控制系统进行更改，方便。
43.在一个可选的实施例中，奖惩机制模块中设有黑白名单机制。
44.本发明还提出一种基于博弈奖惩机制的sdn网络抗ddos方法，包括以下具体步骤；
45.s1,网路请求数据通过openflow设备和openflow交换机通过将网络数据输入到sdn数据平面内，然后sdn防护模块中的控制平面内的snort ids对数据进行检测，最后通过拓扑管理器将根据从snort ids收到的警报处理所有这些攻击；
46.s2，奖惩机制模块将有风险数据进行标记并禁止其访问，对正常数据进行分类并将不同类型的数据规划成不同类别进行分开储存，同时对不同类型的数据进行查询其网络地址和端口信息，之后依次申请；
47.s3，用于将整理好的请求依次进行访问，并将访问结果反馈到来源端口，并对根据奖惩机制模块进行标记，对于再次访问享有优先权；
48.s4，在s3中，当请求发生异常时，将其按照访问先后进行排序，然后再次进行访问，如果再次发生异常时，将发生请求异常的不同数据的网络发起地址和源头信息进行对比，之后则分为以下两种方法进行处理，一、如网络发起地址和源头信息一致，每次申请后，如出现异常情况，每次申请间隔时间延长一倍，三次后则禁止访问，保护网路，防止其资源占用；二、如网络发起地址和源头信息不一致，每次申请后，如出现异常情况，每次申请间隔时间延长一倍，五次后暂时性禁止访问，一段时间后仍可继续重新访问。
49.应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。