一种边缘虚拟机受隐形DDoS攻击的防护方法及系统

一种边缘虚拟机受隐形ddos攻击的防护方法及系统
技术领域
1.本发明属于互联网技术领域，更具体地，涉及一种边缘虚拟机受隐形ddos攻击的防护方法及系统。

背景技术：

2.边缘计算架构为任务的分布式计算提供了一种高效的计算模式，移动设备的计算任务通过卸载到边缘节点，边缘虚拟机通过分配计算资源为计算任务提供处理环境。然而，由于隐形ddos攻击者向边缘虚拟机注入大量速率不均匀的流量包，使得边缘节点中虚拟机资源过度地消耗，阻碍了卸载任务的可靠执行。因此，在隐形ddos攻击下，计算任务的执行环境变的不确定，为计算密集型任务的资源分配提出了严峻的挑战。首先，在卸载任务执行环境中的隐形ddos攻击具有不确定性，导致资源优化器难以估计虚拟资源的分配量，因而降低其资源抢占决策的可靠性。其次，隐形ddos攻击下，虚拟资源抢占算法的收敛性和稳定性被破坏。在隐形ddos攻击下，为了保障卸载的任务在虚拟机执行的服务质量，边缘虚拟机需提供资源高效的调度服务，通过调度虚拟机能减少任务的执行时间。特别是当分发的卸载任务在各个虚拟机上不均衡时，一个关键的挑战是决定合适大小的虚拟机服务节点数，同时，在虚拟机的不确定执行状态下，如何分配虚拟资源容量，实现最大化边缘节点的效用。
3.面对边缘虚拟机受ddos攻击时保障服务质量的挑战，研究者提出了一些方法来检测和防御ddos攻击。o.a.wahab等针对攻击者利用云的弹性和多租户属性对云系统发起的狡猾攻击策略，建立信任模型，并结合主观和客观信任源，提出基于博弈论的最大化检测ddos攻击算法，从而优化ddos攻击检测的分布式策略，该方法未考虑隐形ddos攻击所造成的虚拟机环境中卸载任务执行的不确定性问题(“optimal load distribution for the detection of vm-based ddos attacks in the cloud，”in ieee transactions on services computing,vol.13,no.1,pp.114-129,1jan.-feb.2020)。由于多个虚拟机共享底层的虚拟资源，虚拟网络易受到跨虚拟机攻击，其中恶意的虚拟机通过重定向将网络流量发送到特定目的地，针对此类攻击，a.saeed等设计出了相应的攻击场景及其对策，但此方法的缺陷是需要修改底层虚拟机的结构，这使得虚拟机的部署容易失败，同时该方法未针对隐形ddos攻击造成的卸载任务执行服务质量下降给出相应的解决方案(“a secure vm allocation strategy based on tenant behavior analysis and anomaly identification，”in 2021ieee military communications conference(milcom),2021,pp.721-726)。c.yang等针对跨虚拟机侧信道攻击问题，提出了虚拟机动态迁移方法，该方法基于近似整数规划和遗传算法优化迁移策略，克服了通过修改虚拟机结构直接导致的虚拟机部署失败问题，但未考虑虚拟机的优先选择方法来减少服务迁移的失败率(“an effective and scalable vm migration strategy to mitigate cross-vm side-channel attacks in cloud，”in china communications,vol.16,no.4,pp.151-171,april 2019)。y.zhou等针对工业物联网中ddos攻击，提出基于移动目标的主动防御技术，
该技术通过动态控制设备的准入和副本迁移来隔离边缘云的攻击者，该方法也未考虑隐形ddos攻击所造成的虚拟机环境中卸载任务执行的不确定性问题(“toward proactive and efficient ddos mitigation in iiot systems:a moving target defense approach，”in ieee transactions on industrial informatics,vol.18,no.4,pp.2734-2744,april 2022)。
4.这些研究方案还存在如下不足：
5.(1)已提出的解决方案较少考虑隐形ddos攻击造成的边缘虚拟机环境中卸载任务执行的不确定性，而仅考虑边缘任务迁移决策，受隐形ddos攻击时无法确保虚拟机中延迟敏感性卸载任务执行的可靠性。因此，已提出的解决方案应用于延迟敏感性边缘计算任务卸载和执行具有局限性，并且未针对受隐形ddos攻击的虚拟机环境提出相应的防护方法。
6.(2)已提出的解决方案通过修改虚拟机底层结构来共享虚拟资源，但是这造成了虚拟机部署时平台的不相兼容性，未考虑在不修改现有系统的情况下，通过上层优化虚拟机服务优先权和弹性资源抢占来防御隐形ddos攻击。
7.(3)已提出的解决方案虽然提出一些主动防御ddos攻击的方法，但当防御者无法交换防御部署决策信息时，主动防御方法无法获得较好的防御效果，对于此种情况，存在的研究方案未给出相应的资源抢占决策方法。

技术实现要素：

8.为了解决以上方法的不足，本发明基于模糊博弈及强化学习算法来调度虚拟机并抢占资源，从而提出一种边缘虚拟机受隐形ddos攻击的防护方法及系统，保障端-边协同卸载的服务质量。
9.为实现上述目的，按照本发明的一个方面，提供了一种边缘虚拟机受隐形ddos攻击的防护方法，包括以下步骤：
10.(1)对于边缘节点集合中每一边缘节点其部署在网络安全控制节点上的攻击面控制器收集其运行的任务卸载候选的虚拟机集合中每一虚拟机的状态信息，χ
t
为时隙t任务卸载候选的虚拟机的数量；
11.(2)所述攻击面控制器，采用模糊控制器根据步骤(1)获得的边缘节点e的每一任务卸载候选的虚拟机的状态信息映射到模糊空间并评估其抢占优先权并反模糊化为虚拟机权重w
vm
，并评估对于每一任务卸载候选的虚拟机的模糊效用；
12.(3)根据步骤(2)获得的边缘节点e任务卸载候选的虚拟机集合中任务卸载候选的虚拟机的模糊效用按照从达到小的顺序排列获得边缘节点e的抢占优先权向量wk；
13.(4)根据步骤(3)获得的边缘节点e的抢占优先权向量wk，作为攻击面控制器观测的虚拟机状态，采用强化学习计算对虚拟机i的行动选择概率hi(ai|oi)，根据概率最大的行动ai＝(v
w,i
,c
w,i
)使得卸载任务抢占虚拟机资源容量；其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。
14.优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其步骤(1)所述状态信息包
括cpu资源、存储资源、以及带宽资源，优选为归一化的cpu资源、存储资源、以及带宽资源。
15.优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其所述收集所有任务卸载候选的虚拟机其状态信息，分别获得cpu资源向量存储资源向量以及带宽资源向量以及带宽资源向量为虚拟机i的cpu资源，为虚拟机i的存储资源，虚拟机i的带宽资源；
16.归一化的cpu资源按照如下方法计算：
[0017][0018]
归一化的cpu资源的存储资源按照如下方法计算：
[0019][0020]
归一化带宽资源值按照如下方法计算：
[0021][0022]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其步骤(2)所述模糊控制器，为多进单出模糊控制器，其中每一输入为任务卸载候选的虚拟机的状态信息中的一种，包括cpu资源、存储资源、以及带宽资源。
[0023]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其所述模糊控制器的输入模糊集具体为：
[0024]
cpu资源状态模糊集：低cpu资源状态、中cpu资源状态、以及高cpu资源状态；
[0025]
存储资源状态模糊集：低存储资源状态、中存储资源状态、高存储资源状态；
[0026]
带宽资源状态模糊集：低带宽资源状态、中带宽资源状态、以及带宽资源状态。
[0027]
所述模糊控制器的输出模糊集具体为：虚拟机抢占优先权很低、虚拟机抢占优先权低、虚拟机抢占优先权低中、虚拟机抢占优先权高中、虚拟机抢占优先权高、以及虚拟机抢占优先权很高。
[0028]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其所述模糊控制器的隶属度函数，采用三角隶属度函数；
[0029]
所述模糊控制器，采用隶属度函数将输入的任务卸载候选的虚拟机的状态信息，映射到模糊空间获得输出模糊；
[0030]
所述模糊控制器，采用隶属度函数将输出模糊反模糊化为虚拟机i权重
[0031]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其虚拟机i采用以为模糊数的模糊控制器的模糊效用按照如下方法计算：
[0032]
[0033]
其中，为虚拟机i；为虚拟机i；虚拟机i的资源服务质量，按照如下方法计算：
[0034][0035]
其中ωe为边缘节点e的状态，是一个bernoulli随机变量，ωe∈{0,1}，边缘节点e处于活跃状态，则ωe＝1，否则ωe＝0；n
para
为并行执行的任务数；为边缘节点e上虚拟机i中任务的执行率，为边缘节点e虚拟机i的攻击因子，用于表征其受到的隐形ddos攻击态势；其中：
[0036]
按照如下方法计算：
[0037][0038]
其中，为虚拟机i的资源配置与消耗比，计算方法如下：
[0039][0040]
其中，为虚拟机i受攻击的资源容量，为虚拟机i受攻击的资源容量，为对的不完全估计，为有界估计误差；为虚拟机i遭受隐形ddos攻击的程度，表示如下其中ωe为边缘节点e的状态，为虚拟机i的虚拟资源的损失；σ为表示正的常数。
[0041]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其对于每个边缘虚拟机，如果隐形ddos攻击者导致的虚拟资源损失大于攻击面控制器抢占的虚拟资源并且大于给定的阈值ε时的概率定义为af，af值表示如下：
[0042][0043]
其中，pr{}为取概率函数，为虚拟机的虚拟资源。
[0044]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其对于任一虚拟机的虚拟资源的损失x∈{z,o}，z表示边缘节点的类型为主节点，o表示边缘节点的类型为副节点，按照如下方法计算：
[0045][0046]
其中，为表示rician因子，表征虚拟机受攻击的强度，虚拟资源损失服从rician分布，为归一化常量表示隐形ddos攻击者对虚拟机造成虚拟资源损失，由资源监控系统通过观测得到；为任务并行执行路径上虚拟资源的损失，是一个服从标准正态分布的估计变量，由标准正态分布函数获得。
[0047]
优选地，所述边缘虚拟机受隐形ddos攻击的防护方法，其所述步骤(4)采用q-learning进行强化学习计算行动选择概率hi(ai|oi)；
[0048]
所述强化学习具体为：
[0049]
强化学习状态空间s为：受隐形ddos攻击的虚拟机环境状态空间s＝(s
ac
,s
nac
)其中，s
ac
表示虚拟机运行活跃状态，s
nac
表示虚拟机运行不活跃状态，s
t
∈s，为时隙t的状态；
[0050]
攻击面控制器对虚拟机的观测空间δe为边缘节点的数量，oe为边缘节点e的抢占优先权向量wk；
[0051]
行动空间是时隙t的行动集合，每个行动表示防御者抢占的虚拟机资源容量，行动的个数等于虚拟机的个数。在当前时隙t对虚拟机i采用的行动为：a
t
＝ai＝(v
w,i
,c
w,i
)，其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。在每个时间隙，攻击面控制器使用概率hi(ai|oi)选择一个行动，且
[0052]
时隙t的单步即时奖励r
t
为当防御者在当前状态s
t
使用概率hi(ai|oi)采取行动a
t
时，获得奖励为所有虚拟机的资源服务质量的累加，即：
[0053][0054][0055]
约束条件为：(a)有最小的资源使用效能来维持qos需求；和/或
[0056]
(b)表明抢占的最大虚拟机数不超过虚拟机综述；和/或
[0057]
(c)防御者抢占的虚拟资源不能超过其最大值。
[0058]
按照本发明的另一个方面，提供了一种边缘虚拟机受隐形ddos攻击的防护系统，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明提供的边缘虚拟机受隐形ddos攻击的防护方法的步骤。
[0059]
总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：
[0060]
本发明的内容如下：
[0061]
(1)为抵抗隐形ddos攻击者对边缘虚拟机的模糊攻击，考虑边缘虚拟机环境的不确定性，引入模糊数来量化虚拟资源的状态，将观测到隐形攻击者的虚拟资源消耗的不确定信息表征为模糊数，建立模糊博弈模型，并利用模糊逻辑对其进行分析和处理。
[0062]
(2)受隐形ddos攻击的动态虚拟机环境中，由于在观测空间中获得不确定的博弈效用，不能直接用于虚拟机资源的抢占决策，本发明通过模糊推理获得虚拟机调度优先权，进而进行虚拟机资源的抢占决策，从而提出了具有较高鲁棒性的模糊学习算法。
[0063]
(3)在模糊博弈中，当防御者无法通过与隐形ddos攻击者交互获得其博弈效用时，防御者不能优化其防御策略，针对此问题，本发明提出强化模糊博弈框架，在此框架中，防御者通过主动与任务卸载执行的边缘虚拟机环境的交互来获得其防御的最优策略，从而在不稳定的博弈环境下获得资源分配的最优策略，保证卸载任务执行的虚拟机环境的服务质
量。
附图说明
[0064]
图1是本发明提供的边缘虚拟机受隐形ddos攻击的防护方法步骤示意图；
[0065]
图2是本发明实施例采用的虚拟机cpu资源的隶属度函数；
[0066]
图3是本发明实施例采用的虚拟机存储资源的隶属度函数；
[0067]
图4是本发明实施例采用的虚拟机带宽资源的隶属度函数；
[0068]
图5是本发明实施例采用的虚拟机权重的隶属度函数；
[0069]
图6是本发明实施例提供的强化模糊博弈框架示意图。
具体实施方式
[0070]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0071]
本发明提供的边缘虚拟机受隐形ddos攻击的防护方法，在时隙t执行以下步骤：
[0072]
(1)对于边缘节点集合中每一边缘节点其部署在网络安全控制节点上的攻击面控制器收集其运行的任务卸载候选的虚拟机集合中每一虚拟机的状态信息，χ
t
为时隙t任务卸载候选的虚拟机的数量；
[0073]
所述状态信息包括cpu资源、存储资源、以及带宽资源，优选为归一化的cpu资源、存储资源、以及带宽资源；
[0074]
所述收集所有任务卸载候选的虚拟机其状态信息，分别获得cpu资源向量存储资源向量以及带宽资源向量以及带宽资源向量为虚拟机i的cpu资源，为虚拟机i的存储资源，虚拟机i的带宽资源；
[0075]
归一化的cpu资源按照如下方法计算：
[0076][0077]
归一化的cpu资源的存储资源按照如下方法计算：
[0078][0079]
归一化带宽资源值按照如下方法计算：
[0080][0081]
(2)所述攻击面控制器，采用模糊控制器根据步骤(1)获得的边缘节点e的每一任
务卸载候选的虚拟机的状态信息映射到模糊空间并评估其抢占优先权并反模糊化为虚拟机权重w
vm
，并评估对于每一任务卸载候选的虚拟机的模糊效用；
[0082]
所述模糊控制器，为多进单出模糊控制器，其中每一输入为任务卸载候选的虚拟机的状态信息中的一种，包括cpu资源、存储资源、以及带宽资源；
[0083]
所述模糊控制器的输入模糊集具体为：
[0084]
cpu资源状态模糊集：低cpu资源状态、中cpu资源状态、以及高cpu资源状态；
[0085]
存储资源状态模糊集：低存储资源状态、中存储资源状态、高存储资源状态；
[0086]
带宽资源状态模糊集：低带宽资源状态、中带宽资源状态、以及带宽资源状态。
[0087]
所述模糊控制器的输出模糊集具体为：虚拟机抢占优先权很低、虚拟机抢占优先权低、虚拟机抢占优先权低中、虚拟机抢占优先权高中、虚拟机抢占优先权高、以及虚拟机抢占优先权很高。
[0088]
所述模糊控制器的隶属度函数，采用三角隶属度函数；
[0089]
所述模糊控制器，采用隶属度函数将输入的任务卸载候选的虚拟机的状态信息，映射到模糊空间获得输出模糊，其模糊规则根据经验制定。
[0090]
所述模糊控制器，采用隶属度函数将输出模糊反模糊化为虚拟机i权重
[0091]
虚拟机i采用以为模糊数的模糊控制器的模糊效用按照如下方法计算：
[0092][0093]
其中，为虚拟机i；为虚拟机i；虚拟机i的资源服务质量，按照如下方法计算：
[0094][0095]
其中ωe为边缘节点e的状态，是一个bernoulli随机变量，ωe∈{0,1}，边缘节点e处于活跃状态，则ωe＝1，否则ωe＝0；n
para
为并行执行的任务数；为边缘节点e上虚拟机i中任务的执行率，为边缘节点e虚拟机i的攻击因子，用于表征其受到的隐形ddos攻击态势；其中：
[0096]
按照如下方法计算：
[0097][0098]
其中，为虚拟机i的资源配置与消耗比，计算方法如下：
[0099][0100]
其中，为虚拟机i受攻击的资源容量，为虚拟机i受攻击的资源容量，为对的不完全估计，为有界估计误差；为虚拟机i遭受隐形ddos攻击的程度，表示如下
其中ωe为边缘节点e的状态，为虚拟机i的虚拟资源的损失；σ为表示正的常数。
[0101]
对于每个边缘虚拟机，如果隐形ddos攻击者导致的虚拟资源损失大于攻击面控制器抢占的虚拟资源并且大于给定的阈值ε时的概率定义为af，af值表示如下：
[0102][0103]
其中，pr{}为取概率函数，为虚拟机的虚拟资源。
[0104]
对于任一虚拟机的虚拟资源的损失x∈{z,o}，z表示边缘节点的类型为主节点，o表示边缘节点的类型为副节点，按照如下方法计算：
[0105][0106]
其中，为表示rician因子，表征虚拟机受攻击的强度，虚拟资源损失服从rician分布，为归一化常量表示隐形ddos攻击者对虚拟机造成虚拟资源损失，由资源监控系统通过观测得到；为任务并行执行路径上虚拟资源的损失，是一个服从标准正态分布的估计变量，由标准正态分布函数获得。
[0107]
(3)根据步骤(2)获得的边缘节点e任务卸载候选的虚拟机集合中任务卸载候选的虚拟机的模糊效用按照从达到小的顺序排列获得边缘节点e的抢占优先权向量wk；
[0108]
(4)根据步骤(3)获得的边缘节点e的抢占优先权向量wk，作为攻击面控制器观测的虚拟机状态，采用强化学习计算对虚拟机i的行动选择概率hi(ai|oi)，根据概率最大的行动ai＝(v
w,i
,c
w,i
)使得卸载任务抢占虚拟机资源容量；其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量；优选方案采用q-learning进行强化学习计算行动选择概率hi(ai|oi)；
[0109]
所述强化学习具体为：
[0110]
强化学习状态空间s为：受隐形ddos攻击的虚拟机环境状态空间s＝(s
ac
,s
nac
)其中，s
ac
表示虚拟机运行活跃状态，s
nac
表示虚拟机运行不活跃状态，s
t
∈s，为时隙t的状态；
[0111]
攻击面控制器对虚拟机的观测空间δe为边缘节点的数量，oe为边缘节点e的抢占优先权向量wk[0112]
行动空间是时隙t的行动集合，每个行动表示防御者抢占的虚拟机资源容量，行动的个数等于虚拟机的个数。在当前时隙t对虚拟机i采用的行动为：a
t
＝ai＝(v
w,i
,c
w,i
)，其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。在每个时间隙，攻击面控制器使用概率hi(ai|oi)选择一个行动，且
[0113]
时隙t的单步即时奖励r
t
为当防御者在当前状态s
t
使用概率hi(ai|oi)采取行动a
t
时，获得奖励为所有虚拟机的资源服务质量的累加，即：
[0114][0115][0116]
约束条件为：(a)有最小的资源使用效能来维持qos需求；和/或
[0117]
(b)表明抢占的最大虚拟机数不超过虚拟机综述；和/或
[0118]
(c)防御者抢占的虚拟资源不能超过其最大值。
[0119]
以下为实施例：
[0120]
本实施例提供的边缘虚拟机受隐形ddos攻击的防护方法，应用在边缘虚拟机服务网络上，该网络中边缘虚拟机运行在边缘节点上，承担卸载任务的并行执行，在隐形ddos攻击下，边缘虚拟机运行处于不确定状态，导致边缘节点的状态动态变化，令边缘节点的集合为每个边缘节点的状态可表示为：其中ωe∈{0,1}是一个bernoulli随机变量，表示边缘节点e的状态，例如，在当前时间隙，如果边缘节点e处于活跃状态，则ωe＝1，否则ωe＝0。ve∈{0,1}表示边缘节点是否为主节点，如果边缘节点e是主节点，则ve＝1，否则e是副节点，且ve＝0。表示边缘节点e的虚拟资源容量，且
[0121]
攻击面控制器部署在网络安全控制节点上，由于边缘节点的虚拟资源是可动态配置的，在边缘节点上部署的攻击面控制器作为防御者来动态配置边缘节点的内部虚拟资源，以此防御隐形ddos攻击。其中，攻击面控制器作为防御者，可以调度多个边缘节点，其总的效用为：
[0122]
隐形ddos攻击者和防御者攻击面控制器竞相抢占边缘虚拟机的资源，隐形ddos攻击者的目标是通过发送大量的无效的卸载任务消耗边缘虚拟机的资源，防御者的目标是抢占并配置更多的虚拟资源来完成卸载的并行计算任务。使用攻击因子af(attack factor)来表征隐形ddos攻击态势。由于隐形ddos攻击者和防御者的能量、计算能力和存储资源的约束，定义和表示虚拟机的虚拟资源和攻击面控制器抢占的虚拟资源的最大值。
[0123]
攻击面控制器，通过抢占并分配资源的方式来优化防御效用，基于以上分析，卸载的任务并行执行时，受隐形ddos攻击的边缘虚拟资源抢占问题形式化如下：
[0124]
p1:maxu(f),
[0125]
s.t.(a)φe(fe)≥φ
th
,
[0126][0127][0128]
约束条件(a)保证有最小的资源使用效能来维持qos需求，φ
th
表示资源使用效能阈值；约束条件(b)表明可抢占的最大虚拟机数；约束条件(c)保证防御者抢占的虚拟资源
不能超过其最大值。由于p1是np-hard问题，在考虑隐形ddos攻击下，解决此问题面临更大挑战。为了解决这个挑战，本发明设计可信的虚拟资源抢占机制来消减隐形ddos攻击对卸载任务并行执行的影响，从而在不确定的执行环境中提高卸载任务执行的服务质量。
[0129]
本发明利用模糊博弈来解决上述问题，并设计基于模糊博弈的可信虚拟资源抢占机制。该机制考虑了多约束条件下的不确定资源抢占防御策略，并把p1问题建模为非合作模糊博弈来优化资源抢占策略。
[0130]
定义1：非合作博弈表示为：g＝(n,ji,jk,ui,uk)，其中n表示博弈参与者集合，由隐形ddos攻击者和防御者组成。n＝(n1,n2)，其中n1表示隐形ddos攻击者集合，n2表示攻击面控制器集合。ji表示隐形ddos攻击者i抢占行动集合，i∈n1，由抢占的虚拟资源容量表示，即jk表示防御者k抢占行动的集合，k∈n2，由抢占的虚拟资源容量表示，即ui表示隐形ddos攻击者i的效用，且ui＝-qose(fe)，uk表示防御者k的效用，且uk＝qose(fe)。
[0131]
定义2：如果博弈策略的行动对的效用满足如下条件：
[0132][0133][0134]
则行动对是博弈g的纳什均衡，且和分别表示隐形ddos攻击者i和防御者k的最优行动。
[0135]
定义3：不确定虚拟资源抢占的模糊博弈定义为：
[0136][0137]
根据以上定义，在受隐形ddos攻击的边缘虚拟资源抢占问题重新形式化为一个模糊博弈，在博弈中，防御者k通过抢占虚拟资源容量实现其效用最大化，其最优的资源抢占行动表示如下：
[0138][0139]
s.t.:φe(fe)≥φ
th
.
[0140]
隐形ddos攻击者通过抢占边缘虚拟机资源，使其模糊效用最大，可表示如下：
[0141][0142]
s.t.:φe(fe)＜φ
th
.
[0143]
定义4：模糊纳什均衡。如果模糊博弈策略行动对的效用满足如下条件：
[0144][0145][0146]
则行动对是博弈的纳什均衡，且和分别表示攻击者i和防御者k的最优行动。
[0147]
博弈至少存在一个纳什均衡解，证明如下：
[0148]
由于博弈是包含两类博弈参与者的bi-matrix博弈，其bi-matrix博弈效用矩阵表示如下：
[0149][0150]
矩阵中每个元素表示隐形ddos攻击者采用攻击行动和防御者采取防御行动时的效用。如果存在一个虚拟机子集使得函数和是凹形的，则bi-matrix博弈至少存在一个模糊纳什均衡解。由于
[0151][0152]
由此可得，隐形ddos攻击者和防御者的效用函数是凹形的。所以，模糊博弈至少存在一个模糊纳什均衡解。
[0153]
本实施例提供的边缘虚拟机受隐形ddos攻击的防护方法，如图1所示，在时隙t执行以下步骤：
[0154]
(1)对于边缘节点集合中每一边缘节点其部署在网络安全控制节点上的攻击面控制器收集其运行的任务卸载候选的虚拟机集合中每一虚拟机的状态信息，χ
t
为时隙t任务卸载候选的虚拟机的数量；
[0155]
所述状态信息包括cpu资源、存储资源、以及带宽资源，优选为归一化的cpu资源、存储资源、以及带宽资源；
[0156]
所述收集所有任务卸载候选的虚拟机其状态信息，分别获得cpu资源向量存储资源向量以及带宽资源向量以及带宽资源向量为虚拟机i的cpu资源，为虚拟机i的存储资源，虚拟机i的带宽资源；
[0157]
归一化的cpu资源按照如下方法计算：
[0158]
[0159]
归一化的cpu资源的存储资源按照如下方法计算：
[0160][0161]
归一化带宽资源值按照如下方法计算：
[0162][0163]
(2)所述攻击面控制器，采用模糊控制器根据步骤(1)获得的边缘节点e的每一任务卸载候选的虚拟机的状态信息映射到模糊空间并评估其抢占优先权并反模糊化为虚拟机权重w
vm
，并评估对于每一任务卸载候选的虚拟机的模糊效用；
[0164]
所述模糊控制器，为多进单出模糊控制器，其中每一输入为任务卸载候选的虚拟机的状态信息中的一种，包括cpu资源、存储资源、以及带宽资源；
[0165]
所述模糊控制器的输入模糊集具体为：
[0166]
cpu资源状态模糊集：低cpu资源状态、中cpu资源状态、以及高cpu资源状态；
[0167]
存储资源状态模糊集：低存储资源状态、中存储资源状态、高存储资源状态；
[0168]
带宽资源状态模糊集：低带宽资源状态、中带宽资源状态、以及带宽资源状态。
[0169]
所述模糊控制器的输出模糊集具体为：虚拟机抢占优先权很低、虚拟机抢占优先权低、虚拟机抢占优先权低中、虚拟机抢占优先权高中、虚拟机抢占优先权高、以及虚拟机抢占优先权很高。
[0170]
所述模糊控制器的隶属度函数，采用三角隶属度函数；
[0171]
所述模糊控制器，采用隶属度函数将输入的任务卸载候选的虚拟机的状态信息，映射到模糊空间获得输出模糊。
[0172]
本实施例采用的隶属度函数，为三角隶属度函数，虚拟机cpu资源的隶属度函数如图2所示，虚拟机存储资源的隶属度函数如下图3所示，虚拟机带宽资源的隶属度函数如下图4所示。
[0173]
本实施例采用的虚拟机抢占优先权模糊推理系统模糊规则，如图1所示：
[0174]
表1：虚拟机抢占优先权模糊推理系统模糊规则
[0175][0176]
所述模糊控制器，采用隶属度函数将输出模糊反模糊化为虚拟机i权重
[0177]
虚拟机抢占优先权模糊决策。最终获得的vm权重为模糊控制器的反模糊化输出，vm权重的隶属度函数如下图5所示。
[0178]
虚拟机i采用以为模糊数的模糊控制器的模糊效用按照如下方法计算：
[0179][0180]
其中，为虚拟机i；为虚拟机i；虚拟机i的资源服务质量，按照如下方法计算：
[0181][0182]
其中ωe为边缘节点e的状态，是一个bernoulli随机变量，ωe∈{0,1}，边缘节点e处于活跃状态，则ωe＝1，否则ωe＝0；n
para
为并行执行的任务数；为边缘节点e上虚拟机i中任务的执行率，为边缘节点e虚拟机i的攻击因子，用于表征其受到的隐形ddos攻击态势；其中：
[0183]
按照如下方法计算：
[0184][0185]
其中，为虚拟机i的资源配置与消耗比，计算方法如下：
[0186][0187]
其中，为虚拟机i受攻击的资源容量，为虚拟机i受攻击的资源容量，为对的不完全估计，为有界估计误差；为虚拟机i遭受隐形ddos攻击的程度，表示如下其中ωe为边缘节点e的状态，为虚拟机i的虚拟资源的损失；σ为表示正的常数。
[0188]
模糊数使用模糊数来精确描述实数空间中受攻击的边缘虚拟机的虚拟资源容量情况，且其中ε1和ε3表示边缘虚拟机的虚拟资源容量偏移中心ε2的偏移量，本发明使用三角隶属度函数来描述模糊数如下：
[0189][0190]
为处理隐形ddos攻击下，具有不确定的虚拟资源容量时，边缘虚拟资源的分配问题，本发明把虚拟资源的变化情况映射到模糊空间，使用三角模糊数描述不确定的虚拟资源容量。即，使用隶属度函数获得受隐形ddos攻击时的虚拟资源容量，由此得到攻击者i和防御者k的模糊效用如下：
[0191][0192][0193]
其中，表示边缘节点e中映射后的边缘虚拟机的模糊虚拟资源容量。
[0194]
对于每个边缘虚拟机，如果隐形ddos攻击者导致的虚拟资源损失大于攻击面控制器抢占的虚拟资源并且大于给定的阈值ε时的概率定义为af，af值表示如下：
[0195][0196]
其中，pr{}为取概率函数，为虚拟机的虚拟资源。
[0197]
对于任一虚拟机的虚拟资源的损失x∈{z,o}，z表示边缘节点的类型为主节
点，o表示边缘节点的类型为副节点，按照如下方法计算：
[0198][0199]
其中，为表示rician因子，表征虚拟机受攻击的强度，虚拟资源损失服从rician分布，为归一化常量表示隐形ddos攻击者对虚拟机造成虚拟资源损失，由资源监控系统通过观测得到；为任务并行执行路径上虚拟资源的损失，是一个服从标准正态分布的估计变量，由标准正态分布函数获得。
[0200]
一般来说，受攻击的虚拟机资源容量由虚拟服务环境下，卸载任务并行执行的路径损失径损失和虚拟机资源容量损失和虚拟机资源容量损失的乘积决定。由此得到受攻击的虚拟机资源容量为：
[0201][0202]
其中，κ表示系数是一个常量。ρ表征攻击面大小，由未受攻击的虚拟机个数和总的虚拟机个数之比计算得到，ρ越大攻击面越小。n
para
表示并行执行的任务数，若ρ＞0.5，则卸载任务并行执行的路径损失对n
para
严格递减，若ρ＜0.5则严格递增。由于隐形ddos攻击者定向对目标虚拟机发起持续攻击，虚拟资源损失通常服从rician分布，为方便计算，把虚拟资源的损失统一表示为x∈{z,o}，且
[0203]
如果隐形ddos攻击者导致的虚拟资源损失大于防御者抢占的虚拟资源并且大于给定的阈值ε时，边缘虚拟机中卸载任务的并行执行性能严重受损，边缘节点e中，边缘虚拟机m遭受隐形ddos攻击的程度表示如下：
[0204][0205]
在边缘节点e上，可用被分配的虚拟机集合为其中δe表示被分配的虚拟机的数量，表示卸载任务并执行的虚拟机集合。当有多个隐形ddos攻击者攻击多个边缘虚拟机时，边缘节点中攻击面控制器调度虚拟机来帮助任务的迁移，同时抢占资源来保障卸载任务的执行，从而协调受攻击虚拟机之间的计算负载，使得边缘节点e达到资源使用的效能为：
[0206][0207]
边缘虚拟机并行执行卸载任务的mesh网络结构，边缘节点的计算性能不仅取决于资源使用效能，而且还与并行执行的任务数相关。因此，引入另一个度量指标，任务并行执行时边缘虚拟机的资源服务质量，表征多个边缘虚拟机并行执行卸载任务的效能，由此，还需要考虑前面定义的af来衡量在隐形ddos攻击下，并行任务执行的可靠程度，任务并行执行时的边缘虚拟机的资源服务质量表示如下：
[0208][0209]
(3)根据步骤(2)获得的边缘节点e任务卸载候选的虚拟机集合中任务卸载候选的虚拟机的模糊效用按照从达到小的顺序排列获得边缘节点e的抢占优先权向量wk；
[0210]
基于模糊推理的虚拟机抢占优先权更新过程，即步骤(2)、(3)可采用如下算法：
[0211]
算法1
[0212]
输入：防御者k对于虚拟机i的总体模糊效用
[0213]
初始化：虚拟机抢占优先权向量wk[0214]
步骤1：观测每个虚拟机的cpu资源、存储资源、带宽资源并归一化为(0,1)区间
[0215]
步骤2：使用三角模糊函数计算每个虚拟机状态的隶属度：
[0216]
步骤3：根据经验构建虚拟机抢占优先权模糊推理系统规则
[0217]
步骤4：执行模糊推理获得虚拟机权重，计算防御者k的总体模糊效用
[0218]
步骤5：比较对候选虚拟机的效用大小
[0219]
步骤6：根据步骤5的比较结果，虚拟机模糊效用较大的虚拟机编号进入抢占优先权向量，如果抢占优先权向量中虚拟机个数小于χ
t
，则转步骤4继续执行。
[0220]
输出：稳定的虚拟机抢占优先权向量wk。
[0221]
(4)根据步骤(3)获得的边缘节点e的抢占优先权向量wk，作为攻击面控制器观测的虚拟机状态，采用强化学习计算对虚拟机i的行动选择概率hi(ai|oi)，根据概率最大的行动ai＝(v
w,i
,c
w,i
)使得卸载任务抢占虚拟机资源容量；其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量；优选方案采用q-learning进行强化学习计算行动选择概率hi(ai|oi)；
[0222]
所述强化学习具体为：
[0223]
强化学习状态空间s为：受隐形ddos攻击的虚拟机环境状态空间s＝(s
ac
,s
nac
)其中，s
ac
表示虚拟机运行活跃状态，s
nac
表示虚拟机运行不活跃状态，s
t
∈s，为时隙t的状态；
[0224]
攻击面控制器对虚拟机的观测空间δe为边缘节点的数量，oe为边缘节点e的抢占优先权向量wk[0225]
行动空间是时隙t的行动集合，每个行动表示防御者抢占的虚拟机资源容量，行动的个数等于虚拟机的个数。在当前时隙t对虚拟机i采用的行动为：a
t
＝ai＝(v
w,i
,c
w,i
)，其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。在每个时间隙，攻击面控制器使用概率hi(ai|oi)选择一个行动，且
[0226]
时隙t的单步即时奖励r
t
为当防御者在当前状态s
t
使用概率hi(ai|oi)采取行动a
t
时，获得奖励为所有虚拟机的资源服务质量的累加，即：
[0227]
[0228][0229]
约束条件为：(a)有最小的资源使用效能来维持qos需求；和/或
[0230]
(b)表明抢占的最大虚拟机数不超过虚拟机综述；和/或
[0231]
(c)防御者抢占的虚拟资源不能超过其最大值。
[0232]
(1)解决隐形ddos攻击导致的不确定虚拟机执行环境下，模糊博弈防御问题，本发明进一步扩展模糊博弈为强化模糊博弈过程，通过强化模糊博弈，一方面允许防御者优化虚拟机资源抢占策略，同时与边缘节点中虚拟机环境交互，从而获得最优的虚拟机资源抢占策略，抵抗隐形ddos攻击。所有的攻击面控制器作为防御者，以分布式的方式执行虚拟资源抢占行动，攻击面控制器的目标是最大化自己的效用，虚拟机资源抢占策略优化的强化模糊博弈定义为：s表示受隐形ddos攻击的虚拟机环境状态空间，表示攻击面控制器对虚拟机的观测空间，行动空间是时隙t的行动集合，每个行动表示防御者抢占的虚拟机资源容量，行动的个数等于虚拟机的个数，r＝r
t
表示一个在时隙t的单步即时奖励，p表示在边缘虚拟机环境的当前状态s
t
采取的行动为a
t
时，边缘虚拟机环境从当前状态s
t
传递到下一个状态s
t+1
的传递概率。
[0233]
p表示在边缘虚拟机环境的当前状态s
t
采取的行动为a
t
时，边缘虚拟机环境从当前状态s
t
传递到下一个状态s
t+1
的传递概率。
[0234]
在每个时隙t，防御者的目标是通过使用概率hi(ai|oi)采取行动a
t
来在当前状态最大化奖励。在此强化模糊博弈算法中，防御者的主要目标是发现优化策略且最大化系统总的奖励。值函数v
π
:s
→
r给出了防御者从状态s
t
∈s开始的一个整体奖励，并且值函数量化了策略π的值，其中打折因子为γ，总的打折奖励表示如下：
[0235][0236]
令ω为可用的策略空间，然后优化策略表示如下：
[0237][0238]
本发明使用q函数来近似v
π
(s
t
)，由此，可得到：
[0239][0240]
在q学习过程中，防御者观测到当前的状态s
t
，然后使用概率hi(ai|oi)采取行动a
t
，随后，防御者接收到一个奖励r
t
(s
t
,a
t
)且达到状态s
t+1
，根据观测到的奖励更新q函数值，整个过程重复运行，直到输出优化策略π
*
。q函数值的更新方程如下：
[0241][0242]
其中，α为学习率。
[0243]
优化虚拟资源抢占策略的强化模糊博弈框架如图6所示。
[0244]
步骤(4)可采用基于强化模糊博弈的虚拟资源抢占策略优化具体实现，即算法2：
[0245]
算法2：
[0246]
输入：边缘节点集合虚拟机集合初始化：虚拟资源随机抢占行动集合。
[0247]
步骤1：在时隙t,每个边缘节点在所有可用的虚拟机中获得不确定效用。
[0248]
步骤2：防御者使用隶属度函数映射每个虚拟机资源状态的不确定值到模糊空间，并且通过执行算法1获得当前虚拟机抢占优先权向量wk。
[0249]
步骤3：根据wk计算出行动选择概率max{hi(ai|oi)}，并且获得大小为χ
t
的虚拟机集合m
′
。
[0250]
步骤4：从虚拟机集合m
′
中选择虚拟机并执行a
t
＝(v
w,i
,c
w,i
)，观测奖励r
t
(s
t
,a
t
)并传递到下一个状态s
t+1
。
[0251]
步骤5：更新q
t+1
(s
t
,a
t
)。
[0252]
步骤6：计算qose(fe)，如果qose(fe)满足qos阈值则输出当前的虚拟资源抢占行动a
t
，
[0253]
否则转到步骤4，直到qose(fe)满足或虚拟机集合m
′
为空。
[0254]
步骤7：计算u(f)，如果u(f)满足qos
th
，则停止。否则，t＝t+1，并且转到步骤1。
[0255]
输出：所有边缘节点中虚拟机资源抢占行动。
[0256]
在传统的博弈框架中，依赖于博弈收益或奖励去做博弈策略决策，但是，受隐形ddos攻击时，博弈系统变的脆弱，无法确保多轮博弈的稳定收敛。也即，如果攻击面控制器通过观测不确定虚拟资源容量，无法直接求解模糊博弈来获得虚拟资源抢占策略。为解决这个问题，在本发明中，受隐形ddos攻击时，攻击面控制器首先观测不确定虚拟资源容量，并映射到模糊空间，实现学习和更新过程，通过模糊推理获得虚拟机抢占优先权向量，优先权向量表征虚拟机被占用的优先权，然后对高优先权的虚拟机进一步优化虚拟资源抢占策略。本发明的主要优势是通过引入隶属度函数映射的模糊空间，推理出虚拟机抢占优先权，再获得抢占虚拟资源容量行动的模糊效用。因此，本框架能够对抗隐形ddos攻击造成虚拟机环境的不确定性并确保资源服务质量的鲁棒性。
[0257]
本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

技术特征：

1.一种边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，包括以下步骤：(1)对于边缘节点集合中每一边缘节点其部署在网络安全控制节点上的攻击面控制器收集其运行的任务卸载候选的虚拟机集合中每一虚拟机的状态信息，χ
t
为时隙t任务卸载候选的虚拟机的数量；(2)所述攻击面控制器，采用模糊控制器根据步骤(1)获得的边缘节点e的每一任务卸载候选的虚拟机的状态信息映射到模糊空间并评估其抢占优先权并反模糊化为虚拟机权重w
vm
，并评估对于每一任务卸载候选的虚拟机的模糊效用；(3)根据步骤(2)获得的边缘节点e任务卸载候选的虚拟机集合中任务卸载候选的虚拟机的模糊效用按照从达到小的顺序排列获得边缘节点e的抢占优先权向量w
k
；(4)根据步骤(3)获得的边缘节点e的抢占优先权向量w
k
，作为攻击面控制器观测的虚拟机状态，采用强化学习计算对虚拟机i的行动选择概率h
i
(a
i
|o
i
)，根据概率最大的行动a
i
＝(v
w,i
,c
w,i
)使得卸载任务抢占虚拟机资源容量；其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。2.如权利要求1所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，步骤(1)所述状态信息包括cpu资源、存储资源、以及带宽资源，优选为归一化的cpu资源、存储资源、以及带宽资源。3.如权利要求2所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，所述收集所有任务卸载候选的虚拟机其状态信息，分别获得cpu资源向量存储资源向量以及带宽资源向量以及带宽资源向量为虚拟机i的cpu资源，为虚拟机i的存储资源，虚拟机i的带宽资源；归一化的cpu资源按照如下方法计算：归一化的cpu资源的存储资源按照如下方法计算：归一化带宽资源值按照如下方法计算：步骤(2)所述模糊控制器，为多进单出模糊控制器，其中每一输入为任务卸载候选的虚拟机的状态信息中的一种，包括cpu资源、存储资源、以及带宽资源。4.如权利要求3所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，所述模糊
控制器的输入模糊集具体为：cpu资源状态模糊集：低cpu资源状态、中cpu资源状态、以及高cpu资源状态；存储资源状态模糊集：低存储资源状态、中存储资源状态、高存储资源状态；带宽资源状态模糊集：低带宽资源状态、中带宽资源状态、以及带宽资源状态。所述模糊控制器的输出模糊集具体为：虚拟机抢占优先权很低、虚拟机抢占优先权低、虚拟机抢占优先权低中、虚拟机抢占优先权高中、虚拟机抢占优先权高、以及虚拟机抢占优先权很高。5.如权利要求3所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，所述模糊控制器的隶属度函数，采用三角隶属度函数；所述模糊控制器，采用隶属度函数将输入的任务卸载候选的虚拟机的状态信息，映射到模糊空间获得输出模糊；所述模糊控制器，采用隶属度函数将输出模糊反模糊化为虚拟机i权重6.如权利要求3所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，虚拟机i采用以为模糊数的模糊控制器的模糊效用按照如下方法计算：其中，为虚拟机i；为虚拟机i；虚拟机i的资源服务质量，按照如下方法计算：其中ω
e
为边缘节点e的状态，是一个bernoulli随机变量，ω
e
∈{0,1}，边缘节点e处于活跃状态，则ω
e
＝1，否则ω
e
＝0；n
para
为并行执行的任务数；为边缘节点e上虚拟机i中任务的执行率，为边缘节点e虚拟机i的攻击因子，用于表征其受到的隐形ddos攻击态势；其中：按照如下方法计算：其中，为虚拟机i的资源配置与消耗比，计算方法如下：其中，为虚拟机i受攻击的资源容量，为虚拟机i受攻击的资源容量，为对的不完全估计，为有界估计误差；为虚拟机i遭受隐形ddos攻击的程度，表示如下其中ω
e
为边缘节点e的状态，为虚拟机i的虚拟资源的损失；σ为表示正的常数。
7.如权利要求3所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，对于每个边缘虚拟机，如果隐形ddos攻击者导致的虚拟资源损失大于攻击面控制器抢占的虚拟资源并且大于给定的阈值ε时的概率定义为af，af值表示如下：其中，pr{}为取概率函数，为虚拟机的虚拟资源。8.如权利要求3所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，对于任一虚拟机的虚拟资源的损失x∈{z,o}，z表示边缘节点的类型为主节点，o表示边缘节点的类型为副节点，按照如下方法计算：其中，为表示rician因子，表征虚拟机受攻击的强度，虚拟资源损失服从rician分布，为归一化常量表示隐形ddos攻击者对虚拟机造成虚拟资源损失，由资源监控系统通过观测得到；为任务并行执行路径上虚拟资源的损失，是一个服从标准正态分布的估计变量，由标准正态分布函数获得。9.如权利要求1所述的边缘虚拟机受隐形ddos攻击的防护方法，其特征在于，所述步骤(4)采用q-learning进行强化学习计算行动选择概率h
i
(a
i
|o
i
)；所述强化学习具体为：强化学习状态空间s为：受隐形ddos攻击的虚拟机环境状态空间s＝(s
ac
,s
nac
)其中，s
ac
表示虚拟机运行活跃状态，s
nac
表示虚拟机运行不活跃状态，s
t
∈s，为时隙t的状态；攻击面控制器对虚拟机的观测空间
δe
为边缘节点的数量，o
e
为边缘节点e的抢占优先权向量w
k
；行动空间是时隙t的行动集合，每个行动表示防御者抢占的虚拟机资源容量，行动的个数等于虚拟机的个数。在当前时隙t对虚拟机i采用的行动为：a
t
＝a
i
＝(v
w,i
,c
w,i
)，其中v
w,i
表示选择抢占优先权最高的虚拟机i，c
w,i
表示抢占该虚拟机i的虚拟资源容量。在每个时间隙，攻击面控制器使用概率h
i
(a
i
|o
i
)选择一个行动，且时隙t的单步即时奖励r
t
为当防御者在当前状态s
t
使用概率h
i
(a
i
|o
i
)采取行动a
t
时，获得奖励为所有虚拟机的资源服务质量的累加，即：得奖励为所有虚拟机的资源服务质量的累加，即：约束条件为：(a)有最小的资源使用效能来维持qos需求；和/或(b)表明抢占的最大虚拟机数不超过虚拟机综述；和/或(c)防御者抢占的虚拟资源不能超过其最大值。
10.一种边缘虚拟机受隐形ddos攻击的防护系统，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至9任一项所述边缘虚拟机受隐形ddos攻击的防护方法的步骤。

技术总结

本发明公开了一种边缘虚拟机受隐形DDoS攻击的防护方法及系统本发明为抵抗隐形DDoS攻击者对边缘虚拟机的模糊攻击，考虑边缘虚拟机环境的不确定性，引入模糊数来量化虚拟资源的状态，将观测到隐形攻击者的虚拟资源消耗的不确定信息表征为模糊数，建立模糊博弈模型，并利用模糊逻辑对其进行分析和处理。受隐形DDoS攻击的动态虚拟机环境中，由于在观测空间中获得不确定的博弈效用，不能直接用于虚拟机资源的抢占决策，本发明通过模糊推理获得虚拟机调度优先权，进而进行虚拟机资源的抢占决策，从而提出了具有较高鲁棒性的模糊学习算法。法。法。

技术研发人员：

刘建华 乐光学

受保护的技术使用者：

嘉兴学院

技术研发日：

2022.11.24

技术公布日：

2023/3/24