張尚韜

（福建信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，福建福州350003）

基于不完全信息靜態(tài)博弈的DDoS防御機(jī)制評(píng)估方法研究

張尚韜

（福建信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，福建福州350003）

根據(jù)DDoS攻擊和防御行為本身所具有的博弈性質(zhì)，利用不完全信息靜態(tài)博弈理論對(duì)DDoS攻防行為進(jìn)行建模，提出了一種基于不完全信息靜態(tài)博弈的DDoS防御機(jī)制評(píng)估方法，并用該方法對(duì)DDoS防御機(jī)制進(jìn)行評(píng)估研究，利用仿真軟件進(jìn)行模擬實(shí)驗(yàn)，驗(yàn)證了該方法的適用性和有效性。

博弈；DDoS；貝葉斯納什均衡；UDPFlood；SYNFlood

博弈論與網(wǎng)絡(luò)攻防行為有著天然的密切聯(lián)系。博弈論是研究多人謀略和決策問(wèn)題的理論，它使用嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)模型來(lái)解決現(xiàn)實(shí)中的厲害沖突。而DDoS攻擊和防御之間就是一種沖突，一種對(duì)抗，DDoS攻擊和防御行為本身就是一種博弈行為。因此，可以用博弈論的思想來(lái)研究DDoS攻防行為，博弈的雙方就是DDoS的攻擊方和防御方。雙方都是理性的人或組織，博弈中對(duì)理性的描述是：在給定的約束條件下追求效用的最大化，顯然，DDoS的攻擊方和防御方是滿足這個(gè)條件的，他們從各自的策略集合中選擇能使自己效用最大化的策略執(zhí)行［1-4］。

1 基于不完全信息靜態(tài)博弈的DDoS防御機(jī)制評(píng)估方法

本文選取不完全信息靜態(tài)博弈對(duì)DDoS的攻防博弈進(jìn)行建模。不完全信息是指一般情況下，防御方對(duì)攻擊方因拒絕服務(wù)攻擊所產(chǎn)生的效用以及攻擊方采用的攻擊方法、參量等信息并不清楚。同樣，攻擊方對(duì)防御方的信息可能也不確定。靜態(tài)是指攻擊方和防御方同時(shí)選擇且僅選擇一次行動(dòng)計(jì)劃。在DDoS攻防行為中，攻擊方和防御方都是理性的參與方，由于雙方的策略集合具有相當(dāng)?shù)耐该鞫?，假設(shè)雙方都了解對(duì)方的策略集合，在DDoS攻擊發(fā)生時(shí)，防御方已經(jīng)有了自己的策略選擇，處于一定的防御狀態(tài)，這樣可更好地保證應(yīng)對(duì)DDoS攻擊的有效性。同時(shí)攻防雙方可以通過(guò)一些手段檢測(cè)到攻擊和防御的效果，因此假設(shè)攻擊方和防御方都了解對(duì)方在每一次攻防行為中的效用。但防御方對(duì)攻擊方的某些攻擊參量并不清楚，假設(shè)攻擊方可選擇的參量有兩種：

（1）攻擊代理數(shù)目少，每個(gè)代理的攻擊流量大，發(fā)送大量的數(shù)據(jù)包；

（2）攻擊代理數(shù)目多，每個(gè)代理的攻擊流量小，發(fā)送少量的數(shù)據(jù)包。

基于以上假設(shè)，用不完全信息靜態(tài)博弈定義DDoS攻防博弈模型如圖1所示。此博弈用標(biāo)準(zhǔn)式描述可表示為 G=｛Aa，Ad；Ta，Td；pa，pd；ua，ud｝。

圖1 DDoS攻防博弈模型

（1）Aa，Ad是攻防雙方的行動(dòng)空間，其中Aa是攻擊方的行動(dòng)空間，Ad是防御方的行動(dòng)空間，如表1所示。

表1 攻防雙方的行動(dòng)空間

（2）Ta，Td是攻防雙方的類型空間，其中Ta是攻擊方的類型空間，Ta=｛ta1，ta2｝，ta1表示攻擊代理數(shù)目少，ta2表示攻擊代理數(shù)目多，Td是防御方的類型空間。

（3）pa，pd是攻防雙方對(duì)對(duì)方類型的推斷，這里先假設(shè)

也就是說(shuō)，防御方推斷攻擊方的類型為ta1的概率為1/2，同樣，推斷攻擊方的類型為ta2的概率為1/2。

（4）ua，ud是攻防雙方的效用函數(shù)，攻擊方的效用函數(shù)：，防御方的效用函數(shù)：ud=。

各參數(shù)的含義如表2所示。

在DDoS攻擊中，攻擊方的目的是占用系統(tǒng)的各種資源來(lái)?yè)p害合法用戶的利益，而防御方的目的是保證合法用戶的性能。在構(gòu)造攻防雙方的效用函數(shù)時(shí)，考慮到攻擊方既可能利用資源耗盡型攻擊SYN Flood消耗服務(wù)器的連接資源，也可能利用帶寬耗盡型攻擊UDP Flood消耗鏈路帶寬。所以把鏈路帶寬和連接資源都引入了效用函數(shù)的構(gòu)造中。效用函數(shù)在DDoS攻防博弈模型中反映了攻防雙方的偏好關(guān)系，是攻防雙方策略到各自結(jié)果收益的映射。

根據(jù)以上提出的DDoS攻防博弈模型，可以求解該博弈的均衡。該博弈模型是不完全信息靜態(tài)博弈模型，根據(jù)博弈論求解其均衡得到的是貝葉斯納什均衡。根據(jù)均衡的定義可以知道，只有當(dāng)雙方均選擇均衡策略時(shí)才能使自己的收益達(dá)到最大，并且理性的攻防雙方都不會(huì)主動(dòng)偏離均衡策略。因此，對(duì)DDoS防御機(jī)制進(jìn)行評(píng)估的過(guò)程也就是求解貝葉斯納什均衡的過(guò)程。只要計(jì)算出具體的貝葉斯納什均衡，就可以得到攻防雙方的最優(yōu)策略選擇，從而知道選擇哪個(gè)防御機(jī)制能使防御方的效用最大化，指導(dǎo)對(duì)防御機(jī)制合理有效地選擇。

2 仿真實(shí)驗(yàn)和結(jié)果分析

對(duì)DDoS防御機(jī)制評(píng)估方法進(jìn)行仿真實(shí)驗(yàn)分析，驗(yàn)證該評(píng)估方法的有效性。這里使用NS2網(wǎng)絡(luò)仿真工具來(lái)實(shí)現(xiàn)DDoS攻擊場(chǎng)景的建立和DDoS防御機(jī)制的模擬，然后計(jì)算雙方的效用函數(shù)，最終計(jì)算出攻防雙方的貝葉斯納什均衡，得到防御機(jī)制的最優(yōu)選擇。

2.1 對(duì)抗UDPFlood攻擊的仿真實(shí)驗(yàn)設(shè)計(jì)及結(jié)果分析

首先模擬攻擊方選擇實(shí)施UDP Flood攻擊時(shí)，在實(shí)驗(yàn)中，設(shè)置多攻擊代理的情況是有32個(gè)攻擊代理，而少攻擊代理的情況是有4個(gè)攻擊代理。設(shè)置Poor用戶的數(shù)目為10，Good用戶的數(shù)目為28。Poor和Good是合法用戶，它們的數(shù)據(jù)流是NS2流量發(fā)生器模擬的正常的Web流量。而B(niǎo)ad用戶是攻擊代理，它們的UDPFlood攻擊流量類型是CBR，也就是攻擊者一直發(fā)送固定的攻擊流量。實(shí)驗(yàn)參數(shù)設(shè)置如表3所示，得到的實(shí)驗(yàn)結(jié)果如圖2所示。

表3 對(duì)抗UDPFlood攻擊的實(shí)驗(yàn)參數(shù)設(shè)置

圖2 對(duì)抗UDPFlood攻擊的結(jié)果

由上述實(shí)驗(yàn)結(jié)果可以得到以下結(jié)論：

（1）無(wú)論是用哪種防御機(jī)制進(jìn)行防御，對(duì)攻擊代理少，攻擊流量大的攻擊的防御效果要好于多代理但低攻擊速率的情況。在攻擊總流量相同的條件下，多攻擊代理盡管分散了攻擊源，但由于攻擊速率較低，使Pushback機(jī)制在進(jìn)行擁塞檢測(cè)時(shí)聚類的區(qū)分度降低，導(dǎo)致更多的Poor用戶誤判為攻擊者，從而減少了Poor用戶的流量。

（2）DDoS防御機(jī)制防御UDP Flood的效果要優(yōu)于Pushback機(jī)制。因?yàn)镈DoS防御機(jī)制使用了白名單，合法的Good和Poor用戶都將被記錄進(jìn)白名單，在Pushback模塊進(jìn)行速率限制時(shí)，將不會(huì)限制Poor用戶的流量，從而使Poor用戶可以得到更多的帶寬。同時(shí)，Bad用戶得到的攻擊帶寬也會(huì)減少。

2.2 對(duì)抗SYN Flood攻擊的仿真實(shí)驗(yàn)設(shè)計(jì)及結(jié)果分析

模擬攻擊方選擇實(shí)施SYN Flood攻擊時(shí)，同樣設(shè)置多攻擊代理的情況是有32個(gè)攻擊代理，而少攻擊代理的情況是有4個(gè)攻擊代理，設(shè)置Poor用戶的數(shù)目為10，Good用戶的數(shù)目為28。Poor和Good是合法用戶，它們的數(shù)據(jù)流是NS2流量發(fā)生器模擬的正常的Web流量，而B(niǎo)ad用戶是攻擊代理，以一定的速率一直發(fā)送SYN Flood數(shù)據(jù)流。實(shí)驗(yàn)參數(shù)設(shè)置如表4所示，得到的實(shí)驗(yàn)結(jié)果如圖3所示。

表4 對(duì)抗SYN Flood攻擊的實(shí)驗(yàn)參數(shù)設(shè)置

圖3 對(duì)抗SYN Flood攻擊的結(jié)果

由上述實(shí)驗(yàn)結(jié)果可以得到以下結(jié)論：

（1）DDoS防御機(jī)制對(duì)SYN Flood的防御效果要大大優(yōu)于Pushback機(jī)制。因?yàn)镈DoS防御機(jī)制的Client Puzzle模塊對(duì)SYN Flood攻擊有較好的防御效果，而由于SYN Flood攻擊只產(chǎn)生很小的數(shù)據(jù)流量，并不會(huì)導(dǎo)致到服務(wù)器的鏈路發(fā)生擁塞，也就不會(huì)觸發(fā)Pushback機(jī)制，因此Pushback機(jī)制對(duì)這種攻擊的防御效果很差。

（2）DDoS防御機(jī)制對(duì)少代理大流量的攻擊的防御效果要優(yōu)于多代理小流量的情況。因?yàn)楣舸矶嗟那闆r下，能和服務(wù)器建立真實(shí)連接的可能性也大大提高了。

2.3 求解貝葉斯納什均衡及結(jié)果分析

通過(guò)上述實(shí)驗(yàn)，根據(jù)攻防雙方的效用函數(shù)可以計(jì)算出它們?cè)诟鞣N情況下的效用。假設(shè)攻防雙方對(duì)帶寬和連接資源都同樣看重，即設(shè)定權(quán)重影響因子為 α=0.5，β=0.5，α′=0.5，β′=0.5，計(jì)算得到雙方的效用值，如表5所示。

表5 效用值

表5中，括號(hào)內(nèi)的第1個(gè)值是計(jì)算出的攻擊方的效用值，第2個(gè)值是防御方的效用值。利用Gambit工具來(lái)計(jì)算博弈的貝葉斯納什均衡，得到攻擊方的均衡結(jié)果是（0，0，0，1），防御方的均衡結(jié)果是（0，1），即防御方應(yīng)以概率1選擇DDoS防御機(jī)制。也就是說(shuō)不管攻擊方選擇哪種攻擊方式，都應(yīng)選擇DDoS防御機(jī)制，才能使防御方的效用達(dá)到最大化。

3 結(jié)語(yǔ)

根據(jù)DDoS攻擊和防御的博弈性質(zhì)，提出了一種基于不完全信息靜態(tài)博弈理論的DDoS防御機(jī)制評(píng)估方法，并使用該評(píng)估方法對(duì)DDoS防御機(jī)制和Pushback機(jī)制進(jìn)行了定量的評(píng)估研究，利用網(wǎng)絡(luò)仿真工具進(jìn)行了模擬實(shí)驗(yàn)，得到了不同防御機(jī)制在不同攻擊場(chǎng)景下的性能和防御效果，并通過(guò)計(jì)算攻防雙方的貝葉斯納什均衡驗(yàn)證了該評(píng)估方法的適用性和有效性。

［1］JUN-JIE LV.AGame Theoretic Defending Model with Puzzle Controller for Distributed DoSAttack Prevetion［C］//Proc of the Seventh InternationalConference on Machine Learning and Cybernetics.Piscataway:IEEEPress,2008:1064-1069.

［2］MEHRAN SF.A Puzzle-Based Defense Strategy Against Flooding Attacks Using Game Theory［J］.IEEE Transactions on Dependable and Secure Computing,2008,7（1）:5-19.

［3］SHIPan,LIAN Yifeng.Game-Theoretical Effectiveness Evaluation of DDoSDefense［C］//Seventh International Conference on Networking.Piscataway:IEEEPress,2008:427-433.

［4］SHIJin,LU Yin,XIE Li.Game Theory Based Optimization ofSecurity Configuration［C］//IEEE 2007 International Conference on Computational Intelligence and Security.Piscataway:IEEEPress,2007:799-803.

Research on evaluationmethod of DDoS defensemechanism based on incom p lete information static game

ZHANGShang-tao
（Department of Computer Engineering,Fujian Polytechnic of Information Technology,Fuzhou 350003,China）

According to the nature of DDoS attack and defense behavior,we use the incomplete information static game theory tomodel the DDoS attack and defense behavior.An evaluationmethod of DDoS defensemechanism based on incomplete information static game is proposed.Themethod isused to evaluate the defensemechanism of DDoS.The simulation resultsshow that themethod isapplicableand effective.

game;DDOS;Bayesian Nash Equilibriums;UDPF lood;SYN Flood

TP393.08

A

1008-0171（2017）06-0012-05

2017-03-06

福建省中青年教師教育科研項(xiàng)目（JAT170937）

張尚韜（1980-），男，福建福州人，福建信息職業(yè)技術(shù)學(xué)院副教授。

王桂珍 foshanwgzh@163.com】