[发明专利]一种基于博弈奖惩机制的SDN网络抗DDos方法

说明书

一种基于博弈奖惩机制的SDN网络抗DDos方法，包括数据输入模块、SDN防护模块、数据查询模块、数据分类模块、访问请求模块和奖惩机制模块；数据输入模块与SDN防护模块通讯连接；SDN防护模块分别与数据分类模块、数据查询模块和奖惩机制模块通讯连接；数据分类模块和数据查询模块分别与访问请求模块通讯连接；访问请求模块与奖惩机制模块通讯连接。本发明对请求的数据进行防护筛选并发送，对数据的访问异常进行循环排序处理和引入奖惩机制，对实施DDoS流量的攻击者进行惩罚，并对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的，以减轻对SDN控制器的大规模流量攻击，并在不同的网络拓扑中进行应用，具有很好的可扩展性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于博弈奖惩机制的SDN网络抗DDos方法。

背景技术

分布式拒绝服务攻击(DDos)可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的；分布式拒绝服务攻击原理分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权。它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络.而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。针对愈演愈烈的DDoS攻击威胁，引入博弈论的奖惩机制，将DDoS攻击建模为攻击者和管理员之间的动态博弈，对实施DDoS流量的攻击者进行惩罚，同时对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于博弈奖惩机制的SDN网络抗DDos方法，通过SDN防护模块，对请求的数据进行防护筛选并将通过筛选的数据请求发送，并将检测请求数据类型并将不同类型的数据规划成不同类别进行分开储存，之后查询不同类型请求的网络地址和端口信息；最后通过对数据的访问异常进行循环排序处理以及引入博弈论的奖惩机制，对实施DDoS流量的攻击者进行惩罚，同时对合作的玩家进行奖励，从而有效地为网络管理员实施期望的结果，实现动态防御的目的，以减轻对SDN控制器的大规模流量攻击，并在不同的网络拓扑中进行应用，具有很好的可扩展性。

(二)技术方案

本发明提供了一种基于博弈奖惩机制的SDN网络抗DDos方法，包括数据输入模块、SDN防护模块、数据查询模块、数据分类模块、访问请求模块和奖惩机制模块；数据输入模块与SDN防护模块通讯连接；SDN防护模块分别与数据分类模块、数据查询模块和奖惩机制模块通讯连接；数据分类模块和数据查询模块分别与访问请求模块通讯连接；访问请求模块与奖惩机制模块通讯连接；

数据输入模块，用于引导数据进入网路服务器；

SDN防护模块，用于对请求的数据进行防护筛选并将通过筛选的数据请求发送；