基于动态博弈的SDN主动防御方法研究

摘要

随着网络规模的不断扩大，当前运行好几十年的互联网体系架构难以支撑丰富网络业务类型带来的扩张。并且目前的互联网结构和功能日趋复杂，网络管控难度也在日渐增加，使得网络中新功能很难快速部署。如何应对动态变化的新型网络体系架构，成为未来网络体系结构发展的重要研究方向。
　　为了应对网络的发展，人们提出了软件定义网络(SoftwareDefined Networking，SDN)的体系架构。与传统网络架构不同，SDN实现了网络数据传输在控制平面和数据平面的分离，并支持用户级的可编程的网络管控。SDN的可编程能力使得SDN在应对网络安全问题时，能够支持用户自主设计动态的主动防御机制。通过流量分析与控制措施的结合，SDN比传统网络具备更便捷的攻击防御机制的设计和部署，尤其是针对具有显著流量变化特征的网络攻击类型。
　　当SDN网络应对攻击者的攻击行为时，会使SDN的防御者进行主动防御的措施，在主动防御动作产生的过程中，如何控制防御成本，对防御成本的优化是值得考虑的问题。这与传统只能通过购买昂贵设备来抵御攻击行为的网络设施相比，具有成本最优化的优点。随着SDN中动态部署和网络功能虚拟化(Network FunctionVirtualization，NFV)的出现，使SDN的防御成本优化有了更详细的手段和措施。
　　针对该问题，本文提出了基于博弈论思想的动态主动防御决策模型。设计了两类博弈模型，用于优化防御者的防御成本。
　　(1)单阶段博弈模型(Single Stage Dynamic Game)。在该模型中，攻击者定义为网络中的未知主机，防御者是边缘网络所有者。在SDN中，边缘网络所有者主要通过配置边缘路由器的SDN控制器来部署防御策略。攻击者的策略是攻击或合作，根据攻击策略来调整攻击的强度。防御者的策略是根据网络状态来部署不同级别的防御措施。根据攻击者和防御者的策略来定义收益矩阵。通过求解单阶段博弈的纳什均衡，得到了攻击者和防御者的最优行为策略和收益。
　　(2)多阶段动态博弈模型(Multi-stage Dynamic Game)，该模型与单阶段博弈模型不同的是，采用贝叶斯方法推断在每个阶段的攻击概率和防御概率。攻击者和防御者根据攻击概率和防御概率部署策略。通过求解多阶段博弈的贝叶斯均衡，得到攻防双方在多阶段的最优策略和收益。在此基础上，设计了一个基于多阶段动态博弈的SDN主动防御与成本优化算法，并在模拟的SDN控制器中实现了该算法。
　　最后，把我们设计的模型和算法在三个实验工具(MATLAB，Mini net，GAMBIT)上进行仿真，通过仿真实验表明，我们提出的动态最优成本防御机制能有效地主动防御那些具有显著流量变化的攻击。为以后SDN安全领域研究提供了一定的借鉴意义。

目录

摘要

第1章 绪论

1．1 研究背景

1．2 研究意义

1．3 研究现状

1．3．1 SDN中的拥塞机制的研究

1．3．2 SDN中分布式拒绝攻击的研究

1．3．3 网络攻防博弈的研究

1．4 本文的主要创新点

1．5 本文的组织结构

1．6 本章小结

第2章 理论基础

2．1 SDN定义与架构

2．1．1 数据控制分离

2．1．2 网络可编程

2．1．3 业务层

2．1．4 北向接口

2．1．5 控制层

2．1．6 南向接口

2．1．7 转发层

2．2 OpenFlow协议

2．2．1 OpenFlow协议的起源

2．2．2 OpenFlow协议原理

2．2．3 OpenFlow流表

2．2．4 OpenFlow协议消息

2．2．5 OpenFlow协议的演进

2．3 流表

2．3．1 组表

2．3．2 计量表

2．3．3 计量带

2．4 SDN中的组件

2．4．1 OVS交换机

2．4．2 POX控制器

2．4．3 Floodlight控制器

2．5 博弈论

2．5．1 起源

2．5．2 相关概念

2．5．3 博弈问题的分类

2．6 异常流量引起的主因

2．6．1 分布式拒绝服务攻击原理

2．7 本章小结

第3章 系统架构设计与博弈模型均衡

3．1 系统模型的建立和流表的匹配

3．2 SDN网络中单阶段攻防博弈模型

3．3 SDN中单阶段攻防博弈的均衡

3．3 SDN网络中多阶段动态攻防博弈

3．4 博弈的精炼贝叶斯纳什均衡

3．5 基于完美贝叶斯均衡的攻防机制的设计

3．6 本章小结

第4章 仿真模型的建立与分析

4．1 MATLAB R2015b的模拟实验

4．2 Mininet的SDN仿真实验

4．2．1 实验平台

4．2．2 实验一

4．2．3 实验二

4．3 GAMBIT的均衡验证实验

4．4 本章小结

5．1 研究结论

5．2 未来展望

参考文献

附录

致谢

声明