[发明专利]链路洪泛攻击的防御方法及链路洪泛攻击模拟方法

说明书

本发明实施例提供一种链路洪泛攻击的防御方法及链路洪泛攻击模拟方法，链路洪泛攻击的防御方法包括：确定防守方采取各种防守策略时对应的防守方收益函数，防守方收益函数与攻击流量强度相关；基于观测到的链路入口总流量，推算攻击流量强度；基于防守方收益函数和攻击流量强度，确定防守策略；其中，防守策略包括不予防守、重路由和流量清洗。本发明实施例提供的链路洪泛攻击的防御方法中，防守方通过链路入口总流量推算攻击流量强度，并根据防守方收益函数和攻击流量强度确定防守策略，综合考虑进攻方攻击情况和防守方预期收益结构，避免了信息不完全带来的决策不确定性问题，保证了防守方收益最大化，提高了决策的科学性及防御方法鲁棒性。

技术领域

本发明涉及网络安全技术领域，更具体地，涉及一种链路洪泛攻击的防御方法及链路洪泛攻击模拟方法。

背景技术

随着移动互联网和物联网等新兴技术的快速发展，利用这些技术发动的网络进攻方式也随之出现，其中分布式拒绝服务(DDoS)攻击是对网络安全造成重大威胁的主要攻击形式。近年来，DDoS攻击无论从攻击数量还是强度上均呈现越演愈裂之势，互联网恶意流量占比持续攀升。在众多的DDOS进攻方式中，链路洪泛攻击(Link Flooding Attack，LFA)最为隐蔽且难以对抗。

当前，为了对抗链路洪泛攻击，仍然以流量工程(Traffic Engineering，TE)为主，通过对拥塞流量的疏导和清洗，实现对LFA攻击的缓解，其中流量疏导主要以重路由的形式实现，流量清洗则基于僵尸节点探测技术实现。在实际的LFA对抗中，以流量工程为主的LFA对抗策略往往难以获得较大的成本收益，并且在信息不完全条件下，难以保证LFA对抗策略的适用性及鲁棒性。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的链路洪泛攻击网络攻防方法。

第一方面，本发明实施例提供一种链路洪泛攻击的防御方法，包括：确定防守方采取各种防守策略时对应的防守方收益函数，所述防守方收益函数与攻击流量强度相关；基于观测到的链路入口总流量，推算所述攻击流量强度；基于所述防守方收益函数和所述攻击流量强度，确定防守策略；其中，所述防守策略包括不予防守、重路由和流量清洗。

在一些实施例中，所述确定防守方采取各种防守策略时所述防守方收益函数，包括：确定所述防守方采取不予防守时，所述防守方收益函数u₂(a_i，I)，a_i为所述攻击流量强度，I表示不予防守；确定所述防守方采取重路由时，所述防守方收益函数u₂(a_i，R)，R表示重路由；确定所述防守方采取流量清洗时，所述防守方收益函数u₂(a_i，S)，S表示流量清洗；所述基于所述防守方收益函数和所述攻击流量强度，确定防守策略，包括：基于所述攻击流量强度a_i，两两比较防守方收益函数u₂(a_i，I)、防守方收益函数u₂(a_i，R)和防守方收益函数u₂(a_i，S)，选取最大的防守方收益函数所对应的防守策略。