CN104580173B - 一种sdn异常检测与阻截方法及系统 - Google Patents

一种sdn异常检测与阻截方法及系统 Download PDF

Info

Publication number
CN104580173B
CN104580173B CN201410827207.6A CN201410827207A CN104580173B CN 104580173 B CN104580173 B CN 104580173B CN 201410827207 A CN201410827207 A CN 201410827207A CN 104580173 B CN104580173 B CN 104580173B
Authority
CN
China
Prior art keywords
countable
mrow
sdn
hash table
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410827207.6A
Other languages
English (en)
Other versions
CN104580173A (zh
Inventor
陈晓帆
黎志勇
吴广锐
余顺争
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SYSU CMU Shunde International Joint Research Institute
Original Assignee
SYSU CMU Shunde International Joint Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SYSU CMU Shunde International Joint Research Institute filed Critical SYSU CMU Shunde International Joint Research Institute
Priority to CN201410827207.6A priority Critical patent/CN104580173B/zh
Publication of CN104580173A publication Critical patent/CN104580173A/zh
Application granted granted Critical
Publication of CN104580173B publication Critical patent/CN104580173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明提供一种SDN异常检测与阻截方法及系统,所述方法应用于SDN网络,所述方法包括以下步骤:对数据流进行随机采样,得到采样数据包;将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表;在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理;根据预设的阻截机制对异常攻击进行阻截。本发明具有检测率高、数据处理量小的优点。

Description

一种SDN异常检测与阻截方法及系统
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种SDN异常检测与阻截方法及系统。
背景技术
互联网成为我们生活中不可不可或缺的一部分,但网络攻击正严重影响着我们的上网体验和网上信息的安全,DDoS、蠕虫、扫描等分布式网络攻击猖獗,传统网络攻击影响着现代互联网以及未来互联网的安全。分布式协同攻击具有范围广、隐蔽性、同步性的特征。以往的单点IDS(入侵检测系统)观测的流量有限,很难从中检测到分散、隐蔽的攻击流量。
采用分布式数据采集的方法来获得更多数据,从全局视觉来检测隐蔽攻击,能够提高检测率。然而,分布式数据采集获得的数据量一般非常大,需要计算能力强的服务器来对其进行处理。大规模、高速的网络中,分布式采集数据会耗费大量带宽,大量数据涌向中央服务器也容易让其瘫痪。
发明内容
本发明旨在至少在一定程度上解决上述技术问题。
本发明的首要目的是克服现有技术异常攻击检测率低、数据处理量大的缺陷,提供一种检测率高、数据处理量小的SDN异常检测与阻截方法。
本发明的进一步目的是提供一种检测率高、数据处理量小的SDN异常检测与阻截系统。
为解决上述技术问题,本发明的技术方案如下:
一种SDN异常检测与阻截方法,所述方法应用于SDN(软件定义网络)网络,所述方法包括以下步骤:
S1:在交换机的端口对数据流进行随机采样,得到采样数据包;
S2:将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
S3:在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理;
S4:根据预设的阻截机制对异常攻击进行阻截。
在一种优选的方案中,步骤S1中,采用sFlow数据流随机采样技术对数据流进行随机采样,对OpenFlow交换机的单个或多个端口上的流量进行抽样或轮询,采样数据被封装为sFlow数据包,然后加上UDP包头和IP包头进行传输。
在一种优选的方案中,步骤S2中,将采样数据包中的样本数据取出的具体方法为:对采样数据包进行解析,首先去除IP包头,得到其中的UDP包,再去除UDP包头,得到sFlow数据包,采样数据封装在sFlow数据包的Sample Data中。
在一种优选的方案中,所述特征字段包括目的IP地址、源IP地址、目的端口和源端口。
在一种优选的方案中,步骤S2中,更新各个特征字段对应的可计数哈希表的具体方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口和源端口四个字段的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计数哈希表中的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一个键是目的IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值是对应字段具体值在当前统计周期内已经出现的次数。
在一种优选的方案中,步骤S3中,计算所述熵值的方法如下:
计算第j个字段的可计数哈希表中的第i个表项出现的次数所占的比重:
计算第j个字段可计数哈希表的的熵值:
其中m为样本数,Xij为第j个字段的第i个表项在当前统计周期内已经出现的次数,ej为第j个字段可计数哈希表的的熵值,令k=1/lnm,0<ej<1。
在一种优选的方案中,步骤S3中,异常判定阈值的设置方法为:分别计算不同阈值下的检测率和虚警率,得到ROC曲线,根据ROC曲线选择合适的阈值,其中检测率和虚警率的定义如下:
在一种优选的方案中,步骤S3中,发现异常攻击后,依据四个字段对应熵值图的异常情况,得到异常熵值对应的字段组合,再结合攻击的先验知识来判定异常所属类别。
在一种优选的方案中,步骤S4中,对异常攻击进行阻截的机制为以下机制中的一种或多种:
(1)白名单机制:检测异常相关的IP地址是否在白名单中,是则不对该IP进行阻截,否则进行后续的阻截、告警记录操作;
(2)阻截流表项生成和下发机制:对不同类型的异常或攻击提取相应字段项组合,根据异常表项组合动态生成阻截流表项;
(3)异常告警记录机制。
一种SDN异常检测与阻截系统,所述系统应用于SDN网络,所述系统包括:
数据采集模块:用于在交换机的端口对数据流进行随机采样,得到采样数据包;
数据预处理模块:用于将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
异常检测模块:用于在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到计数阈值则判定为异常攻击,否则不进行处理;
异常阻截模块:用于根据预设的阻截机制对异常攻击进行阻截。
在一种优选的方案中,所述阻截机制为白名单机制、阻截流表项生成和下发机制、异常告警记录机制中的一种或多种。
与现有技术相比,本发明技术方案的有益效果是:本发明SDN异常检测与阻截方法,在SDN网络中采用sFlow数据流随机采样技术对数据流进行随机采样,sFlow的架构也是分布式采集数据、集中式处理数据的架构,有效减少采集的过程数据的数据处理量,能够获得更多数据,从全局视觉来检测隐蔽攻击,提高了检测率,适用于中大规模网络和高速网络的安全检测。本发明SDN异常检测与阻截系统是上述方法实现的硬件基础,所述方法和系统结合实现SDN网络中的异常检测与阻截。
附图说明
图1为本发明异常检测与阻截方法的流程图。
图2为采样数据包的格式示意图。
图3为目的IP地址对应的ROC曲线示意图。
图4为本发明异常检测与阻截系统的示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
如图1所示,一种SDN异常检测与阻截方法,所述方法应用于SDN网络,所述方法包括以下步骤:
S1:在交换机的端口对数据流进行随机采样,得到采样数据包;
S2:将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
S3:在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理;
S4:根据预设的阻截机制对异常攻击进行阻截。
在具体实施过程中,步骤S1中,采用sFlow数据流随机采样技术对数据流进行随机采样,对OpenFlow交换机的单个或多个端口上的流量进行抽样或轮询,采样数据被封装为sFlow数据包,然后加上UDP包头和IP包头进行传输。
sFlow是一种数据流随机采样技术,可提供完整的第二层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量环境下的流量分析,如大于10Gbit/s。sFlow对交换机的单个或多个端口上的流量进行抽样或轮询,而不是捕获和记录交换机或路由器端口上的每一个数据包。这些数据包样本被封装为sFlow数据包并转发给网络上的一台sFlow采集服务器。在sFlow采集服务器上,利用算法对样本数据包进行分析处理,从而建立网络传输流的完整模型。
sFlow跟随SDN控制器一同启动,分布在OpenFlow交换机上的sFlow代理把sFlow数据包源源不断地送给位于SDN控制器上的sFlow采集服务器。
在具体实施过程中,步骤S2中,将采样数据包中的样本数据取出的具体方法为:对采样数据包进行解析,首先去除IP包头,得到其中的UDP包,再去除UDP包头,得到sFlow数据包,采样数据封装在sFlow数据包的Sample Data中,采样数据包的格式如图2所示。
在具体实施过程中,所述特征字段包括目的IP地址、源IP地址、目的端口和源端口。
在具体实施过程中,步骤S2中,更新各个特征字段对应的可计数哈希表的具体方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口和源端口四个字段的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计数哈希表中的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一个键是目的IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值是对应字段具体值在当前统计周期内已经出现的次数。
在具体实施过程中,步骤S3中,计算所述熵值的方法如下:
计算第j个字段的可计数哈希表中的第i个表项出现的次数所占的比重:
计算第j个字段可计数哈希表的的熵值:
其中m为样本数,Xij为第j个字段的第i个表项在当前统计周期内已经出现的次数,ej为第j个字段可计数哈希表的的熵值,令k=1/lnm,0<ej<1。
在具体实施过程中,步骤S3中,异常判定阈值的设置方法为:为了得到合适的判定阈值,依据SDN控制器输出的熵值文件分别计算不同阈值下的检测率和虚警率,从而得到ROC曲线,根据ROC曲线选择合适的阈值。其中检测率和虚警率的定义如下:
图3为本实施例的目的IP地址对应的ROC曲线,图中,数据第一列为虚警率,第二列为检测率,第三列为异常判定阈值。箭头所对应的ROC曲线上的点为选定的异常判定阈值,该阈值对应较高的检测率和较低虚警率,具体的阈值为0.573086、检测率为0.8,虚警率为0.103448。
在具体实施过程中,步骤S3中,发现异常攻击后,依据四个字段对应熵值图的异常情况,得到异常熵值对应的字段组合,再结合攻击的先验知识来判定异常所属类别。
在具体实施过程中,步骤S4中,对异常攻击进行阻截的阻截机制为以下机制中的一种或多种:
(1)白名单机制:检测异常相关的IP地址是否在白名单中,是则不对该IP进行阻截,否则进行后续的阻截、告警记录操作。
(2)阻截流表项生成和下发机制:对不同类型的异常攻击提取相应字段项组合,根据异常表项组合动态生成阻截流表项;对不同攻击采用的字段组合,以下是一些例子:
DDoS:目的IP地址,目的端口。
Witty蠕虫:源IP地址,目的端口。
IP地址扫描:源IP地址,源端口,目的端口。
端口扫描:源IP地址,源端口。
(3)异常告警记录机制。
如图4所示,一种SDN异常检测与阻截系统,所述系统应用于SDN网络,所述系统包括:
数据采集模块:用于在交换机的端口对数据流进行随机采样,得到采样数据包;
数据预处理模块:用于将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
异常检测模块:用于流量统计分析、异常检测和异常类型识别。在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到计数阈值则判定为异常攻击,否则不进行处理;
异常阻截模块:用于根据预设的阻截机制对异常攻击进行阻截。
在具体实施过程中,所述阻截机制为白名单机制、阻截流表项生成和下发机制、异常告警记录机制中的一种或多种。
本发明SDN异常检测与阻截方法,在SDN网络中采用sFlow数据流随机采样技术对数据流进行随机采样,sFlow的架构也是分布式采集数据、集中式处理数据的架构,有效减少采集的过程数据的数据处理量,能够获得更多数据,从全局视觉来检测隐蔽攻击,提高了检测率,适用于中大规模网络和高速网络的安全检测。本发明SDN异常检测与阻截系统是上述方法实现的硬件基础,所述方法和系统结合实现SDN网络中的异常检测与阻截。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (9)

1.一种SDN异常检测与阻截方法,所述方法应用于SDN网络,其特征在于,所述方法包括以下步骤:
S1:在交换机的端口对数据流进行随机采样,得到采样数据包;
S2:将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
所述特征字段包括目的IP地址、源IP地址、目的端口和源端口,更新各个特征字段对应的可计数哈希表的具体方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口或源端口四个字段的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计数哈希表中的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一个键是目的IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值是对应字段具体值在当前统计周期内已经出现的次数;
S3:在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理;
S4:根据预设的阻截机制对异常攻击进行阻截。
2.根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S1中,采用sFlow数据流随机采样技术对数据流进行随机采样,对OpenFlow交换机的单个或多个端口上的流量进行抽样或轮询,采样数据被封装为sFlow数据包,然后加上UDP包头和IP包头进行传输。
3.根据权利要求2所述的SDN异常检测与阻截方法,其特征在于,步骤S2中,将采样数据包中的样本数据取出的具体方法为:对采样数据包进行解析,首先去除IP包头,得到其中的UDP包,再去除UDP包头,得到sFlow数据包,采样数据封装在sFlow数据包的Sample Data中。
4.根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,计算所述熵值的方法如下:
计算第j个字段的可计数哈希表中的第i个表项出现的次数所占的比重:
<mrow> <msub> <mi>P</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mfrac> <msub> <mi>X</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msub> <mi>X</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> </mrow> </mfrac> <mo>,</mo> <mi>j</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>,</mo> <mo>...</mo> <mo>,</mo> <mi>m</mi> </mrow>
计算第j个字段可计数哈希表的的熵值:
<mrow> <msub> <mi>e</mi> <mi>j</mi> </msub> <mo>=</mo> <mo>-</mo> <mi>k</mi> <mo>*</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msub> <mi>P</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>*</mo> <mi>l</mi> <mi>o</mi> <mi>g</mi> <mrow> <mo>(</mo> <msub> <mi>P</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow>
其中m为样本数,Xij为第j个字段的第i个表项在当前统计周期内已经出现的次数,ej为第j个字段可计数哈希表的的熵值,令k=1/lnm,0<ej<1。
5.根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,异常判定阈值的设置方法为:分别计算不同阈值下的检测率和虚警率,得到ROC曲线,根据ROC曲线选择合适的阈值,其中检测率和虚警率的定义如下:
6.根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,发现异常攻击后,依据四个字段对应熵值图的异常情况,得到异常熵值对应的字段组合,再结合攻击的先验知识来判定异常所属类别。
7.根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S4中,对异常攻击进行阻截的机制为以下机制中的一种或多种:
(1)白名单机制:检测异常相关的IP地址是否在白名单中,是则不对该IP进行阻截,否则进行后续的阻截、告警记录操作;
(2)阻截流表项生成和下发机制:对不同类型的异常或攻击提取相应字段项组合,根据异常表项组合动态生成阻截流表项;
(3)异常告警记录机制。
8.一种SDN异常检测与阻截系统,所述系统应用于SDN网络,其特征在于,所述系统包括:
数据采集模块:用于在交换机的端口对数据流进行随机采样,得到采样数据包;
数据预处理模块:用于将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已经出现的次数;
所述特征字段包括目的IP地址、源IP地址、目的端口和源端口,更新各个特征字段对应的可计数哈希表的具体方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口或源端口四个字段的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计数哈希表中的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一个键是目的IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值是对应字段具体值在当前统计周期内已经出现的次数;
异常检测模块:用于在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到计数阈值则判定为异常攻击,否则不进行处理;
异常阻截模块:用于根据预设的阻截机制对异常攻击进行阻截。
9.根据权利要求8所述的SDN异常检测与阻截系统,其特征在于,所述阻截机制为白名单机制、阻截流表项生成和下发机制、异常告警记录机制中的一种或多种。
CN201410827207.6A 2014-12-25 2014-12-25 一种sdn异常检测与阻截方法及系统 Active CN104580173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410827207.6A CN104580173B (zh) 2014-12-25 2014-12-25 一种sdn异常检测与阻截方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410827207.6A CN104580173B (zh) 2014-12-25 2014-12-25 一种sdn异常检测与阻截方法及系统

Publications (2)

Publication Number Publication Date
CN104580173A CN104580173A (zh) 2015-04-29
CN104580173B true CN104580173B (zh) 2017-10-10

Family

ID=53095354

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410827207.6A Active CN104580173B (zh) 2014-12-25 2014-12-25 一种sdn异常检测与阻截方法及系统

Country Status (1)

Country Link
CN (1) CN104580173B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104931255A (zh) * 2015-06-04 2015-09-23 中国航空工业集团公司上海航空测控技术研究所 一种用于评价齿轮箱故障特征参数优劣的方法
CN105429950B (zh) * 2015-10-29 2019-04-23 国家计算机网络与信息安全管理中心 一种基于动态数据包采样的网络流量识别系统和方法
CN106559407A (zh) * 2015-11-19 2017-04-05 国网智能电网研究院 一种基于sdn的网络流量异常监测系统
CN107196891B (zh) 2016-03-15 2020-02-14 华为技术有限公司 数据流转发异常检测方法、控制器和系统
WO2017206499A1 (zh) * 2016-05-31 2017-12-07 华为技术有限公司 网络攻击检测方法以及攻击检测装置
EP3282665B1 (en) 2016-08-10 2021-01-27 Nokia Solutions and Networks Oy Anomaly detection in software defined networking
CN106101163A (zh) * 2016-08-29 2016-11-09 北京工业大学 基于OpenFlow的网络架构安全监控系统
CN108011740B (zh) * 2016-10-28 2021-04-30 腾讯科技(深圳)有限公司 一种媒体流量数据处理方法和装置
CN106506264B (zh) * 2016-10-31 2019-11-19 中国科学院信息工程研究所 一种基于sdn的自定义数据包采样方法
TWI641251B (zh) 2016-11-18 2018-11-11 財團法人工業技術研究院 網路流量監控方法與系統
CN108183864B (zh) * 2018-01-29 2020-12-04 中国人民解放军国防科技大学 基于ids反馈的软件定义网络流采样方法及系统
CN109302378B (zh) * 2018-07-13 2021-01-05 哈尔滨工程大学 一种SDN网络DDoS攻击检测方法
CN110149239B (zh) * 2019-04-01 2022-10-14 电子科技大学 一种基于sFlow的网络流量监控方法
CN110535888B (zh) * 2019-10-12 2022-03-29 广州西麦科技股份有限公司 端口扫描攻击检测方法及相关装置
CN113595995A (zh) * 2021-07-12 2021-11-02 中国联合网络通信集团有限公司 一种容器零信任安全防护方法及系统
CN113709125A (zh) * 2021-08-18 2021-11-26 北京明略昭辉科技有限公司 一种异常流量的确定方法、装置、存储介质及电子设备
CN114866350B (zh) * 2022-07-06 2022-09-27 南京明博互联网安全创新研究院有限公司 Sdn数据平面低速率攻击检测方法及系统
CN115550065B (zh) * 2022-11-25 2023-03-03 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102456032A (zh) * 2010-10-22 2012-05-16 北京启明星辰信息技术股份有限公司 数据库安全保护方法和装置
CN103281336A (zh) * 2013-06-19 2013-09-04 上海众恒信息产业股份有限公司 网络入侵检测方法
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN104104561A (zh) * 2014-08-11 2014-10-15 武汉大学 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60116877T2 (de) * 2000-08-11 2006-09-14 British Telecommunications P.L.C. System und verfahren zum erfassen von ereignissen
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
US9130977B2 (en) * 2012-04-18 2015-09-08 Radware, Ltd. Techniques for separating the processing of clients' traffic to different zones

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102456032A (zh) * 2010-10-22 2012-05-16 北京启明星辰信息技术股份有限公司 数据库安全保护方法和装置
CN103281336A (zh) * 2013-06-19 2013-09-04 上海众恒信息产业股份有限公司 网络入侵检测方法
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN104104561A (zh) * 2014-08-11 2014-10-15 武汉大学 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统

Also Published As

Publication number Publication date
CN104580173A (zh) 2015-04-29

Similar Documents

Publication Publication Date Title
CN104580173B (zh) 一种sdn异常检测与阻截方法及系统
CN108632224B (zh) 一种apt攻击检测方法和装置
CN106357673B (zh) 一种多租户云计算系统DDoS攻击检测方法及系统
CN104937886B (zh) 日志分析装置、信息处理方法
CN105429963B (zh) 基于Modbus/Tcp的入侵检测分析方法
CN101686235B (zh) 网络异常流量分析设备和方法
CN108494746A (zh) 一种网络端口流量异常检测方法及系统
CN101640666B (zh) 一种面向目标网络的流量控制装置及方法
CN107404400A (zh) 一种网络态势感知实现方法及装置
Oshima et al. Early DoS/DDoS detection method using short-term statistics
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN107733937A (zh) 一种异常网络流量检测方法
CN105282169B (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN101184094B (zh) 一种适于局域网环境的网络节点扫描检测方法和系统
CN105187437B (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN101383694A (zh) 基于数据挖掘技术的拒绝服务攻击防御方法和系统
CN104660464B (zh) 一种基于非广延熵的网络异常检测方法
CN111817982A (zh) 一种面向类别不平衡下的加密流量识别方法
CN104734916B (zh) 一种基于tcp协议的高效多级异常流量检测方法
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
CN109768952A (zh) 一种基于可信模型的工控网络异常行为检测方法
CN107370752A (zh) 一种高效的远控木马检测方法
CN107302534A (zh) 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN106330611A (zh) 一种基于统计特征分类的匿名协议分类方法
CN113114694A (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant