CN115834459A - 一种链路泛洪攻击流量动态清洗***及方法 - Google Patents

Abstract

本发明提供一种链路泛洪攻击流量动态清洗***及方法，***包括控制平面和数据平面，所述控制平面和数据平面通过南向接口进行数据交互，所述南向接口包括p4runtime和VNF管理南向接口；所述控制平面包括SDN控制器；所述数据平面包括P4可编程交换机和流量清洗服务器；所述P4可编程交换机用于根据SDN控制器下发的防御策略和流清洗规则转发网络流量、检测和识别攻击流，并按照清洗规则清洗攻击流量；所述流量清洗服务器接收P4可编程交换机发送的无法采用“匹配‑动作”模式清洗的攻击流，并将攻击流发送给指定流量清洗VNF处理。本发明基于P4交换机和流量清洗VNF对LFA流量进行动态清洗。

Description

一种链路泛洪攻击流量动态清洗***及方法

技术领域

本发明涉及网络安全技术领域，具体而言，尤其涉及一种链路泛洪攻击 流量动态清洗***及方法。

背景技术

链路泛洪攻击(Link Flooding Attack，LFA)，如Coremelt和Crossfire，是 一类典型的网络攻击手段，其可通过泛洪关键的网络链路，切断目标网络与 互联网的连接，造成大面积网络瘫痪，对网络空间危害极其严重。2013年至 2022年间，互联网发生了多次大规模LFA，造成了大量互联网服务中断，损 失无法估量。

针对LFA，当前主要的防御方法主要包括攻击流量检测、重路由和流量 清洗三类，其中流量清洗在网络的边缘或内部直接丢弃攻击流量，可有效减 轻攻击流量对网络的影响。然而，传统流量清洗方法依赖攻击的先验知识， 具有严重的滞后性和静态性，容易被攻击者识别并绕过，难以有效应对有组 织高强度的动态LFA。

发明内容

本发明提供一种链路泛洪攻击流量动态清洗***及方法，主要将移动目 标防御(Moving Target Defense，MTD)思想引入流量清洗，通过周期性动态 部署清洗规则使得攻击者无法发起有效攻击，并利用博弈论分析了LFA攻防 博弈，从而得到最优防御策略，以较小引入开销对动态LFA进行有效抵抗。

本发明采用的技术手段如下：

本发明提供了一种链路泛洪攻击流量动态清洗***，包括控制平面和数 据平面，所述控制平面和数据平面通过南向接口进行数据交互，所述南向接 口包括p4runtime和虚拟化网络功能管理南向接口；

所述控制平面包括SDN控制器；

所述数据平面包括P4可编程交换机和流量清洗服务器，所述P4可编程 交换机通过p4runtime与SDN控制器进行数据交互，所述流量清洗服务器通 过VNF管理南向接口与SDN控制器进行数据交互；

所述P4可编程交换机用于根据SDN控制器下发的防御策略和流清洗规 则转发网络流量、检测和识别攻击流，并按照清洗规则清洗攻击流量；

所述流量清洗服务器接收P4可编程交换机发送的无法采用“匹配-动作” 模式清洗的攻击流，并将攻击流发送给指定流量清洗VNF处理。

进一步地，所述流量清洗服务器包括流量入口、流量出口、流量-VNF表 和多个流量清洗VNF；

所述流量入口用于接收由P4可编程交换机发送的待清洗流量；

所述流量-VNF表用于实现流量匹配和传递，通过查表将流量传递给特 定流量清洗VNF；

所述流量清洗VNF用于清洗特定类型的攻击流量；

所述流量出口用于将清洗后的流量回送给P4可编程交换机；

所述SDN控制器通过VNF管理南向接口管理流量-VNF表和流量清洗 VNF，并对所述流量清洗VNF进行动态增删。

进一步地，所述控制平面还包括：攻击感知模块、策略生成模块、交换 机管理模块、流表管理模块以及VNF管理模块；

所述攻击感知模块用于感知全网链路状态，发现被攻击的网络链路；

所述策略生成模块用于根据攻防状态构建状态基于博弈论分析LFA攻防 博弈，计算最优清洗策略；

所述交换机管理模块用于管理P4可编程交换机的包处理逻辑；

所述流表管理模块用于根据防御策略设置P4可编程交换机并对其安装 流清洗规则；

所述VNF管理模块用于根据攻击流量类型在数据平面安装/删除流量清 洗VNF。

进一步地，所述策略生成模块用于根据攻防状态基于博弈论分析LFA攻 防博弈，计算最优清洗策略，包括：

根据攻击感知模块获取的供给策略和防御策略构建流量清洗博弈 TSG，所述TSG是一个四元组，TSG＝{N,S,D,U}，其中

(5)N＝{A,D}是局中人空间，其中A为攻击者，D为防御者，

(6)

是攻击者策略空间，对s^a∈S^a，

且0≤s^a≤g， 表示攻击者选择的攻击流数量，

(7)

是防御者策略空间，对s^d∈S^d，

且0≤s^d≤g， 表示防御者可选择清洗的攻击流数目，

(8)U＝{U^a,U^d}是局中人的效用矩阵集合，U^a,U^d分别表示攻击者和防 御者的效用矩阵，可表示为

其中，

和

分别表示在攻击者选择策略

防御者选择策略

时攻防双方的效用；

构建攻击者效用函数为：

u^a(s^a,s^d)＝E^a(s^a,s^d)-AC(s^a)＝λ*s^a*(g-s^d)/g-αs^a

其中，E^a(s^a,s^d)为攻击收益，AC(s^a)为攻击成本，λ为未被清洗攻击流 给攻击者产生收益的权重，g为攻击流集合的大小，α为攻击流的成本权重；

构建防御者效用函数为：

u^d(s^a,s^d)＝E^d(s^a,s^d)-DC(s^d)＝μ*s^a*(s^d/g)-βs^d

其中，E^d(s^a,s^d)为防御收益，DC(s^d)为防御成本，μ为被清洗流的给防 御者产生收益的权重，β为清洗攻击流的成本权重；

根据攻击者效用矩阵和防御者效用矩阵，利用效用矩阵求解TSG的纯策 略纳什均衡和混合策略纳什均衡获取防御者最优清洗策略。

进一步地，任意所述P4可编程交换机作为网络节点连接独立的流量清洗 服务器。

本发明还提供了一种链路泛洪攻击流量动态清洗方法，基于上述链路泛 洪攻击流量动态清洗***实现，包括以下步骤：

防御者根据攻击流量类别配置可编程交换机；

防御者利用博弈均衡构建其最优清洗策略；

防御者对流量清洗服务器安装量清洗VNF，并在网络中动态部署流量清 洗规则，结合可编程交换机和VNF对攻击流量进行清洗。

进一步地，还包括以下步骤：

每隔一个固定周期，根据最优清洗策略在攻击流集合中随机选择一个子 集进行防御。

较现有技术相比，本发明具有以下优点：

本申请将MTD思想引入流量清洗，在数据平面可编程网络环境下动态 清洗攻击流量，使攻击者难以形成有效攻击。具体地：

首先构建了一种基于P4语言和虚拟化网络功能(Virtualized NetworkFunction，VNF)的LFA流量清洗架构，利用可编程数据平面在网络本地对 多种类型的LFA攻击流量进行清洗。

其次，提出了一种基于MTD的动态流量清洗(Dynamic Traffic Scrubbing， DTS)方法，每隔一个固定周期，根据防御策略在攻击流集合中随机选择一 个子集进行防御，实现流量部署清洗规则的动态选择，使得攻击者无法发起 有针对性的攻击。

最后，提出了LFA攻击流量动态清洗方法，通过在网络中动态部署流量 清洗规则，使得攻击者无法发起有效的FLA攻击。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图做以简单地介绍，显而易见地，下 面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在 不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中DTS框架。

图2为本发明实施例中DTS***架构。

图3为本发明实施例中流量清洗引擎架构。

图4为本发明实施例中流量清洗服务器架构。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实 施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然， 所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例，都应当属于本发明保护的范围。

防御高强度的LFA需要部署大量的清洗规则，然而受交换机流表空间限 制，防御者仅能针对部分攻击流量进行清洗。因此，攻击者可通过调整攻击 流量，避免被清洗，延长攻击持续时间。对此，若防御者不断随机变换清洗 的目标流量，则能在流表空间有限的情况下防止攻击者有针对性地调整攻击 流量，从而使攻击者无法达到攻击效果。

本申请提出的DTS框架如图1所示，其中网络的每个节点均为可编程交 换机，且连接独立的流量清洗服务器。攻击者利用其拥有的僵尸主机群向目 标链路发送大量攻击流量，拥塞目标链路。防御者根据攻击流量类别配置可 编程交换机，对流量清洗服务器安装量清洗VNF，并在网络中动态部署流量 清洗规则，结合可编程交换机和VNF对攻击流量进行清洗。攻击者周期性 调整攻击流量，避免攻击流量被清洗。在该过程中，假设攻防双方均了解对 方信息且攻防不分先后，则LFA和防御构成了完全信息静态博弈，防御者可 利用博弈均衡构建其最优清洗策略。

为了实现上述功能，本发明提供了一种链路泛洪攻击流量动态清洗***， 包括控制平面和数据平面，其中控制平面和数据平面通过南向接口进行数据 交互，南向接口包括p4runtime和VNF管理南向接口。

具体来说，本申请基于P4设计了LFA流量动态清洗***DTS，其架构 如图2所示。DTS架构主要分为控制平面、数据平面和南向接口，其中南向 接口采用p4runtime和VNF管理南向接口。控制平面由SDN控制器和五个核 心模块构成，其中攻击感知模块感知全网链路状态，发现被攻击的网络链路； 策略生成模块根据攻防状态基于博弈论分析LFA攻防博弈，计算最优清洗策 略；交换机管理模块管理P4交换机的包处理逻辑；流表管理模块根据防御 策略设置P4交换机并对其安装流清洗规则；VNF管理模块根据攻击流量类 型在数据平面安装/删除流量清洗VNF。

具体来说，在LFA攻防博弈中，攻击者发起并不断调整攻击流量形成攻 击，而防御者选择部分攻击流量进行清洗，使攻击者无法形成攻击效果，攻 防双方收益都会受到对方策略的影响，且均会采取有利于自己的行动，最大 化自身收益。假设攻防双方都了解对方的信息且采取行动不分先后顺序，则 该过程可建模为完全信息静态博弈，根据博弈论，纳什均衡是该博弈的均衡 解，攻防双方都不能从单独偏离均衡解中获得更高收益。因此，纳什均衡解 即为防御者的最优清洗策略。根据以上分析，可构建流量清洗博弈TSG (TrafficScrubbing Game)。具体地：

定义1.TSG是一个四元组，

其中

(1)N＝{A,D}是攻防博弈参与人空间，其中A为攻击者，D为防御者；

(2)

是攻击者策略空间，对s^a∈S^a，

且0≤s^a≤g， 表示攻击者选择的攻击流数量；

(3)

是防御者策略空间，对s^d∈S^d，

且0≤s^d≤g， 表示防御者可选择清洗的攻击流数量；

(4)U＝{U^a,U^d}是参与人的效用矩阵集合，攻击者和防御者的效用矩阵 U^a和U^d可分别表示为(2)式和(3)式。

其中

和

分别表示在攻击者选择 策略

防御者选择策略

时攻防双方的效用。

在TSG中，攻击效用＝攻击收益－攻击成本，防御效用＝防御收益－ 防御成本。为得到攻防效用矩阵，定义攻击收益、攻击成本、防御收益、 防御成本。

定义2.攻击收益E^a(s^a,s^d)为攻击者选择s^a个攻击流发起攻击，防御者 选择s^d个攻击流清洗时，未被防御者清洗的攻击流所产生的收益的期望。 设攻击收益与未被防御者清洗的攻击流成线性关系，未被防御成功的流的 数量的期望为h_k，则E^a(s^a,s^d)＝λh_k，0≤s^a≤g，0≤s^d≤g。

定义3.攻击成本AC(s^a)为攻击者选择s^a个攻击流发起攻击时所产生 的成本。设攻击成本与攻击者选择的攻击流数量成线性关系，则

AC(s^a)＝αs^a,0≤s^a≤g。

定义4.防御收益E^d(s^a,s^d)指攻击者选择s^a个攻击流发起攻击，防御 者选择s^d个攻击流清洗时，防御者成功清洗的攻击流所产生收益的期望。 设防御收益与被清洗流的数量的期望成线性关系，被清洗的流的数量为h_d， 则E^a(s^a,s^d)＝μh_d，0≤s^a≤g,0≤s^d≤g。

定义5.防御成本DC(s^d)为防御者选择s^d个攻击流进行清洗时所产生 的成本。设防御成本与防御者选择清洗攻击流的数量成线性关系，则 DC(s^d)＝βs^d,0≤s^d≤g。

根上述定义，可推得以下定理。

定理1.假设攻击者从g个攻击流中随机选择s^a个发起攻击，防御者随 机选择s^d个流进行清洗，则在所有攻防状态下，攻击者选择的流量数量和

定理2.假设攻击者从g个攻击流中随机选择s^a个发起攻击，防御者随机 选择s^d个流进行清洗，则在所有攻防状态下，防御者防御成功的攻击流总数

在TSG中，若攻击者随机选择s^a个攻击流发起攻击，则每个攻击状态的 概率

若防御者随机选择s^d个攻击流进行清洗，则每个防御状态的 概率

定理3.假设攻击者从g个攻击流中随机选择s^a个发起攻击，防御者随机 选择s^d个攻击流进行清洗，则攻击者期望收益E^a(s^a,s^d)＝λ*s^a*(g-s^d)/g。

定理4.假设攻击者从g个攻击流中随机选择s^a个发起攻击，防御者随机 选择s^d个攻击流进行清洗，防御者的期望收益E^d(s^a,s^d)＝μ*s^a*(s^d/g)。

综上可得，攻击者效用函数

u^a(s^a,s^d)＝E^a(s^a,s^d)-AC(s^a)＝λ*s^a*(g-s^d)/g-αs^a

防御者效用函数

u^d(s^a,s^d)＝E^d(s^a,s^d)-DC(s^d)＝μ*s^a*(s^d/g)-βs^d

根据u^a和u^d可得到攻防双方效用矩阵，利用效用矩阵求解TSG的纳什 均衡解。本发明分别设计算法psNE和msNE求解纯策略纳什均衡和混合 策略纳什均衡，如算法1和算法2所示。算法1首先初始化攻击策略集合 和防御策略集合(1～2)；然后根据博弈参数初始化攻防双方的效用函数 (3～4)，并利用效用函数生成攻防双方的效用矩阵；最后利用攻防双方 效用矩阵最大值求解纯策略纳什均衡解(5～8)，若存在则返回纳什均衡 解，若不存在则返回空(9～12)。算法2利用线性规划求解博弈的混合策 略。

tsgNE根据TSG博弈的纯策略纳什均衡和混合策略纳什均衡给出博弈 的纳什均衡解，如算法3所示。若存在纯策略纳什均衡解，则返回纯策略 纳什均衡解，若不存在则返回混合策略纳什均衡解。

算法1 TSG博弈的纯策略纳什均衡求解算法

算法2 TSG博弈的混合策略纳什均衡求解算法

算法3 TSG博弈的纳什均衡算法

进一步地，数据平面由P4交换机和流量清洗VNF组成。其中P4交换机 根据控制器配置的流处理逻辑转发网络流量、检测和识别攻击流，并按照清 洗规则清洗攻击流量。对无法采用“匹配-动作”模式清洗的攻击流，P4交换 机将其发送给流量清洗服务器处理。流量清洗服务器将流量发送给指定流量 清洗VNF处理，VNF采用DPDK实现，实现个性化的攻击流清洗任务。

P4交换机拥有很高的包处理速度和吞吐量，且可支持有状态的包处理， 能够在网络中进行高速流量清洗，但由于其可实现的包处理逻辑有限，仅能 以“匹配-动作”模式清洗部分类别的攻击流量，为此本申请结合P4交换机和 VNF构建流量清洗引擎，并在网络中分布式弹性部署。

如图3所示，在DTS中每个P4交换机均连接一个独立的流量清洗服务 器，流量清洗服务器可动态部署清洗服务器VNF，与P4交换机合作完成对 流量的清洗。二者均由SDN控制器集中管控，形成流量清洗引擎。SDN控 制器根据网络状态和防御策略配置流量清洗引擎，实现对攻击流量的清洗。

LFA流量清洗规则可根据是否能转化为“匹配-动作”模式分为两类。对 可转化为“匹配-动作”模式的清洗逻辑，基于P4数据平面编程语言将其等价 转化为交换机支持的报文处理逻辑，并在数据平面部署；对无法以“匹配-动 作”模式实现的清洗逻辑，采用软件形式实现，并通过VNF在网络中弹性部 署，与可编程交换机共同完成流量清洗。为降低交换机和流量清洗服务器负 载，SDN控制器根据攻击流量路径上交换机的流表空闲空间，在网络中多个 节点部署流量清洗规则和VNF，使得各交换机之间负载均衡。

进一步地，如图4所示，流量清洗服务器包括流量入口、流量出口、流 量-VNF表和多个流量清洗VNF。流量入口接收由P4可编程交换机发送的待 清洗流量。SDN控制器通过VNF管理南向接口管理流量-VNF表和流量清洗 VNF。流量-VNF表负责流量匹配和传递，其通过查表将流量传递给特定流 量清洗VNF；流量清洗VNF负责清洗特定类型的攻击流量，可由SDN控制 器动态增删。清洗后的流量经过流量出口回送给P4可编程交换机。

本发明还公开了一种链路泛洪攻击流量动态清洗方法，基于上述任意一 项链路泛洪攻击流量动态清洗***实现，包括以下步骤：

防御者根据攻击流量类别配置可编程交换机；

防御者利用博弈均衡构建其最优清洗策略；

防御者对流量清洗服务器安装量清洗VNF，并在网络中动态部署流量清 洗规则，结合可编程交换机和VNF对攻击流量进行清洗。

进一步地，还包括以下步骤：

每隔一个固定周期，根据最优清洗策略在攻击流集合中随机选择一个子 集进行防御。

对于本发明实施例的链路泛洪攻击流量动态清洗方法而言，由于其与上 面实施例中的链路泛洪攻击流量动态清洗装置相对应，所以描述的比较简单， 相关相似之处请参见上面实施例中链路泛洪攻击流量动态清洗装置部分的说 明即可，此处不再详述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对 其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (7)

1.一种链路泛洪攻击流量动态清洗***，其特征在于，包括控制平面和数据平面，所述控制平面和数据平面通过南向接口进行数据交互，所述南向接口包括p4runtime和虚拟化网络功能管理南向接口；

所述控制平面包括SDN控制器；

所述数据平面包括P4可编程交换机和流量清洗服务器，所述P4可编程交换机通过p4runtime与SDN控制器进行数据交互，所述流量清洗服务器通过VNF管理南向接口与SDN控制器进行数据交互；

所述P4可编程交换机用于根据SDN控制器下发的防御策略和流清洗规则转发网络流量、检测和识别攻击流，并按照清洗规则清洗攻击流量；

所述流量清洗服务器接收P4可编程交换机发送的无法采用“匹配-动作”模式清洗的攻击流，并将攻击流发送给指定流量清洗VNF处理。

2.根据权利要求1所述的一种链路泛洪攻击流量动态清洗***，其特征在于，所述流量清洗服务器包括流量入口、流量出口、流量-VNF表和多个流量清洗VNF；

所述流量入口用于接收由P4可编程交换机发送的待清洗流量；

所述流量-VNF表用于实现流量匹配和传递，通过查表将流量传递给特定流量清洗VNF；

所述流量清洗VNF用于清洗特定类型的攻击流量；

所述流量出口用于将清洗后的流量回送给P4可编程交换机；

所述SDN控制器通过VNF管理南向接口管理流量-VNF表和流量清洗VNF，并对所述流量清洗VNF进行动态增删。

3.根据权利要求1所述的一种链路泛洪攻击流量动态清洗***，其特征在于，所述控制平面还包括：攻击感知模块、策略生成模块、交换机管理模块、流表管理模块以及VNF管理模块；

所述攻击感知模块用于感知全网链路状态，发现被攻击的网络链路；

所述策略生成模块用于根据攻防状态构建状态基于博弈论分析LFA攻防博弈，计算最优清洗策略；

所述交换机管理模块用于管理P4可编程交换机的包处理逻辑；

所述流表管理模块用于根据防御策略设置P4可编程交换机并对其安装流清洗规则；

所述VNF管理模块用于根据攻击流量类型在数据平面安装/删除流量清洗VNF。

4.根据权利要求3所述的一种链路泛洪攻击流量动态清洗***，其特征在于，所述策略生成模块用于根据攻防状态基于博弈论分析LFA攻防博弈，计算最优清洗策略，包括：

根据攻击感知模块获取的供给策略和防御策略构建流量清洗博弈TSG，所述TSG是一个四元组，TSG＝{N，S，D，U}，其中

(1)N＝{A，D}是局中人空间，其中A为攻击者，D为防御者，

(2)

是攻击者策略空间，对s^a∈S^a，

且0≤s^a≤g，表示攻击者选择的攻击流数量，

(3)

是防御者策略空间，对s^d∈S^d，

且0≤s^d≤g，表示防御者可选择清洗的攻击流数目，

(4)U＝{U^a，U^d}是局中人的效用矩阵集合，U^a，U^d分别表示攻击者和防御者的效用矩阵，可表示为

其中，

和

分别表示在攻击者选择策略

防御者选择策略

时攻防双方的效用；

构建攻击者效用函数为：

u^a(s^a，s^d)＝E^a(s^a，s^d)-AC(s^a)＝λ*s^a*(g-s^d)/g-αs^a

其中，E^a(s^a,s^d)为攻击收益，AC(s^a)为攻击成本，λ为未被清洗攻击流给攻击者产生收益的权重，g为攻击流集合的大小，α为攻击流的成本权重；

构建防御者效用函数为：

u^d(s^a,s^d)＝E^d(s^a,s^d)-DC(s^d)＝μ*s^a*(s^d/g)-βs^d

其中，E^d(s^a,s^d)为防御收益，DC(s^d)为防御成本，μ为被清洗流的给防御者产生收益的权重，β为清洗攻击流的成本权重；

根据攻击者效用矩阵和防御者效用矩阵，利用效用矩阵求解TSG的纯策略纳什均衡和混合策略纳什均衡获取防御者最优清洗策略。

5.根据权利要求1所述的一种链路泛洪攻击流量动态清洗***，其特征在于，任意所述P4可编程交换机作为网络节点连接独立的流量清洗服务器。

6.一种链路泛洪攻击流量动态清洗方法，基于权利要求1-5中任意一项链路泛洪攻击流量动态清洗***实现，其特征在于，包括以下步骤：

防御者根据攻击流量类别配置可编程交换机；

防御者利用博弈均衡构建其最优清洗策略；

防御者对流量清洗服务器安装量清洗VNF，并在网络中动态部署流量清洗规则，结合可编程交换机和VNF对攻击流量进行清洗。

7.根据权利要求6所述的一种链路泛洪攻击流量动态清洗方法，其特征在于，还包括以下步骤：

每隔一个固定周期，根据最优清洗策略在攻击流集合中随机选择一个子集进行防御。

Images