[发明专利]基于流量权重控制的传感边缘云内部DDoS攻击主动防御方法

说明书

本发明公开了一种基于流量权重控制的传感边缘云内部DDoS攻击主动防御方法，包括以下步骤：(1)在防御周期内t，对于每一个待决策的协作防御边缘节点i、其他防御协作者集合{‑i}、采用动态随机博弈模型，获取纳什均衡状态下成本函数最小时的协作防御边缘节点的流量权重，并根据当前的协作防御边缘节点的流量权重，计算最优控制策略；所述成本函数考虑了边缘节点受内部DDoS攻击时，流量状态和任务卸载量阈值；(2)最优控制策略重新配置协作防御边缘节点端的流量权重实现纳什均衡状态。本发明考虑了由于内部DDoS攻击造成的计算任务高密度卸载连接中流量的不确定性和动态性，使用DSG来捕获内部DDoS攻击者和边缘节点交互过程。

技术领域

本发明属于传感云技术领域，更具体地，涉及一种基于流量权重控制 的传感边缘云内部DDoS攻击主动防御方法。

背景技术

传感边缘云网络中计算任务高密度卸载连接使得传感设备的计算任务 能高可靠、低时延地卸载到边缘节点，有效地提高了边缘网络的吞吐量和 分布式处理能力。然而，传感边缘云网络内部的恶意节点能利用交互频次 较强的高密度卸载连接发起DDoS攻击，使得传感设备计算任务卸载失败。

为了提供跨领域的服务，传感边缘云技术实现了多种传感设备的统一 连接。虽然传感边缘云的服务领域在不断增长，但是他所面临的安全问题 日益严峻。由于传感设备有限的计算能力，在传感设备上难以部署复杂的 保护机制，因此，传感边缘云网络一般采纳一些保护级别较低的轻量级安 全协议，这使得传感设备易受到攻击，他被恶意的攻击者控制后成为一个 内部DDoS攻击者，在没有任何征兆的情况下，在计算任务卸载到边缘节点过程中，内部DDoS攻击者通过高密度的任务卸载连接向边缘节点发起DDoS 攻击，阻碍合法的传感设备卸载计算任务到边缘节点。由于内部DDoS攻击 者是寄生于传感边缘云网络中的一个隐形攻击者，难以被入侵检测系统及 时发现。同时，内部DDoS攻击者同时通过多个连接向边缘节点发起流量攻 击，这使得在多个边缘节点上同时防御造成困难。在传统的网络环境下， 针对DDoS攻击防御的问题已有广泛的研究。然而，由于内部DDoS攻击流 量的不确定性和动态性使得这些方法不能直接应用于传感边缘云环境下传 感设备计算任务高密度卸载连接中内部DDoS攻击的主动防御。Y.Jia等提出 了以边缘为中心的DDoS攻击防御机制，该机制主要用于对DDoS攻击的检 测、识别和分类，并不是一个强有力的DDoS攻击缓解和抑制机制 (FlowGuard:An Intelligent Edge Defense Mechanism Against IoT DDoSAttacks,in IEEE Internet of Things Journal)。Z.Li等针对low-rateDDoS攻击， 提出动态容器数量调节技术并分配资源来最大化受DDoS攻击时云环境的 服务质量，未针对传感边缘云环境下计算任务高密度卸载连接中的DDoS攻 击开发相应的解决方案(ExploringNew Opportunities to Defeat Low-Rate DDoS Attack in Container-Based CloudEnvironment,in IEEE Transactions on Parallel and Distributed Systems,vol.31,no.3,pp.695-706,1 March 2020)。Y. Huang等针对复杂网络连接上病毒的传播问题，提出微分博弈模型来开发网 络连接权重自适应机制来抵抗病毒的传播，该机制的计算复杂性较高(A Differential Game Approach to Decentralized Virus-Resistant WeightAdaptation Policy Over Complex Networks,in IEEE Transactions on Control ofNetwork Systems,vol.7,no.2,pp.944-955,June2020)。K.A.Simpson通过直接控制主 机流量来缓解DDoS攻击，每个防御者在源到目标节点的路径上采用各自的 策略来减少负载流量，未考虑多个防御者协同控制策略(Per-Host DDoS Mitigation by Direct-ControlReinforcement Learning,in IEEE Transactions on Network and ServiceManagement,vol.17,no.1,pp.103-117,March2020)。 这些研究方案还存在如下不足：