基于NFV的新的協(xié)作式DDoS防御技術(shù)

許傳豐，林暉，郭烜成，汪曉丁

?

基于NFV的新的協(xié)作式DDoS防御技術(shù)

許傳豐1,2，林暉1,2，郭烜成1,2，汪曉丁1,2

（1. 福建師范大學(xué)數(shù)學(xué)與信息學(xué)院，福建 福州 350117； 2. 福建師范大學(xué)福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室，福建 福州 350117）

在采取網(wǎng)絡(luò)功能虛擬化技術(shù)構(gòu)建的協(xié)作式網(wǎng)絡(luò)抵御分布式拒絕服務(wù)攻擊的過程中，由于協(xié)作網(wǎng)絡(luò)中的資源有限，協(xié)作網(wǎng)絡(luò)中的參與者存在為了自身安全而采取自私行為的問題，進(jìn)而減弱協(xié)作網(wǎng)絡(luò)緩解DDoS攻擊能力。針對(duì)上述問題，提出了一種新的緩解DDoS攻擊策略。該策略在協(xié)作網(wǎng)絡(luò)中構(gòu)建重復(fù)囚徒困境博弈模型，引入獎(jiǎng)罰分明激勵(lì)機(jī)制加強(qiáng)協(xié)作網(wǎng)絡(luò)的合作性，并采取基于社會(huì)信譽(yù)值評(píng)估的動(dòng)態(tài)資源分配機(jī)制。仿真實(shí)驗(yàn)表明，新的協(xié)作式DDoS攻擊防御技術(shù)在分組丟失率、合作性和資源分配率方面優(yōu)于現(xiàn)有方案，提高了DDoS攻擊防御的有效性。

分布式拒絕服務(wù)攻擊；網(wǎng)絡(luò)功能虛擬化；協(xié)作網(wǎng)絡(luò)；自私行為；囚徒困境博弈

1 引言

由于分布式拒絕服務(wù)（DDoS）攻擊發(fā)起簡(jiǎn)單、破壞性大的特點(diǎn)，目前正被世界范圍內(nèi)的攻擊者廣泛使用[1]。隨著攻擊規(guī)模越來越大，盡量減輕攻擊者對(duì)受害主機(jī)的危害程度、盡快恢復(fù)正常服務(wù)能力是當(dāng)今DDoS攻擊防御研究的重點(diǎn)話題之一[2]。顯然，面對(duì)大量數(shù)據(jù)時(shí)，在不影響系統(tǒng)能力的前提下，有效過濾異常流量是DDoS攻擊防御的關(guān)鍵技術(shù)[3]。傳統(tǒng)用于緩解DDoS攻擊的設(shè)備（如IPS等），具有成本較高、計(jì)算能力有限的限制，而網(wǎng)絡(luò)功能虛擬化（NFV）作為一種新興技術(shù)，通過在商用服務(wù)器上運(yùn)行的虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)功能，可以代替?zhèn)鹘y(tǒng)設(shè)備靈活地緩解DDoS攻擊[4]?，F(xiàn)有的基于NFV的協(xié)作式防御網(wǎng)絡(luò)依靠網(wǎng)絡(luò)中的參與者通過資源共享增強(qiáng)對(duì)大規(guī)模DDoS攻擊的抵抗力[5]，如圖1所示。

協(xié)作式防御網(wǎng)絡(luò)能有效緩解DDoS攻擊主要依賴資源分配機(jī)制實(shí)現(xiàn)。即通過資源請(qǐng)求者和資源提供者構(gòu)建多領(lǐng)導(dǎo)多跟隨的Stackelberg博弈，通過研究所有參與者的最優(yōu)策略，推導(dǎo)出納什均衡使現(xiàn)有資源合理分配，并通過衡量歷史信譽(yù)值判定惡意參與者。但現(xiàn)有的解決方案基于這樣的假設(shè)，即協(xié)作網(wǎng)絡(luò)中的參與者是顧全大局的，忽略了協(xié)作網(wǎng)絡(luò)中參與者具有個(gè)體理性的特點(diǎn)，而由此引發(fā)的部分參與者采取自私行為謀取自身最大利益，造成協(xié)作網(wǎng)絡(luò)抵御DDoS攻擊的能力大幅下降[6]。參與者采取自私行為具體包括：①不合作行為，不合作行為包括丟棄流量和拒絕幫助，即參與者在協(xié)作網(wǎng)絡(luò)中無作為；②共謀行為，共謀行為包括個(gè)人自私和社交自私。即協(xié)作網(wǎng)絡(luò)在進(jìn)行資源分配時(shí)，參與者和其他參與者通過“勾結(jié)”行為得到更多資源。

基于上述分析，本文針對(duì)協(xié)作式防御網(wǎng)絡(luò)在緩解DDoS攻擊時(shí)存在的自私行為問題，提出了一種新的緩解DDoS攻擊技術(shù)。該技術(shù)提出了一種公平、激勵(lì)的資源分配方式，具體包括對(duì)協(xié)作式防御網(wǎng)絡(luò)構(gòu)建重復(fù)囚徒困境博弈（PD, prisoner's dilemma）模型，通過引入獎(jiǎng)罰分明激勵(lì)機(jī)制引導(dǎo)博弈中的參與者采取合作策略，且在資源分配方式中添加社會(huì)信譽(yù)值評(píng)估方法，遏制共謀行為，提高防御DDoS攻擊的有效性。這項(xiàng)工作主要貢獻(xiàn)如下。

1) 針對(duì)協(xié)作網(wǎng)絡(luò)中存在不合作行為問題，構(gòu)建重復(fù)囚徒困境博弈模型，并引入獎(jiǎng)罰分明策略，激勵(lì)博弈過程中參與者采取合作策略為最優(yōu)策略。

2) 針對(duì)協(xié)作網(wǎng)絡(luò)中資源分配機(jī)制存在共謀行為問題，在資源分配機(jī)制中添加社會(huì)信譽(yù)值評(píng)估。

3) 仿真實(shí)驗(yàn)引入新的協(xié)作式防御策略，實(shí)驗(yàn)結(jié)果表明分組丟失率和資源分配率優(yōu)于現(xiàn)有的基于NFV的協(xié)作式DDoS防御策略。

2 相關(guān)工作

目前，NFV技術(shù)開始用于實(shí)現(xiàn)DDoS攻擊防御，已經(jīng)出現(xiàn)了一些相關(guān)的研究成果。

Fayaz等[7]提出了一種基于SDN和NFV的DDoS防御解決方案——Bohatei方案。Bohatei的DDoS緩解系統(tǒng)依賴于供應(yīng)商提供的針對(duì)不同攻擊類型的有向無環(huán)圖。系統(tǒng)對(duì)攻擊流過濾采取將攻擊類型與防御策略相匹配的方法，采取合適的防御策略對(duì)攻擊流過濾。但此方案成本高，并容易引起隱私問題。

Guenane等[8]使用NFV技術(shù)和其他網(wǎng)絡(luò)虛擬化功能設(shè)計(jì)了基于云的防火墻服務(wù)架構(gòu)來防御DDoS攻擊。該系統(tǒng)通過NFV作為動(dòng)態(tài)實(shí)例化中間盒的手段，將屬于合法連接的流量和潛在的攻擊流量分開，來抵御DDoS攻擊。

Rashidi等[9]提出一系列基于NFV技術(shù)解決DDoS攻擊策略——VGuard、CoFence[5]和基于桶轉(zhuǎn)發(fā)機(jī)制的靈活DDoS緩解系統(tǒng)[10]。VGuard是一種使用NFV技術(shù)實(shí)現(xiàn)基于優(yōu)先級(jí)劃分的動(dòng)態(tài)流量工程。將外部區(qū)域的流量按優(yōu)先級(jí)指向不同的隧道，通過靜態(tài)和動(dòng)態(tài)兩種方法為DDoS攻擊下的可信流量提供滿意的服務(wù)。但這種方法不適用于所有DDoS攻擊；基于桶轉(zhuǎn)發(fā)機(jī)制的靈活DDoS緩解系統(tǒng)是通過批處理轉(zhuǎn)發(fā)提高調(diào)度程序的可伸縮性，使合法流量引入最小性能降級(jí)實(shí)現(xiàn)緩解SYN洪泛攻擊；CoFence是一種使用NFV的“域幫助域”協(xié)作域網(wǎng)絡(luò)，其特點(diǎn)為通過資源共享緩解過量流量，但緩解流量過程中，內(nèi)部存在著惡意行為問題，影響緩解DDoS攻擊能力。

Jakaria等[11]提出的VFence是一種使用NFV技術(shù)區(qū)分攻擊數(shù)據(jù)分組和合法數(shù)據(jù)的DDoS防御機(jī)制。系統(tǒng)使用網(wǎng)絡(luò)代理在系統(tǒng)可能受到攻擊時(shí)攔截?cái)?shù)據(jù)分組，驗(yàn)證其真實(shí)性，并丟棄非法數(shù)據(jù)分組保護(hù)服務(wù)器安全。

綜上所述，通過NFV技術(shù)實(shí)現(xiàn)DDoS攻擊防御中，現(xiàn)有方案和成果雖然可以解決一些問題，但未考慮在防御過程中節(jié)點(diǎn)出現(xiàn)自私行為的問題。自私行為的出現(xiàn)，破壞了協(xié)作網(wǎng)絡(luò)過濾DDoS攻擊的能力。針對(duì)上述不足，本文構(gòu)建獎(jiǎng)罰分明的重復(fù)囚徒困境博弈模型，并引入基于社會(huì)信譽(yù)值的動(dòng)態(tài)資源分配機(jī)制，有效遏制自私行為的產(chǎn)生，更好地抵御DDoS攻擊。

3 預(yù)備知識(shí)

3.1 重復(fù)囚徒困境博弈模型

囚徒困境博弈是博弈論的非零和博弈中最具代表性的例子，它反映了個(gè)人的最佳選擇并非整體的最佳選擇[12]。

在原始的囚徒困境博弈中，每個(gè)人都有兩種選擇合作（C）與背叛（D）[13]。如果雙方合作或背叛，玩家將獲得獎(jiǎng)勵(lì)或懲罰，如果一方合作另一方背叛時(shí)，合作方獲得收益而背叛方獲得收益，其收益矩陣為[14]

式(1)中最左側(cè)一列代表自己的決策；最上面一行代表鄰域的決策；收益滿足排名>>>。對(duì)于每個(gè)節(jié)點(diǎn)來說，最優(yōu)的策略是不合作策略，但若博弈雙方均不合作，則雙方的總收益2小于雙方采取合作的總收益2，這是囚徒困境博弈的困境所在。為了促進(jìn)協(xié)作網(wǎng)絡(luò)中參與者相互合作，本文工作選擇重復(fù)的PD博弈，即重復(fù)囚徒困境（IPD，iterated prisoner’s dilemma）博弈問題。

3.2 網(wǎng)絡(luò)功能虛擬化

網(wǎng)絡(luò)功能虛擬化是指使用軟硬件解耦以及功能抽象代替專用的設(shè)備，使網(wǎng)絡(luò)管理者可以在網(wǎng)絡(luò)功能虛擬化設(shè)備上配置網(wǎng)絡(luò)功能及網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)了資源充分靈活使用[16]。

通過網(wǎng)絡(luò)功能虛擬化技術(shù)，使加入?yún)f(xié)作網(wǎng)絡(luò)的節(jié)點(diǎn)共享虛擬IPS。共享同一個(gè)虛擬IPS的所有節(jié)點(diǎn)統(tǒng)稱為域。虛擬IPS的目的是檢測(cè)和過濾DDoS攻擊。因?yàn)镹FV的靈活性，可以在需要時(shí)創(chuàng)建虛擬IPS，并可動(dòng)態(tài)配置其容量。為了方便研究，本文闡述了基于NFV的協(xié)作式DDoS防御系統(tǒng)拓?fù)?，如圖2所示。

圖2 協(xié)作網(wǎng)絡(luò)拓?fù)?/p>

4 新的協(xié)作式DDoS防御策略

為了協(xié)作網(wǎng)絡(luò)能有效避免自私行為對(duì)緩解DDoS攻擊能力的影響，本文針對(duì)自私行為中的不合作行為和共謀行為進(jìn)行改進(jìn)。首先，在IPD博弈模型中添加獎(jiǎng)罰分明策略，通過獎(jiǎng)勵(lì)手段和懲罰手段，IPD博弈參與者選擇合作策略作為最佳策略，博弈的結(jié)果也間接影響了社會(huì)信譽(yù)值；其次，提出了由所有鄰居參與者參與評(píng)估的社會(huì)信譽(yù)值評(píng)估方式，避免了協(xié)作網(wǎng)絡(luò)進(jìn)行資源分配過程中存在勾結(jié)行為，并由此提出基于社會(huì)信譽(yù)值的資源分配方式；最后，描述了能有效遏制自私行為，促進(jìn)協(xié)作網(wǎng)絡(luò)緩解DDoS攻擊能力的協(xié)作式防御策略具體方案。

4.1 獎(jiǎng)罰分明的IPD博弈模型

為了激勵(lì)博弈參與者選擇合作策略作為自己的最佳策略，本文工作在博弈中添加獎(jiǎng)罰分明策略。獎(jiǎng)罰分明策略具體描述為：博弈過程中若一方犯錯(cuò)，則此次博弈兩方同時(shí)受到懲罰，收益減少；若一方連續(xù)輪博弈中都沒有犯錯(cuò)，則在第+1次博弈獲得收益獎(jiǎng)勵(lì)。

獎(jiǎng)罰分明的IPD博弈模型的詳細(xì)描述如下。

1) 初始化協(xié)作網(wǎng)絡(luò)，其度分布服從泊松分布。

2) 初始化每個(gè)域的策略，即為每個(gè)參與者隨機(jī)設(shè)定一個(gè)初始策略。

5) 記錄域采取合作策略的次數(shù)。

①若連續(xù)次博弈都采取合作策略，則第+1次的獎(jiǎng)勵(lì)系數(shù)為

6) 重復(fù)步驟4)和步驟5)，直至所有域與鄰域博弈結(jié)束。

7) 獎(jiǎng)罰分明策略流程如圖3所示。

該模型充分考慮了博弈的演化過程中個(gè)體的自主性，在重復(fù)博弈過程中通過獎(jiǎng)罰分明，激勵(lì)博弈參與者選擇合作策略作為自己最佳策略。

定理1 添加獎(jiǎng)罰分明策略后，IPD博弈模型中的參與者為了獲得更高收益而選擇采取合作作為最佳策略。

由式(4)知

4.2 基于社會(huì)信譽(yù)值的資源分配方式

協(xié)作網(wǎng)絡(luò)有效緩解DDoS攻擊主要通過動(dòng)態(tài)資源分配機(jī)制實(shí)現(xiàn)[14]?，F(xiàn)有的方案通過在協(xié)作網(wǎng)絡(luò)中構(gòu)建多領(lǐng)導(dǎo)多跟隨的Stackelberg博弈并基于歷史信譽(yù)值進(jìn)行資源分配，但這種機(jī)制無法解決共謀行為，即域和鄰域存在“勾結(jié)”行為，兩個(gè)采取自私行為的域通過相互抬高對(duì)方信譽(yù)來欺騙其他域。

本文提出了一種新的通過社會(huì)信譽(yù)值決定資源分配的策略，通過所有鄰域?qū)υ撚蚓C合評(píng)估確定該域的社會(huì)信譽(yù)值可以有效遏制共謀行為。協(xié)作網(wǎng)絡(luò)參與者分配給所有鄰居參與者資源量的多少，按鄰居參與者社會(huì)信譽(yù)值決定，且一旦社會(huì)信譽(yù)值低于閾值，協(xié)作網(wǎng)絡(luò)將此參與者判定具有自私行為，從協(xié)作網(wǎng)絡(luò)中移除。

本文的社會(huì)信譽(yù)值由直接信譽(yù)值和間接信譽(yù)值構(gòu)成。下面介紹資源分配方式中社會(huì)信譽(yù)值的相關(guān)定義。

間接信譽(yù)值：域不僅考慮本處對(duì)域的直接信譽(yù)值，域還將其他鄰域處對(duì)域的信譽(yù)值與域在博弈過程中采取的行為作為參考。即間接信譽(yù)值為

社會(huì)信譽(yù)值由所有鄰居參與者的間接信譽(yù)值加和平均與該參與者的直接信譽(yù)值構(gòu)成。

由于社會(huì)信譽(yù)值評(píng)估方法是通過所有鄰居參與者的綜合評(píng)估，所以參與者之間采取勾結(jié)行為，也無法迅速地獲得更多的收益。

定理2 協(xié)作網(wǎng)絡(luò)中的參與者幫助具有更高社會(huì)信譽(yù)值的參與者，所得到的回報(bào)更多。

證明 假設(shè)域與域互相幫助分擔(dān)流量，域在域處的社會(huì)信譽(yù)值為

域在與一個(gè)域合作后，其綜合信譽(yù)值為

化簡(jiǎn)為

基于社會(huì)信譽(yù)值的動(dòng)態(tài)資源分配算法如下。

算法 協(xié)作網(wǎng)絡(luò)中的域資源分配算法

輸入鄰域數(shù)量；社會(huì)信譽(yù)值；鄰域需要緩解自身安全的資源；協(xié)作網(wǎng)絡(luò)用于資源分配的總資源

過程

1) 收集所有鄰域最新的社會(huì)信譽(yù)值；

2) 循環(huán)（對(duì)域與其每個(gè)鄰居域）

3) 如果存在初始域，即剛加入?yún)f(xié)作網(wǎng)絡(luò)的域

5) 否則按社會(huì)信譽(yù)值分配資源量

6) 判斷終止條件，結(jié)束循環(huán)

輸出域分配到的資源量集合；社會(huì)信譽(yù)值集合

4.3 新的協(xié)作式DDoS攻擊防御策略

本文在基于NFV的協(xié)作式防御架構(gòu)的基礎(chǔ)上，構(gòu)建具有激勵(lì)機(jī)制的IPD博弈模型，并引入基于社會(huì)信譽(yù)值得資源分配方式，本文提出新的協(xié)作式DDoS攻擊防御策略具體步驟（如圖4所示）如下。

1) 節(jié)點(diǎn)發(fā)現(xiàn)自身流量過多，超過自身存儲(chǔ)能力。

2) 加入?yún)f(xié)作網(wǎng)絡(luò)，并分配自己能負(fù)擔(dān)的最大資源。

3) 加入?yún)f(xié)作網(wǎng)絡(luò)的域進(jìn)行信譽(yù)值更新。

①獲得初始信譽(yù)值，并進(jìn)行重復(fù)囚徒困境博弈。

圖4 新的防御DDoS攻擊流程

②判斷域和鄰域博弈時(shí)，是否采取合作行為。

a. 如果是，則域信譽(yù)值增加，效用增多，更新信譽(yù)值并進(jìn)行下一步。

b. 如果不是，則信譽(yù)值降低，效用減小，更新信譽(yù)值并進(jìn)行下一步。

4) 判斷域的信譽(yù)值低于系統(tǒng)設(shè)置的閾值。

①如果是，則判定域?yàn)樽运接?，從協(xié)作網(wǎng)絡(luò)中刪除。

②如果不是，域可與鄰域進(jìn)行資源分配，使系統(tǒng)正常工作。

5) 直到協(xié)作網(wǎng)絡(luò)內(nèi)所有域完成博弈，并將過量流量過濾完畢，結(jié)束。

5 仿真結(jié)果和分析

本文通過搭建Rashidi等的CoFence協(xié)作網(wǎng)絡(luò)中的仿真案例并與其進(jìn)行對(duì)比，通過對(duì)比采取新的協(xié)作式DDoS攻擊防御策略前后的運(yùn)行結(jié)果，驗(yàn)證新的策略在分組丟失率、合作性和資源分配量上是否有更好效果，驗(yàn)證是否有效遏制自私行為，并提高協(xié)作式網(wǎng)絡(luò)緩解DDoS攻擊有效性。

5.1 仿真模型

本文模擬原協(xié)作網(wǎng)絡(luò)CoFence[5]中的域共享其虛擬IPS來實(shí)現(xiàn)DDoS數(shù)據(jù)過濾功能。網(wǎng)絡(luò)中定義兩種不同類別的流量：合法流量和攻擊流量。合法流量為域在正常情況下接收到的流量，攻擊流量為域在受到攻擊時(shí)接收到的流量。合法流量的速率為1 000分組/秒，攻擊流量的速率為6 000分組/秒，每個(gè)虛擬IPS的最大分組處理速率為2 000分組/秒。本文模擬10~20 s時(shí)間段為DDoS攻擊時(shí)間。

如圖5所示，域內(nèi)的流量為合法流量，域在10~20 s之間存在攻擊流量。在域內(nèi)存在大量攻擊流量時(shí)，需要采取緩解措施并加入?yún)f(xié)作式網(wǎng)絡(luò)。

域加入?yún)f(xié)作式網(wǎng)絡(luò)的分組到達(dá)速率如圖6所示。當(dāng)加入?yún)f(xié)作式網(wǎng)絡(luò)后，域的分組到達(dá)速率下降為5 000分組/秒左右。這是由于域幫助域分擔(dān)過量流量。

圖5 域的原始速率

圖6 加入?yún)f(xié)同網(wǎng)絡(luò)后域的速率

通過圖5與圖6對(duì)比可知，加入?yún)f(xié)作式網(wǎng)絡(luò)的域可以有效緩解大量攻擊流量的威脅。

5.2 分組丟失率

分組丟失率是指在一定時(shí)間內(nèi)節(jié)點(diǎn)丟棄流量占總傳輸流量的比例。分組丟失率是判斷緩解DDoS攻擊能力的主要指標(biāo)。

如圖7所示，相對(duì)于經(jīng)典的緩解DDoS攻擊策略，新的協(xié)作防御策略的域具有較低的分組丟失率。而與采取原有策略時(shí)相比分組丟失率沒有明顯降低，新的協(xié)作防御策略在性能上沒有明顯提升，但該策略構(gòu)成的協(xié)作式網(wǎng)絡(luò)具有更好的安全性。

5.3 信譽(yù)值

信譽(yù)值是本文提出的策略能有效解決協(xié)作式防御網(wǎng)絡(luò)中自私行為的重要指標(biāo)。

如圖8所示，采取自私行為的域在經(jīng)過一段次數(shù)的博弈后，域的信譽(yù)值低于系統(tǒng)設(shè)定的閾值，使采取自私行為的域剔除協(xié)作網(wǎng)絡(luò)；而一直采取合作行為的域，在經(jīng)過不斷博弈中，獲得越來越高的信譽(yù)值，即證明在新的策略中采取合作行為可以獲得更好的效益，提高了協(xié)作式網(wǎng)絡(luò)的合作性。

圖7 新的協(xié)作防御策略與經(jīng)典防御策略和原有協(xié)作防御策略的分組丟失率的對(duì)比

圖8 信譽(yù)值對(duì)比

5.4 資源分配量

在協(xié)作式網(wǎng)絡(luò)中，域能公平、激勵(lì)相容地得到應(yīng)有資源量幫助恢復(fù)自身穩(wěn)定，很大程度上影響著協(xié)作式網(wǎng)絡(luò)緩解DDoS攻擊的效果。所以，每個(gè)域的資源分配量也是判定協(xié)作式網(wǎng)絡(luò)能有效緩解DDoS攻擊的重要指標(biāo)。

如圖9所示，當(dāng)鄰域數(shù)量較少時(shí)，采用新的防御策略的域獲得的幫助低于原有策略和經(jīng)典策略的域，這是由于采取獎(jiǎng)罰分明策略使域與鄰域間較容易受到懲罰。但隨著鄰域的增多，由于這種激勵(lì)機(jī)制的存在，協(xié)作式網(wǎng)絡(luò)間合作性大大增強(qiáng)，系統(tǒng)中的域樂意互相幫助來得到更多的收益，促進(jìn)緩解DDoS能力增強(qiáng)。所以，該實(shí)驗(yàn)表明在鄰域數(shù)量相對(duì)較多時(shí)，采取新的防御策略有助于域獲得更多幫助。

圖9 新的協(xié)作防御策略與經(jīng)典防御策略和原有協(xié)作防御策略的資源分配率對(duì)比

5.5 傳輸延遲

如圖10所示，采取新的防御策略的域相對(duì)以往的DDoS防御技術(shù)多0.3 ms左右的延遲。這種延遲是新的防御策略使域間資源分配時(shí)，額外增加囚徒困境博弈過程，但這種延遲不影響DDoS防御功能。

圖10 傳輸延遲對(duì)比

6 結(jié)束語(yǔ)

本文針對(duì)DDoS防御系統(tǒng)中出現(xiàn)自私行為的問題，提出了新的協(xié)作式DDoS防御技術(shù)。通過使用NFV技術(shù)構(gòu)建協(xié)作網(wǎng)絡(luò)，在協(xié)作網(wǎng)絡(luò)中構(gòu)建重復(fù)囚徒困境博弈模型，采取獎(jiǎng)罰分明策略激勵(lì)合作并達(dá)到納什均衡，并添加基于社會(huì)信譽(yù)值的資源分配方式，有效遏制了協(xié)作式網(wǎng)絡(luò)中自私行為的產(chǎn)生。實(shí)驗(yàn)證明，與之前的協(xié)作式網(wǎng)絡(luò)進(jìn)行比較，該技術(shù)使協(xié)作式網(wǎng)絡(luò)具有更好的合作性，且分組丟失率、資源分配量都有相較提升，使協(xié)作式網(wǎng)絡(luò)更加高效地緩解DDoS攻擊。在未來工作中將研究使用區(qū)塊鏈中的工作量證明算法區(qū)分攻擊者，更好地抵御DDoS攻擊。

[1] YAN Q, YU F R, GONG Q, et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: a survey, some research issues, and challenges[J]. IEEE Communications Surveys & Tutorials, 2016, 18(1): 602-622.

[2] MIRKOVIC, REIHER P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004, 34(2): 39-53.

[3] CHANG R K C. Defending against flooding-based distributed denial-of-service attacks: a tutorial[J]. Communications Magazine IEEE, 2002, 40(10): 42-51.

[4] HERRERA J G, BOTERO J F. Resource allocation in NFV: a comprehensive survey[M]. IEEE Press, 2016.

[5] RASHIDI B, FUNG C, BERTINO E. A collaborative DDoS defence framework using network function virtualization[C]//2016 12th International Conference on Network and Service Management (CNSM). 2016.

[6] FENG L, YANG Q, KIM K, et al. Dynamic rate allocation and forwarding strategy adaption for wireless networks[J]. IEEE Signal Processing Letters, 2018, 25(7): 1034-1038.

[7] FAYAZ S K, TOBIOKA Y, SEKAR V, et al. Bohatei: flexible and elastic DDoS defense[C]// Usenix Conference on Security Symposium. 2015: 817-832.

[8] GUENANE F, NOGUEIRA M, SERHROUCHNI A. DDoS mitigation cloud-based service[C]//IEEE Trustcom/Bigdatase/ISPA. 2015: 1363-1368.

[9] FUNG C J, MCCORMICK B. VGuard: a distributed denial of service attack mitigation method using network function virtualization[C]//International Conference on Network and Service Management. 2015: 64-70.

[10] RASHIDI B, FUNG C, RAHMAN M. A scalable and flexible DDoS mitigation system using network function virtualization[C]// IEEE/IFIP Network Operations and Management Symposium. 2018: 1-6.

[11] JAKARIA A H M, YANG W, RASHIDI B, et al. VFence: a defense against distributed denial of service attacks using network function virtualization[C]//Computer Software and Applications Conference. 2016: 431-436.

[12] LUO C, ZHANG X, LIU H, et al. Cooperation in memory-based prisoner’s dilemma game on interdependent networks[J]. Physica A Statistical Mechanics & Its Applications, 2016, 450:560-569

[13] PERC M, SZOLNOKI A. Social diversity and promotion of cooperation in the spatial prisoner’s dilemma[J]. Physical Review E Statistical Nonlinear & Soft Matter Physics, 2008, 77(1 Pt 1): 011904

[14] ASHLOCK D, KIM E Y, ASHLOCK W. A fingerprint comparison of different prisoner's dilemma payoff matrices[J].IEEE Transportations on Biological Science, 2010(6): 219-226.

[15] YANG H X, WU Z X, RONG Z, et al. Peer pressure: enhancement of cooperation through mutual punishment.[J]. Phys Rev E Stat Nonlin Soft Matter Phys, 2015, 91(2):022121.

[16] XU Z, LIANG W, GALIS A, et al. Throughput optimization for admitting NFV-enabled requests in cloud networks[J]. Computer Networks, 2018.

New collaborative DDoS defense technology based on NFV

XU Chuanfeng1,2, LIN Hui1,2, GUO Xuancheng1,2, WANG Xiaoding1,2

1. School of Mathematics and Computer Science,Fujian Normal University, Fuzhou 350117, China 2. Fujian Provincial Key Laboratory of Network Security and Cryptology,Fujian Nomal University, Fuzhou 350117, China

To solve the problem of selfish behavior for self-security due tolimited resources in the process of resisting distributed denial of service (DDoS) attacks by a collaborative network built with network function virtualization (NFV) technology, a new collaborative DDoS defense network model was proposed.a repeat prisoner's dilemma game model was built in the collaborative network, a reward and punishment incentive mechanism was introduced to strengthen the cooperation of the collaborative network, and a dynamic resource allocation mechanism based on social reputation value assessment was adopted. Simulation results show that the new collaborative DDoS attack defense technology outperforms existing solutions in terms of packet loss rate, cooperation, and resource allocation rate, improving the effectiveness of DDoS attack defense.

distributed denial of serviceattack, networkfunction virtualization,collaborative network, selfishbehavior, prisoner's dilemma game

The National Natural Science Foundation of China (No.61772008), Fujian Province Guiding Project (formerly Key Industrial Project) (2016Y0031); Fuzhou Science and Technology Bureau Project (No.2017-G-79), The Natural Science Foundation of Fujian Province (No.2016J01289)

TP393.08

A

10.11959/j.issn.2096?109x.2019018

許傳豐（1994? ），男，江蘇宿遷人，福建師范大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、博弈論。

林暉（1977? ），男，福建福州人，博士，福建師范大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)樾湃喂芾?、無線網(wǎng)絡(luò)信息安全、移動(dòng)云計(jì)算。

郭烜成（1995? ），女，福建龍巖人，福建師范大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、機(jī)器學(xué)習(xí)。

汪曉?。?982? ），男，福建福州人，福建師范大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)優(yōu)化與無線通信網(wǎng)絡(luò)。

2018-11-20；

2019-01-25

林暉，linhui@fjnu.edu.cn

國(guó)家自然科學(xué)基金面上資助項(xiàng)目(No.61772008)；福建省引導(dǎo)基金資助項(xiàng)目(原工業(yè)重點(diǎn)基金資助項(xiàng)目)(No.2016Y0031)；福州市科技局基金資助項(xiàng)目(2017-G-79)；福建省自然科學(xué)基金資助項(xiàng)目(2016J01289)

許傳豐, 林暉, 郭烜成, 等. 基于NFV的新的協(xié)作式DDoS防御技術(shù)[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(2): 66-76.

XU C F, LIN H, GUO X C, et al. New collaborative DDoS defense technology based on NFV[J]. Chinese Journal of Network and Information Security, 2019, 5(2): 66-76.