基于NFV的新的協作式DDoS防御技術

許傳豐，林暉，郭烜成，汪曉丁

?

基于NFV的新的協作式DDoS防御技術

許傳豐1,2，林暉1,2，郭烜成1,2，汪曉丁1,2

（1. 福建師范大學數學與信息學院，福建 福州 350117； 2. 福建師范大學福建省網絡安全與密碼技術重點實驗室，福建 福州 350117）

在采取網絡功能虛擬化技術構建的協作式網絡抵御分布式拒絕服務攻擊的過程中，由于協作網絡中的資源有限，協作網絡中的參與者存在為了自身安全而采取自私行為的問題，進而減弱協作網絡緩解DDoS攻擊能力。針對上述問題，提出了一種新的緩解DDoS攻擊策略。該策略在協作網絡中構建重復囚徒困境博弈模型，引入獎罰分明激勵機制加強協作網絡的合作性，并采取基于社會信譽值評估的動態資源分配機制。仿真實驗表明，新的協作式DDoS攻擊防御技術在分組丟失率、合作性和資源分配率方面優于現有方案，提高了DDoS攻擊防御的有效性。

分布式拒絕服務攻擊；網絡功能虛擬化；協作網絡；自私行為；囚徒困境博弈

1 引言

由于分布式拒絕服務（DDoS）攻擊發起簡單、破壞性大的特點，目前正被世界范圍內的攻擊者廣泛使用[1]。隨著攻擊規模越來越大，盡量減輕攻擊者對受害主機的危害程度、盡快恢復正常服務能力是當今DDoS攻擊防御研究的重點話題之一[2]。顯然，面對大量數據時，在不影響系統能力的前提下，有效過濾異常流量是DDoS攻擊防御的關鍵技術[3]。傳統用于緩解DDoS攻擊的設備（如IPS等），具有成本較高、計算能力有限的限制，而網絡功能虛擬化（NFV）作為一種新興技術，通過在商用服務器上運行的虛擬機實現網絡功能，可以代替傳統設備靈活地緩解DDoS攻擊[4]。現有的基于NFV的協作式防御網絡依靠網絡中的參與者通過資源共享增強對大規模DDoS攻擊的抵抗力[5]，如圖1所示。

協作式防御網絡能有效緩解DDoS攻擊主要依賴資源分配機制實現。即通過資源請求者和資源提供者構建多領導多跟隨的Stackelberg博弈，通過研究所有參與者的最優策略，推導出納什均衡使現有資源合理分配，并通過衡量歷史信譽值判定惡意參與者。但現有的解決方案基于這樣的假設，即協作網絡中的參與者是顧全大局的，忽略了協作網絡中參與者具有個體理性的特點，而由此引發的部分參與者采取自私行為謀取自身最大利益，造成協作網絡抵御DDoS攻擊的能力大幅下降[6]。參與者采取自私行為具體包括：①不合作行為，不合作行為包括丟棄流量和拒絕幫助，即參與者在協作網絡中無作為；②共謀行為，共謀行為包括個人自私和社交自私。即協作網絡在進行資源分配時，參與者和其他參與者通過“勾結”行為得到更多資源。

基于上述分析，本文針對協作式防御網絡在緩解DDoS攻擊時存在的自私行為問題，提出了一種新的緩解DDoS攻擊技術。該技術提出了一種公平、激勵的資源分配方式，具體包括對協作式防御網絡構建重復囚徒困境博弈（PD, prisoner's dilemma）模型，通過引入獎罰分明激勵機制引導博弈中的參與者采取合作策略，且在資源分配方式中添加社會信譽值評估方法，遏制共謀行為，提高防御DDoS攻擊的有效性。這項工作主要貢獻如下。

1) 針對協作網絡中存在不合作行為問題，構建重復囚徒困境博弈模型，并引入獎罰分明策略，激勵博弈過程中參與者采取合作策略為最優策略。

2) 針對協作網絡中資源分配機制存在共謀行為問題，在資源分配機制中添加社會信譽值評估。

3) 仿真實驗引入新的協作式防御策略，實驗結果表明分組丟失率和資源分配率優于現有的基于NFV的協作式DDoS防御策略。

2 相關工作

目前，NFV技術開始用于實現DDoS攻擊防御，已經出現了一些相關的研究成果。

Fayaz等[7]提出了一種基于SDN和NFV的DDoS防御解決方案——Bohatei方案。Bohatei的DDoS緩解系統依賴于供應商提供的針對不同攻擊類型的有向無環圖。系統對攻擊流過濾采取將攻擊類型與防御策略相匹配的方法，采取合適的防御策略對攻擊流過濾。但此方案成本高，并容易引起隱私問題。

Guenane等[8]使用NFV技術和其他網絡虛擬化功能設計了基于云的防火墻服務架構來防御DDoS攻擊。該系統通過NFV作為動態實例化中間盒的手段，將屬于合法連接的流量和潛在的攻擊流量分開，來抵御DDoS攻擊。

Rashidi等[9]提出一系列基于NFV技術解決DDoS攻擊策略——VGuard、CoFence[5]和基于桶轉發機制的靈活DDoS緩解系統[10]。VGuard是一種使用NFV技術實現基于優先級劃分的動態流量工程。將外部區域的流量按優先級指向不同的隧道，通過靜態和動態兩種方法為DDoS攻擊下的可信流量提供滿意的服務。但這種方法不適用于所有DDoS攻擊；基于桶轉發機制的靈活DDoS緩解系統是通過批處理轉發提高調度程序的可伸縮性，使合法流量引入最小性能降級實現緩解SYN洪泛攻擊；CoFence是一種使用NFV的“域幫助域”協作域網絡，其特點為通過資源共享緩解過量流量，但緩解流量過程中，內部存在著惡意行為問題，影響緩解DDoS攻擊能力。

Jakaria等[11]提出的VFence是一種使用NFV技術區分攻擊數據分組和合法數據的DDoS防御機制。系統使用網絡代理在系統可能受到攻擊時攔截數據分組，驗證其真實性，并丟棄非法數據分組保護服務器安全。

綜上所述，通過NFV技術實現DDoS攻擊防御中，現有方案和成果雖然可以解決一些問題，但未考慮在防御過程中節點出現自私行為的問題。自私行為的出現，破壞了協作網絡過濾DDoS攻擊的能力。針對上述不足，本文構建獎罰分明的重復囚徒困境博弈模型，并引入基于社會信譽值的動態資源分配機制，有效遏制自私行為的產生，更好地抵御DDoS攻擊。

3 預備知識

3.1 重復囚徒困境博弈模型

囚徒困境博弈是博弈論的非零和博弈中最具代表性的例子，它反映了個人的最佳選擇并非整體的最佳選擇[12]。

在原始的囚徒困境博弈中，每個人都有兩種選擇合作（C）與背叛（D）[13]。如果雙方合作或背叛，玩家將獲得獎勵或懲罰，如果一方合作另一方背叛時，合作方獲得收益而背叛方獲得收益，其收益矩陣為[14]

式(1)中最左側一列代表自己的決策；最上面一行代表鄰域的決策；收益滿足排名>>>。對于每個節點來說，最優的策略是不合作策略，但若博弈雙方均不合作，則雙方的總收益2小于雙方采取合作的總收益2，這是囚徒困境博弈的困境所在。為了促進協作網絡中參與者相互合作，本文工作選擇重復的PD博弈，即重復囚徒困境（IPD，iterated prisoner’s dilemma）博弈問題。

3.2 網絡功能虛擬化

網絡功能虛擬化是指使用軟硬件解耦以及功能抽象代替專用的設備，使網絡管理者可以在網絡功能虛擬化設備上配置網絡功能及網絡服務，實現了資源充分靈活使用[16]。

通過網絡功能虛擬化技術，使加入協作網絡的節點共享虛擬IPS。共享同一個虛擬IPS的所有節點統稱為域。虛擬IPS的目的是檢測和過濾DDoS攻擊。因為NFV的靈活性，可以在需要時創建虛擬IPS，并可動態配置其容量。為了方便研究，本文闡述了基于NFV的協作式DDoS防御系統拓撲，如圖2所示。

圖2 協作網絡拓撲

4 新的協作式DDoS防御策略

為了協作網絡能有效避免自私行為對緩解DDoS攻擊能力的影響，本文針對自私行為中的不合作行為和共謀行為進行改進。首先，在IPD博弈模型中添加獎罰分明策略，通過獎勵手段和懲罰手段，IPD博弈參與者選擇合作策略作為最佳策略，博弈的結果也間接影響了社會信譽值；其次，提出了由所有鄰居參與者參與評估的社會信譽值評估方式，避免了協作網絡進行資源分配過程中存在勾結行為，并由此提出基于社會信譽值的資源分配方式；最后，描述了能有效遏制自私行為，促進協作網絡緩解DDoS攻擊能力的協作式防御策略具體方案。

4.1 獎罰分明的IPD博弈模型

為了激勵博弈參與者選擇合作策略作為自己的最佳策略，本文工作在博弈中添加獎罰分明策略。獎罰分明策略具體描述為：博弈過程中若一方犯錯，則此次博弈兩方同時受到懲罰，收益減少；若一方連續輪博弈中都沒有犯錯，則在第+1次博弈獲得收益獎勵。

獎罰分明的IPD博弈模型的詳細描述如下。

1) 初始化協作網絡，其度分布服從泊松分布。

2) 初始化每個域的策略，即為每個參與者隨機設定一個初始策略。

5) 記錄域采取合作策略的次數。

①若連續次博弈都采取合作策略，則第+1次的獎勵系數為

6) 重復步驟4)和步驟5)，直至所有域與鄰域博弈結束。

7) 獎罰分明策略流程如圖3所示。

該模型充分考慮了博弈的演化過程中個體的自主性，在重復博弈過程中通過獎罰分明，激勵博弈參與者選擇合作策略作為自己最佳策略。

定理1 添加獎罰分明策略后，IPD博弈模型中的參與者為了獲得更高收益而選擇采取合作作為最佳策略。

由式(4)知

4.2 基于社會信譽值的資源分配方式

協作網絡有效緩解DDoS攻擊主要通過動態資源分配機制實現[14]。現有的方案通過在協作網絡中構建多領導多跟隨的Stackelberg博弈并基于歷史信譽值進行資源分配，但這種機制無法解決共謀行為，即域和鄰域存在“勾結”行為，兩個采取自私行為的域通過相互抬高對方信譽來欺騙其他域。

本文提出了一種新的通過社會信譽值決定資源分配的策略，通過所有鄰域對該域綜合評估確定該域的社會信譽值可以有效遏制共謀行為。協作網絡參與者分配給所有鄰居參與者資源量的多少，按鄰居參與者社會信譽值決定，且一旦社會信譽值低于閾值，協作網絡將此參與者判定具有自私行為，從協作網絡中移除。

本文的社會信譽值由直接信譽值和間接信譽值構成。下面介紹資源分配方式中社會信譽值的相關定義。

間接信譽值：域不僅考慮本處對域的直接信譽值，域還將其他鄰域處對域的信譽值與域在博弈過程中采取的行為作為參考。即間接信譽值為

社會信譽值由所有鄰居參與者的間接信譽值加和平均與該參與者的直接信譽值構成。

由于社會信譽值評估方法是通過所有鄰居參與者的綜合評估，所以參與者之間采取勾結行為，也無法迅速地獲得更多的收益。

定理2 協作網絡中的參與者幫助具有更高社會信譽值的參與者，所得到的回報更多。

證明 假設域與域互相幫助分擔流量，域在域處的社會信譽值為

域在與一個域合作后，其綜合信譽值為

化簡為

基于社會信譽值的動態資源分配算法如下。

算法 協作網絡中的域資源分配算法

輸入鄰域數量；社會信譽值；鄰域需要緩解自身安全的資源；協作網絡用于資源分配的總資源

過程

1) 收集所有鄰域最新的社會信譽值；

2) 循環（對域與其每個鄰居域）

3) 如果存在初始域，即剛加入協作網絡的域

5) 否則按社會信譽值分配資源量

6) 判斷終止條件，結束循環

輸出域分配到的資源量集合；社會信譽值集合

4.3 新的協作式DDoS攻擊防御策略

本文在基于NFV的協作式防御架構的基礎上，構建具有激勵機制的IPD博弈模型，并引入基于社會信譽值得資源分配方式，本文提出新的協作式DDoS攻擊防御策略具體步驟（如圖4所示）如下。

1) 節點發現自身流量過多，超過自身存儲能力。

2) 加入協作網絡，并分配自己能負擔的最大資源。

3) 加入協作網絡的域進行信譽值更新。

①獲得初始信譽值，并進行重復囚徒困境博弈。

圖4 新的防御DDoS攻擊流程

②判斷域和鄰域博弈時，是否采取合作行為。

a. 如果是，則域信譽值增加，效用增多，更新信譽值并進行下一步。

b. 如果不是，則信譽值降低，效用減小，更新信譽值并進行下一步。

4) 判斷域的信譽值低于系統設置的閾值。

①如果是，則判定域為自私域，從協作網絡中刪除。

②如果不是，域可與鄰域進行資源分配，使系統正常工作。

5) 直到協作網絡內所有域完成博弈，并將過量流量過濾完畢，結束。

5 仿真結果和分析

本文通過搭建Rashidi等的CoFence協作網絡中的仿真案例并與其進行對比，通過對比采取新的協作式DDoS攻擊防御策略前后的運行結果，驗證新的策略在分組丟失率、合作性和資源分配量上是否有更好效果，驗證是否有效遏制自私行為，并提高協作式網絡緩解DDoS攻擊有效性。

5.1 仿真模型

本文模擬原協作網絡CoFence[5]中的域共享其虛擬IPS來實現DDoS數據過濾功能。網絡中定義兩種不同類別的流量：合法流量和攻擊流量。合法流量為域在正常情況下接收到的流量，攻擊流量為域在受到攻擊時接收到的流量。合法流量的速率為1 000分組/秒，攻擊流量的速率為6 000分組/秒，每個虛擬IPS的最大分組處理速率為2 000分組/秒。本文模擬10~20 s時間段為DDoS攻擊時間。

如圖5所示，域內的流量為合法流量，域在10~20 s之間存在攻擊流量。在域內存在大量攻擊流量時，需要采取緩解措施并加入協作式網絡。

域加入協作式網絡的分組到達速率如圖6所示。當加入協作式網絡后，域的分組到達速率下降為5 000分組/秒左右。這是由于域幫助域分擔過量流量。

圖5 域的原始速率

圖6 加入協同網絡后域的速率

通過圖5與圖6對比可知，加入協作式網絡的域可以有效緩解大量攻擊流量的威脅。

5.2 分組丟失率

分組丟失率是指在一定時間內節點丟棄流量占總傳輸流量的比例。分組丟失率是判斷緩解DDoS攻擊能力的主要指標。

如圖7所示，相對于經典的緩解DDoS攻擊策略，新的協作防御策略的域具有較低的分組丟失率。而與采取原有策略時相比分組丟失率沒有明顯降低，新的協作防御策略在性能上沒有明顯提升，但該策略構成的協作式網絡具有更好的安全性。

5.3 信譽值

信譽值是本文提出的策略能有效解決協作式防御網絡中自私行為的重要指標。

如圖8所示，采取自私行為的域在經過一段次數的博弈后，域的信譽值低于系統設定的閾值，使采取自私行為的域剔除協作網絡；而一直采取合作行為的域，在經過不斷博弈中，獲得越來越高的信譽值，即證明在新的策略中采取合作行為可以獲得更好的效益，提高了協作式網絡的合作性。

圖7 新的協作防御策略與經典防御策略和原有協作防御策略的分組丟失率的對比

圖8 信譽值對比

5.4 資源分配量

在協作式網絡中，域能公平、激勵相容地得到應有資源量幫助恢復自身穩定，很大程度上影響著協作式網絡緩解DDoS攻擊的效果。所以，每個域的資源分配量也是判定協作式網絡能有效緩解DDoS攻擊的重要指標。

如圖9所示，當鄰域數量較少時，采用新的防御策略的域獲得的幫助低于原有策略和經典策略的域，這是由于采取獎罰分明策略使域與鄰域間較容易受到懲罰。但隨著鄰域的增多，由于這種激勵機制的存在，協作式網絡間合作性大大增強，系統中的域樂意互相幫助來得到更多的收益，促進緩解DDoS能力增強。所以，該實驗表明在鄰域數量相對較多時，采取新的防御策略有助于域獲得更多幫助。

圖9 新的協作防御策略與經典防御策略和原有協作防御策略的資源分配率對比

5.5 傳輸延遲

如圖10所示，采取新的防御策略的域相對以往的DDoS防御技術多0.3 ms左右的延遲。這種延遲是新的防御策略使域間資源分配時，額外增加囚徒困境博弈過程，但這種延遲不影響DDoS防御功能。

圖10 傳輸延遲對比

6 結束語

本文針對DDoS防御系統中出現自私行為的問題，提出了新的協作式DDoS防御技術。通過使用NFV技術構建協作網絡，在協作網絡中構建重復囚徒困境博弈模型，采取獎罰分明策略激勵合作并達到納什均衡，并添加基于社會信譽值的資源分配方式，有效遏制了協作式網絡中自私行為的產生。實驗證明，與之前的協作式網絡進行比較，該技術使協作式網絡具有更好的合作性，且分組丟失率、資源分配量都有相較提升，使協作式網絡更加高效地緩解DDoS攻擊。在未來工作中將研究使用區塊鏈中的工作量證明算法區分攻擊者，更好地抵御DDoS攻擊。

[1] YAN Q, YU F R, GONG Q, et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: a survey, some research issues, and challenges[J]. IEEE Communications Surveys & Tutorials, 2016, 18(1): 602-622.

[2] MIRKOVIC, REIHER P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004, 34(2): 39-53.

[3] CHANG R K C. Defending against flooding-based distributed denial-of-service attacks: a tutorial[J]. Communications Magazine IEEE, 2002, 40(10): 42-51.

[4] HERRERA J G, BOTERO J F. Resource allocation in NFV: a comprehensive survey[M]. IEEE Press, 2016.

[5] RASHIDI B, FUNG C, BERTINO E. A collaborative DDoS defence framework using network function virtualization[C]//2016 12th International Conference on Network and Service Management (CNSM). 2016.

[6] FENG L, YANG Q, KIM K, et al. Dynamic rate allocation and forwarding strategy adaption for wireless networks[J]. IEEE Signal Processing Letters, 2018, 25(7): 1034-1038.

[7] FAYAZ S K, TOBIOKA Y, SEKAR V, et al. Bohatei: flexible and elastic DDoS defense[C]// Usenix Conference on Security Symposium. 2015: 817-832.

[8] GUENANE F, NOGUEIRA M, SERHROUCHNI A. DDoS mitigation cloud-based service[C]//IEEE Trustcom/Bigdatase/ISPA. 2015: 1363-1368.

[9] FUNG C J, MCCORMICK B. VGuard: a distributed denial of service attack mitigation method using network function virtualization[C]//International Conference on Network and Service Management. 2015: 64-70.

[10] RASHIDI B, FUNG C, RAHMAN M. A scalable and flexible DDoS mitigation system using network function virtualization[C]// IEEE/IFIP Network Operations and Management Symposium. 2018: 1-6.

[11] JAKARIA A H M, YANG W, RASHIDI B, et al. VFence: a defense against distributed denial of service attacks using network function virtualization[C]//Computer Software and Applications Conference. 2016: 431-436.

[12] LUO C, ZHANG X, LIU H, et al. Cooperation in memory-based prisoner’s dilemma game on interdependent networks[J]. Physica A Statistical Mechanics & Its Applications, 2016, 450:560-569

[13] PERC M, SZOLNOKI A. Social diversity and promotion of cooperation in the spatial prisoner’s dilemma[J]. Physical Review E Statistical Nonlinear & Soft Matter Physics, 2008, 77(1 Pt 1): 011904

[14] ASHLOCK D, KIM E Y, ASHLOCK W. A fingerprint comparison of different prisoner's dilemma payoff matrices[J].IEEE Transportations on Biological Science, 2010(6): 219-226.

[15] YANG H X, WU Z X, RONG Z, et al. Peer pressure: enhancement of cooperation through mutual punishment.[J]. Phys Rev E Stat Nonlin Soft Matter Phys, 2015, 91(2):022121.

[16] XU Z, LIANG W, GALIS A, et al. Throughput optimization for admitting NFV-enabled requests in cloud networks[J]. Computer Networks, 2018.

New collaborative DDoS defense technology based on NFV

XU Chuanfeng1,2, LIN Hui1,2, GUO Xuancheng1,2, WANG Xiaoding1,2

1. School of Mathematics and Computer Science,Fujian Normal University, Fuzhou 350117, China 2. Fujian Provincial Key Laboratory of Network Security and Cryptology,Fujian Nomal University, Fuzhou 350117, China

To solve the problem of selfish behavior for self-security due tolimited resources in the process of resisting distributed denial of service (DDoS) attacks by a collaborative network built with network function virtualization (NFV) technology, a new collaborative DDoS defense network model was proposed.a repeat prisoner's dilemma game model was built in the collaborative network, a reward and punishment incentive mechanism was introduced to strengthen the cooperation of the collaborative network, and a dynamic resource allocation mechanism based on social reputation value assessment was adopted. Simulation results show that the new collaborative DDoS attack defense technology outperforms existing solutions in terms of packet loss rate, cooperation, and resource allocation rate, improving the effectiveness of DDoS attack defense.

distributed denial of serviceattack, networkfunction virtualization,collaborative network, selfishbehavior, prisoner's dilemma game

The National Natural Science Foundation of China (No.61772008), Fujian Province Guiding Project (formerly Key Industrial Project) (2016Y0031); Fuzhou Science and Technology Bureau Project (No.2017-G-79), The Natural Science Foundation of Fujian Province (No.2016J01289)

TP393.08

A

10.11959/j.issn.2096?109x.2019018

許傳豐（1994? ），男，江蘇宿遷人，福建師范大學碩士生，主要研究方向為網絡安全、博弈論。

林暉（1977? ），男，福建福州人，博士，福建師范大學副教授、碩士生導師，主要研究方向為信任管理、無線網絡信息安全、移動云計算。

郭烜成（1995? ），女，福建龍巖人，福建師范大學碩士生，主要研究方向為網絡安全、機器學習。

汪曉丁（1982? ），男，福建福州人，福建師范大學講師，主要研究方向為網絡優化與無線通信網絡。

2018-11-20；

2019-01-25

林暉，linhui@fjnu.edu.cn

國家自然科學基金面上資助項目(No.61772008)；福建省引導基金資助項目(原工業重點基金資助項目)(No.2016Y0031)；福州市科技局基金資助項目(2017-G-79)；福建省自然科學基金資助項目(2016J01289)

許傳豐, 林暉, 郭烜成, 等. 基于NFV的新的協作式DDoS防御技術[J]. 網絡與信息安全學報, 2019, 5(2): 66-76.

XU C F, LIN H, GUO X C, et al. New collaborative DDoS defense technology based on NFV[J]. Chinese Journal of Network and Information Security, 2019, 5(2): 66-76.