CN106411943A - 基于概率延迟的sdn网络主动防御系统及其方法 - Google Patents
基于概率延迟的sdn网络主动防御系统及其方法 Download PDFInfo
- Publication number
- CN106411943A CN106411943A CN201611055412.0A CN201611055412A CN106411943A CN 106411943 A CN106411943 A CN 106411943A CN 201611055412 A CN201611055412 A CN 201611055412A CN 106411943 A CN106411943 A CN 106411943A
- Authority
- CN
- China
- Prior art keywords
- delay
- sdn
- packet
- module
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明涉及一种基于概率延迟的SDN网络主动防御系统及其方法,该系统包含与交换机连接的SDN控制器,所述SDN控制器包含延迟管理模块、数据包处理模块,其中,延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。本发明针对SDN网络所面临的探测扫描,提出一种基于概率的数据包延迟策略,以可调整的概率去延迟SDN网络对数据包的响应;该策略旨在干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小,有效保证SDN网络安全。
Description
技术领域
本发明属于计算机网络安全技术领域,特别涉及一种基于概率延迟的SDN网络主动防御系统及其方法。
背景技术
软件定义网络SDN旨在抽象并解耦控制平面与数据转发平面,并提供更加灵活的管理与扩展。数据平面根据转发规则高速地转发包,而控制平面要么将流规则下发给数据平面,要么根据需要处理一部分包。SDN架构中的控制和转发元件是控制器和转发设备(如交换机),可以看到,控制器是SDN网络的核心,负责下发转发规则到数据转发平面。SDN网络探测方法利用SDN控制器处理数据包比数据转发平面转发数据包慢一个数量级的特点,通过发送一系列探测数据包,根据其响应时间或往返时间来推测该网络是否为SDN网络或者推测该SDN网络控制器的配置信息。
SDN网络扫描探测存在两种攻击方式,一种是SDN网络指纹探测,一种是SDN控制平面时间探测,两者均利用了SDN控制平面制定策略下发来转发数据包的时间比数据平面直接转发数据包的时间多的特点来实施探测。指纹探测通过发送一系列的流量到网络中,如图1所示,利用SDN网络控制平面首次处理数据流时需要安装相应的流规则而造成较大的时延,之后数据转发平面直接处理该数据流的数据包时则时延较小的特点,探测SDN网络的流程图,由于SDN网络在接收到新的数据流时,需要上传到SDN控制器制定新的流规则下发到流表中,而之后该数据流进入SDN网络的数据包就由数据平面直接根据流表进行转发,前后转发需要的时间不在一个数量级上,因此可以根据数据流前后数据包的转发响应时间来判断该网络是否为SDN网络。SDN控制平面时间探测是SDN网络指纹探测的升级版本,通过发送时间探测数据包和测试数据包两种数据包来探测SDN控制器上的流策略以及控制器配置,该探测方式根据控制平面的负载以及测试数据包的种类,能够判断控制平面是否处理未知源/目的MAC(媒体访问控制)地址、哪些流量被控制器处理、哪些流规则已经安装在OpenFlow交换机的流表中、流规则的哪些域设置了通配符等信息。这两种探测严重影响到SDN网络的安全,因此,需要一种新的针对软件定义网络SDN扫描探测的主动防御技术,来保证SDN网络使用中的安全性能。
发明内容
针对现有技术中的不足,本发明提供一种基于概率延迟的SDN网络主动防御系统及其方法,通过基于随机概率的数据包延迟策略,可以动态调整SDN网络中数据包的响应,干扰探测者接收到的时间差信息,尽可能降低延迟策略对SDN网络带来的额外负载,能够有效影响SDN网络探测的统计结果,保证SDN网络的安全性能。
按照本发明所提供的设计方案,一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,所述SDN控制器包含延迟管理模块、数据包处理模块,其中,延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。
上述的,延迟管理模块包含数据接收模块、Hash模块、策略管理模块、优先级队列模块,其中,数据接收模块,用于接收交换机反馈的数据包,并将其发送给Hash模块;Hash模块,用于提取数据流五元组,生成哈希值,并存储在哈希表中;策略管理模块,通过随机概率延迟策略来判决数据包是否需要延迟,若需要延迟,计算其延迟时间,并将数据包及其对应的延迟时间反馈至优先级队列模块,否则,将数据包反馈至数据包处理模块;优先级队列模块,用于存储数据包及其对应的延迟时间和入队时间,并根据优先级将相应的数据包反馈至数据包处理模块。
其中,Hash模块还包含计数器,通过哈希值遍历哈希表,若哈希值已存在于哈希表中,则计数器加1。
其中,随机概率延迟策略通过数学模型生成相应的延迟概率,并将延迟概率与随机变量r进行比对来判决对应数据包是否需要被延迟,其中,r=Random(0,1)。
其中,数学模型表示为:p=θ×(α×βγ×c×cosγc+δc+ε),其中,p是延迟概率值,c是计数器值,θ,α,β,γ,δ,ε是非负常数。
一种基于概率延迟的SDN网络主动防御方法,包含如下步骤:
步骤A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟;
步骤B、对数据包进行报文处理并反馈至交换机。
上述的,步骤A中通过随机概率延迟策略对数据包进行延迟,具体包含如下内容:
步骤A1:提取数据流中的五元组,生成哈希值,并存储在哈希表中;
步骤A2:通过概率计算数学模型及随机变量r判决数据包是否需要被延迟,若需要被延迟,则计算其延迟时间dt,并将数据包、其延迟时间及入队时间存储至优先级队列,进入步骤A3,其中,随机变量r=Random(0,1);否则,进入步骤B;
步骤A3:优先级队列根据存储的数据包、延迟时间及入队时间进行处理,其中数据包元素满足延迟时间,则进入步骤B。
上述的,步骤A1还包含如下内容:通过哈希值遍历哈希表,若该哈希值已存在哈希表中,则计数器计数加1。
上述的,步骤A2具体包含如下内容:
步骤A21:根据数学模型p=θ×(α×βγ×c×cosγc+δc+ε),计算延迟概率,其中,p是延迟概率值,c是计数器计数值,θ,α,β,γ,δ,ε是非负常数;
步骤A22:判断该数据包是否属于SDN控制器处理类型,若属于,则执行步骤A23;否则,根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则生成包含数据包输出动作、控制器去向值的流规则,并将该流规则安装到相应的交换机上,否则进行步骤A23;
步骤A23:根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则计算数据包延迟时间dt,并将数据包、其延迟时间dt及入队时间存储至优先级队列,进入步骤A3执行;否则,直接执行步骤A3。
上述的,步骤A23中计算数据包延迟时间dt,通过SDN控制器中数据包平均往返时间t,并根据dt=Random(0,t/2)计算出数据包延迟时间。
本发明的有益效果:
1、本发明针对SDN网络所面临的探测扫描,提出一种基于概率的数据包延迟策略,以可调整的概率去延迟SDN网络对数据包的响应;该策略旨在干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小。
2、本发明通过随机概率延迟策略,对OpenFlow协议和OpenFlow交换机自身功能没有影响,且更容易部署与应用;通过SDN控制器灵活地实现概率延迟;对OpenFlow交换机转发队列影响不大;本发明考虑网络流量的特点,针对SDN网络探测,提出一个低消耗且可有效干扰探测结果的策略,便于实现,对抗SDN网络探测效果显著,具有很高的实用价值。
附图说明:
图1为SDN网络探测流程图;
图2为本发明的系统架构图;
图3为实施例二的系统架构图;
图4为本发明的方法流程图;
图5为数据包流经SDN网络中的OpenFlow交换机时正常转发示意图;
图6为数据包流经SDN网络中的OpenFlow交换机时被上传到SDN控制器处理导致延迟情况示意图;
图7为需要SDN控制器处理的数据包被SDN控制器正常处理情况的示意图;
图8为需要SDN控制器处理的数据包在SDN控制器中被延迟一段时间后再处理情况的示意图;
图9为随机概率延迟策略中延迟概率取值数学模型示意图。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图2所示,一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,所述SDN控制器包含延迟管理模块、数据包处理模块,其中,延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。
本发明在延迟管理模块,通过随机概率延迟策略干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小。
实施例二,参见图3所示,与实施例一基本相同,不同之处在于:延迟管理模块包含数据接收模块、Hash模块、策略管理模块、优先级队列模块,其中,数据接收模块,用于接收交换机反馈的数据包,并将其发送给Hash模块;Hash模块,用于提取数据流五元组,生成哈希值,并存储在哈希表中;策略管理模块,通过随机概率延迟策略来判决数据包是否需要延迟,若需要延迟,计算其延迟时间,并将数据包及其对应的延迟时间反馈至优先级队列模块,否则,将数据包反馈至数据包处理模块;优先级队列模块,用于存储数据包及其对应的延迟时间和入队时间,并根据优先级将相应的数据包反馈至数据包处理模块。
其中,Hash模块还包含计数器,通过哈希值遍历哈希表,若哈希值已存在于哈希表中,则计数器加1。
其中,随机概率延迟策略通过数学模型生成相应的延迟概率,并将延迟概率与随机变量r进行比对来判决对应数据包是否需要被延迟,其中,r=Random(0,1)。
其中,数学模型表示为:p=θ×(α×βγ×c×cosγc+δc+ε),其中,p是延迟概率值,c是计数器值,θ,α,β,γ,δ,ε是非负常数。
通过随机概率延迟策略,对OpenFlow协议和OpenFlow交换机自身功能没有影响,且更容易部署与应用;通过SDN控制器灵活地实现概率延迟;对OpenFlow交换机转发队列影响不大;本发明考虑网络流量的特点,针对SDN网络探测,提出一个低消耗且可有效干扰探测结果的策略,便于实现,对抗SDN网络探测效果显著。
实施例二,参见图4所示,一种基于概率延迟的SDN网络主动防御方法,包含如下步骤:
步骤A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟;
步骤B、对数据包进行报文处理并反馈至交换机。
通过随机概率延迟策略干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小,有效保证SDN网络的安全。
实施例三,参见图4~9所示,一种基于概率延迟的SDN网络主动防御方法,具体内容如下:
A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟,具体包含如下内容:
A1:提取数据流中的五元组,生成哈希值,并存储在哈希表中,通过哈希值遍历哈希表,若该哈希值已存在哈希表中,则计数器计数加1。
A2:通过概率计算数学模型及随机变量r判决数据包是否需要被延迟,具体内容如下:
步骤A21:根据数学模型p=θ×(α×βγ×c×cosγc+δc+ε),计算延迟概率,其中,p是延迟概率值,c是计数器计数值,θ,α,β,γ,δ,ε是非负常数。
步骤A22:判断该数据包是否属于SDN控制器处理类型,若属于,则执行步骤A23;否则,根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则生成包含数据包输出动作、控制器去向值的流规则,并将该流规则安装到相应的交换机上,否则执行步骤A23。
步骤A23:根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则通过SDN控制器中数据包平均往返时间t,并根据dt=Random(0,t/2)计算出数据包延迟时间计算数据包延迟时间dt,并将数据包、其延迟时间dt及入队时间存储至优先级队列,进入步骤A3执行;否则,直接执行步骤A3。
步骤A3:优先级队列根据存储的数据包、延迟时间及入队时间进行处理,其中数据包元素满足延迟时间,则进入步骤B。
B、对数据包进行报文处理并反馈至交换机。
为进一步验证本发明的有效性,下面结合具体实例做进一步解释说明:
SDN网络探测根据数据包的不同响应时间来探测了解SDN网络,本发明根据该探测的这一特点,提出一种以特定概率随机延迟数据包的防御策略。
A.可调节概率值
对每一个数据包都延迟随机一段时间可有效抵御SDN网络探测,但也会提高系统负载,因为所有的正常数据流也被延迟了。由于探测者需要做统计分析,并且需要进行大量的探测测试,因此可以对这些探测测试的一部分进行区别对待,以影响探测者的探测统计结果。该概率延迟方式与延迟每个数据包相比,能降低对网络性能的影响。
为实现这一点,提出可调概率,允许一个数据包以特定概率被延迟,并提出调控策略来调整这个概率,使其对探测数据包有不良影响,同时保持正常流量有更好的性能。
可调概率定义为p(0<p<1),随机变量r=Random(0,1)。当r小于等于/大于p(r≤p/r>p),称其数据包延迟在概率内/概率外(在概率内延迟,在概率外不延迟)。所以一个数据包是否会被延迟,取决于随机变量r和概率值p。
假设正常情况下,从主机发来的第i个数据包packeti的往返时间(RTT)是ti,延迟时间为dti,则该数据包延迟后的RTT可以表示为:
B.延迟方式
在SDN控制器中延迟数据包,该方法在延迟数据包中有两种情况:
在第一种情况下,如图5所示,一个数据包匹配到流规则,它本应该被转发到交换机的另一个端口,但通过设置值为OFPP_CONTROLLER、OpenFlow动作为OFPAT_OUTPUT转发到了SDN控制器,这就意味着数据包将被转发到SDN控制器,并由其处理,如图6所示。因此,数据包以这种间接的方式被延迟了。
在第二种情况下,发送到SDN控制器的数据包需要响应(如图7所示),可以在SDN控制器处理之前被延迟一定时间(如图8所示)。这种方法的优点是:1)对OpenFlow协议和OpenFlow交换机没有影响,使得它更容易部署与应用;2)使用SDN控制器可灵活地实现延迟策略;3)对交换机转发队列影响不大。
C.延迟策略
SDN控制器在SDN网络中扮演着重要的角色,本发明将延迟方案部署在SDN控制器上,其架构如图3所示描述了延迟策略架构中的功能模块和功能模块之间的依赖关系。
在该架构上,SDN控制器收到来自OpenFlow交换机的数据包,并将该数据包送往Hash(哈希)模块。一条数据流的五元组(包含源MAC地址、目标MAC地址、源IP地址、目标IP地址和传输层协议)可以在该网络中唯一标识该条数据流。Hash模块提取一个流的五元组并生成一个哈希值存储在哈希表中。哈希表的表项如表1所示:
表1哈希表项
键 | 值 |
一条数据流的哈希值 | 数据流的计数值 |
如果一条数据流的哈希值命中了该哈希表(假设不存在碰撞),即该哈希值已经存在于该哈希表中,则认为该条数据流的数据包再次被送往了SDN控制器,其哈希表中对应的计数器的值加1,概率值与计数值相关。
策略模型根据相应的概率值决定是否对一个报文进行延迟。如ARP(地址解析协议)请求等只能由SDN控制器处理的报文称作控制器处理报文(CHM)。其他报文如果匹配了动作为Packet-in的规则,也会有机会被延迟。该策略模型中的策略收到一个报文时的算法如下算法1所示:
优先级队列存储需要处理的报文及其延迟时间和入队时间。优先级队列能够高效地插入一个元素,并且当该元素到期后弹出。SDN控制器的报文处理模块接收并处理优先级队列弹出的报文。
D.概率值计算
为了保持SDN网络的性能,概率值应该根据探测特征相应地进行调整。
针对指纹探测的FirstPacket(首个数据包)处理时间较长,LastPacket(后继数据包)处理时间较短的特点,对数据流的前几个或第一个数据包,延迟的概率值应该较大,对后续数据包的延迟概率应该降低。
针对时间探测持续低速地发送时间探测数据包到SDN控制器的特点,延迟概率值应该不断地浮动来扰乱时间探测数据包的RTT。
为了满足以上特点,产生了下面这个数学模型:
p=θ×(α×βγ×c×cosγc+δc+ε)
式中p是概率值,c是计数值,θ,α,β,γ,δ,ε是非负常数。
图9延迟策略中概率值的取值数学模型中所示为当θ=0.53,α=0.5,β=0.95,γ=0.5,δ=0.98,ε=0.25时,概率值p随着计数值c变化情况。
为防御SDN网络探测,针对其利用SDN控制平面与转发平面对数据包处理时间存在明显差异的特点,提出一种高效的基于概率延迟策略的SDN探测防御系统及其方法;通过采用延迟策略,旨在迷惑探测者,将探测者用来探测的数据包延迟后,使其难以正确判断网络类型以及网络中的配置信息,并且设计了一个概率取值模型来约束延迟行为,能够将正常流量延迟的概率降低,而将探测流量延迟的概率提高,从而保持SDN网络性能不被明显降低的情况下抵御SDN网络探测。
本发明不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
Claims (10)
1.一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,其特征在于:所述SDN控制器包含延迟管理模块、数据包处理模块;
延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;
数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。
2.根据权利要求1所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述的延迟管理模块包含数据接收模块、Hash模块、策略管理模块、优先级队列模块;
数据接收模块,用于接收交换机反馈的数据包,并将其发送给Hash模块;
Hash模块,用于提取数据流五元组,生成哈希值,并存储在哈希表中;
策略管理模块,通过随机概率延迟策略来判决数据包是否需要延迟,若需要延迟,计算其延迟时间,并将数据包及其对应的延迟时间反馈至优先级队列模块,否则,将数据包反馈至数据包处理模块;
优先级队列模块,用于存储数据包及其对应的延迟时间和入队时间,并根据优先级将相应的数据包反馈至数据包处理模块。
3.根据权利要求2所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述Hash模块还包含计数器,通过哈希值遍历哈希表,若哈希值已存在于哈希表中,则计数器加1。
4.根据权利要求3所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述随机概率延迟策略通过数学模型生成相应的延迟概率,并将延迟概率与随机变量r进行比对来判决对应数据包是否需要被延迟,其中,r=Random(0,1)。
5.根据权利要求4所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述数学模型表示为:p=θ×(α×βγ×c×cosγc+δc+ε),其中,p是延迟概率值,c是计数器值,θ,α,β,γ,δ,ε是非负常数。
6.一种基于概率延迟的SDN网络主动防御方法,其特征在于:包含如下步骤:
步骤A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟;
步骤B、对数据包进行报文处理并反馈至交换机。
7.根据权利要求6所述的基于概率延迟的SDN网络主动防御方法,其特征在于:步骤A中通过随机概率延迟策略对数据包进行延迟,具体包含如下内容:
步骤A1:提取数据流中的五元组,生成哈希值,并存储在哈希表中;
步骤A2:通过概率计算数学模型及随机变量r判决数据包是否需要被延迟,若需要被延迟,则计算其延迟时间dt,并将数据包、其延迟时间及入队时间存储至优先级队列,进入步骤A3,其中,随机变量r=Random(0,1);否则,进入步骤B;
步骤A3:优先级队列根据存储的数据包、延迟时间及入队时间进行处理,其中数据包元素满足延迟时间,则进入步骤B。
8.根据权利要求7所述的基于概率延迟的SDN网络主动防御方法,其特征在于:所述步骤A1还包含如下内容:通过哈希值遍历哈希表,若该哈希值已存在哈希表中,则计数器计数加1。
9.根据权利要求8所述的基于概率延迟的SDN网络主动防御方法,其特征在于:步骤A2具体包含如下内容:
步骤A21:根据数学模型p=θ×(α×βγ×c×cosγc+δc+ε),计算延迟概率,其中,p是延迟概率值,c是计数器计数值,θ,α,β,γ,δ,ε是非负常数;
步骤A22:判断该数据包是否属于SDN控制器处理类型,若属于,则执行步骤A23;否则,根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则生成包含数据包输出动作、控制器去向值的流规则,并将该流规则安装到相应的交换机上,否则执行步骤A23;
步骤A23:根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则计算数据包延迟时间dt,并将数据包、其延迟时间dt及入队时间存储至优先级队列,进入步骤A3执行;否则,直接执行步骤A3。
10.根据权利要求9所述的基于概率延迟的SDN网络主动防御方法,其特征在于:所述步骤A23中计算数据包延迟时间dt,通过SDN控制器中数据包平均往返时间t,并根据dt=Random(0,t/2)计算出数据包延迟时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611055412.0A CN106411943A (zh) | 2016-11-25 | 2016-11-25 | 基于概率延迟的sdn网络主动防御系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611055412.0A CN106411943A (zh) | 2016-11-25 | 2016-11-25 | 基于概率延迟的sdn网络主动防御系统及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106411943A true CN106411943A (zh) | 2017-02-15 |
Family
ID=58082222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611055412.0A Pending CN106411943A (zh) | 2016-11-25 | 2016-11-25 | 基于概率延迟的sdn网络主动防御系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106411943A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107330364A (zh) * | 2017-05-27 | 2017-11-07 | 上海交通大学 | 一种基于cGAN网络的人群计数方法及系统 |
CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
CN110138777A (zh) * | 2019-05-15 | 2019-08-16 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN110177060A (zh) * | 2019-05-15 | 2019-08-27 | 华中科技大学 | 一种面向sdn网络的时序侧信道攻击的主动防御方法 |
CN112889254A (zh) * | 2018-11-02 | 2021-06-01 | 华为技术有限公司 | 使用策略处理数据包的方法和系统 |
CN114666169A (zh) * | 2022-05-24 | 2022-06-24 | 杭州安恒信息技术股份有限公司 | 一种扫描探测类型的识别方法、装置、设备及介质 |
CN114978705A (zh) * | 2022-05-24 | 2022-08-30 | 桂林电子科技大学 | 一种面向sdn指纹攻击的防御方法 |
-
2016
- 2016-11-25 CN CN201611055412.0A patent/CN106411943A/zh active Pending
Non-Patent Citations (1)
Title |
---|
HUIQIANG YUWEN,ET AL: "Probability-Based Delay Scheme for Resisting SDN Scanning", 《2016 2ND IEEE INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATIONS(ICCC)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107330364A (zh) * | 2017-05-27 | 2017-11-07 | 上海交通大学 | 一种基于cGAN网络的人群计数方法及系统 |
CN107330364B (zh) * | 2017-05-27 | 2019-12-03 | 上海交通大学 | 一种基于cGAN网络的人群计数方法及系统 |
CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
CN112889254A (zh) * | 2018-11-02 | 2021-06-01 | 华为技术有限公司 | 使用策略处理数据包的方法和系统 |
US11297530B2 (en) | 2018-11-02 | 2022-04-05 | Huawei Technologies Co., Ltd. | Method and system for using policy to handle packets |
CN110138777A (zh) * | 2019-05-15 | 2019-08-16 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN110177060A (zh) * | 2019-05-15 | 2019-08-27 | 华中科技大学 | 一种面向sdn网络的时序侧信道攻击的主动防御方法 |
CN110138777B (zh) * | 2019-05-15 | 2020-03-17 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN110177060B (zh) * | 2019-05-15 | 2020-12-08 | 华中科技大学 | 一种面向sdn网络的时序侧信道攻击的主动防御方法 |
CN114666169A (zh) * | 2022-05-24 | 2022-06-24 | 杭州安恒信息技术股份有限公司 | 一种扫描探测类型的识别方法、装置、设备及介质 |
CN114978705A (zh) * | 2022-05-24 | 2022-08-30 | 桂林电子科技大学 | 一种面向sdn指纹攻击的防御方法 |
CN114978705B (zh) * | 2022-05-24 | 2023-07-11 | 桂林电子科技大学 | 一种面向sdn指纹攻击的防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106411943A (zh) | 基于概率延迟的sdn网络主动防御系统及其方法 | |
CN110753064B (zh) | 机器学习和规则匹配融合的安全检测系统 | |
CN109617931B (zh) | 一种SDN控制器的DDoS攻击防御方法及防御系统 | |
US10999323B2 (en) | Network gateway spoofing detection and mitigation | |
US9231967B2 (en) | Apparatus and method for detecting in-vehicle network attack | |
US7672293B2 (en) | Hardware throttling of network traffic sent to a processor based on new address rates | |
US20140040459A1 (en) | System and method for data communication using a classified flow table in openflow networks | |
Law et al. | Energy-efficient link-layer jamming attacks against wireless sensor network MAC protocols | |
Li et al. | Low-complexity multi-resource packet scheduling for network function virtualization | |
US20090046581A1 (en) | Flow Estimator | |
US10567426B2 (en) | Methods and apparatus for detecting and/or dealing with denial of service attacks | |
CN108667853A (zh) | 恶意攻击的检测方法和装置 | |
US20110239301A1 (en) | Technique of detecting denial of service attacks | |
CN102638474B (zh) | 一种应用层DDoS分布式拒绝服务攻击防御方法 | |
CN108183917A (zh) | 基于软件定义网络的DDoS攻击跨层协同检测方法 | |
Yao et al. | Detection and defense of cache pollution attacks using clustering in named data networks | |
WO2020103574A1 (zh) | 报文处理方法及装置、存储介质 | |
CN112119613A (zh) | 具有流大小检测器的转发元件数据平面 | |
CN106027497A (zh) | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 | |
Dempsey et al. | Intelligent sensing and classification in ad hoc networks: a case study | |
CN113630420A (zh) | 一种基于SDN的DDoS攻击检测方法 | |
CN109787861B (zh) | 网络数据延迟控制方法 | |
Matsumoto et al. | Adaptive Bloom filter: A space-efficient counting algorithm for unpredictable network traffic | |
US7843829B1 (en) | Detection and recovery from control plane congestion and faults | |
CN110177060A (zh) | 一种面向sdn网络的时序侧信道攻击的主动防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170215 |