CN107018129A - 一种基于多维Renyi交叉熵的DDoS攻击检测系统 - Google Patents
一种基于多维Renyi交叉熵的DDoS攻击检测系统 Download PDFInfo
- Publication number
- CN107018129A CN107018129A CN201710166434.2A CN201710166434A CN107018129A CN 107018129 A CN107018129 A CN 107018129A CN 201710166434 A CN201710166434 A CN 201710166434A CN 107018129 A CN107018129 A CN 107018129A
- Authority
- CN
- China
- Prior art keywords
- attack
- renyi
- address
- source
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 claims abstract description 40
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 230000000116 mitigating effect Effects 0.000 claims abstract description 7
- 230000005540 biological transmission Effects 0.000 claims abstract description 6
- 230000008859 change Effects 0.000 claims description 26
- 230000002159 abnormal effect Effects 0.000 claims description 19
- 238000000034 method Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 18
- 238000005206 flow analysis Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 239000000203 mixture Substances 0.000 claims description 4
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 238000009472 formulation Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于多维Renyi交叉熵的DDoS攻击检测系统,该系统通过流表分析模块收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源;攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云。
Description
技术领域
本发明涉及云计算中异常流量检测领域,更具体地,涉及一种基于多维Renyi交叉熵的DDoS攻击检测系统。
背景技术
随着云计算的飞速发展,云服务需求越来越大,各类业务越来越复杂,用户对服务质量的要求越来越高。现有的云计算平台的服务能力和可扩展能力已经不能满足日益发展的需求:传统的云计算架构采用二元模型造成了性能瓶颈。云产业发展急需研究者研发新的云计算服务架构模型,以促进云计算技术演化,为云计算服务提供有效的技术支撑。因此出现了多层云架构的概念。
多层云架构通过把整个云的控制面、数据面、服务面的设计适当分离和有机融合,实现中央资源与规则控制的统一性和本地用户服务与互动的灵活性的要求,支持计算、数据、传输和存储资源的优化配置。现在已经在很多地方得到了实际的应用。因此保障多层云的安全也显得日益重要。
多层云架构中,由大云进行全局视图的管理与监测,同时管理数据内容的索引,中云包括位于不同区域的服务器群和数据中心,负责数据的存储及区域常用数据的高速缓存,小云是可自动化部署,落地到用户周边直接服务用户的云,既可支持传统云的数据、应用、资源分享以及用户数据采集与存储等服务,也可提供离线模式下高性能虚拟桌面或容器、高并发高数据量业务。
发明内容
本发明提供一种高效的多层云下基于多维Renyi交叉熵的DDoS攻击检测系统。
为了达到上述技术效果,本发明的技术方案如下:
一种基于多维Renyi交叉熵的DDoS攻击检测系统,包括:
流表分析模块:收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,所述流表分析模块部署在小云之上,小云作为多层云的边缘节点,是直接为用户提供服务的云;
攻击检测模块:攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;
攻击溯源模块:攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源,所述攻击检测模块和攻击溯源模块部署在中云之上,中云由服务器集群或者数据中心组成,主要负责数据的存储以及常用数据的高速缓存;
攻击缓解模块:攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云,所述攻击缓解模块部署在大云之上,大云作为整个多层云的管理核心负责对多层云进行监控和管理。
进一步地,所述流表分析模块将提取用户的多个流量特征分别是源IP地址、目的IP地址、源端口、目的端口、IP协议的类型以及用户ID。
进一步地,所述攻击检测模块计算基于源IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设当前窗口为Wt,当前窗口的前一个窗口为Wt-1,设当前窗口内源IP地址分布其中表示当前窗口内出现的源IP地址,表示该IP地址在当前窗口出现的概率,的定义如下:
代表源ipn地址在当前窗口Wt内出现的次数,Count(packst)代表当前窗口内数据包的个数;
当前窗口的前一个窗口的源IP地址分布:
此时当前窗口内的源IP地址与前一个窗口内的源IP地址的Renyi交叉熵表示为:
通过判断I0.5(Gt,Gt-1)与预设的Renyi交叉熵β来判断当前网络的状态:
若I0.5(Gt,Gt-1)>β则表示两个相邻的流量窗口内,源IP地址的概率分布变化很大,超过了特定阈值β,网络的源IP地址的概率分布是异常的;
若I0.5(Gt,Gt-1)<β则表示两个相邻的流量窗口内,源IP地址的概率分布变化不大,网络的源IP地址的概率分布是正常的。
进一步地,所述攻击检测模块计算基于目的IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Jt代表当前窗口内的目的IP地址分布,令Jt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
进一步地,所述攻击检测模块计算基于IP协议的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Kt代表当前窗口内的目的IP地址分布,令Kt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
进一步地,所述攻击检测模块计算基于源端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Lt代表当前窗口内的目的IP地址分布,令Lt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
进一步地,所述攻击检测模块计算基于目的端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Mt代表当前窗口内的目的IP地址分布,令Mt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
进一步地,攻击检测模块的具体攻击检测流程如下:
1)小云每隔时间t向流量分析模块发送该小云当前窗口时间内的流量信息;
2)流量分析模块从中提取出如下流量特征信息:
3)分别计算各特征在当前窗口内与前一个窗口内的Renyi交叉熵:
I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1);
4)将向量I={I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1)}与攻击特征集中的各种攻击的Renyi交叉熵值进行对比,以判断该网络是否遭受了攻击,若遭受了攻击,则会启动相应的攻击溯源和攻击缓解模块;
5)若没有发生攻击,把当前的Gt、Jt、Kt、Lt、Mt更新至Gt-1、Jt-1、Kt-1、Lt-1、Mt-1,并跳转至步骤1)。
进一步地,攻击溯源模块找出攻击源的过程是:
a)将Gt分布中所有基于用户S1获得特征信息替换为前一个窗口内基于用户S1获得的特征信息,并保持基于用户获得的信息不变,由此得到新的基于目的IP地址的分布G't;
b)计算概率分布G't与Gt的Renyi交叉熵I0.5(G't,Gt),若I0.5(G't,Gt)>β则表示被检查的用户当前窗口内的流量对整个网络的影响很大,将该交换机记录进攻击集S;
c)重复a)、b)步骤,直至遍历完云中的所有用户,此时存在于攻击集S中的用户即为造成的网络流量异常的用户。
进一步地,攻击缓解模块根据攻击溯源模块发来的信息分析出攻击者的IP地址、端口号,并根据这些信息掌握造成网络流量异常的完整信息;攻击缓解模块根据相对应的攻击方式制定相对应的攻击缓解策略,采用包丢弃、流量清洗、流量重定位的策略。
与现有技术相比,本发明技术方案的有益效果是:
本发明通过流表分析模块收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源;:攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云。
附图说明
图1为本发明的总体层次架构图;
图2为本发明的攻击检测流程图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
如图1所示,一种基于多维Renyi交叉熵的DDoS攻击检测系统,包括:
流表分析模块:收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,所述流表分析模块部署在小云之上,小云作为多层云的边缘节点,是直接为用户提供服务的云;
攻击检测模块:攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;
攻击溯源模块:攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源,所述攻击检测模块和攻击溯源模块部署在中云之上,中云由服务器集群或者数据中心组成,主要负责数据的存储以及常用数据的高速缓存;
攻击缓解模块:攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云,所述攻击缓解模块部署在大云之上,大云作为整个多层云的管理核心负责对多层云进行监控和管理。
流表分析模块将提取用户的多个流量特征分别是源IP地址、目的IP地址、源端口、目的端口、IP协议的类型以及用户ID。
攻击检测模块计算基于源IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设当前窗口为Wt,当前窗口的前一个窗口为Wt-1,设当前窗口内源IP地址分布其中表示当前窗口内出现的源IP地址,表示该IP地址在当前窗口出现的概率,的定义如下:
代表源ipn地址在当前窗口Wt内出现的次数,Count(packst)代表当前窗口内数据包的个数;
当前窗口的前一个窗口的源IP地址分布:
此时当前窗口内的源IP地址与前一个窗口内的源IP地址的Renyi交叉熵表示为:
通过判断I0.5(Gt,Gt-1)与预设的Renyi交叉熵β来判断当前网络的状态:
若I0.5(Gt,Gt-1)>β则表示两个相邻的流量窗口内,源IP地址的概率分布变化很大,超过了特定阈值β,网络的源IP地址的概率分布是异常的;
若I0.5(Gt,Gt-1)<β则表示两个相邻的流量窗口内,源IP地址的概率分布变化不大,网络的源IP地址的概率分布是正常的。
攻击检测模块计算基于目的IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Jt代表当前窗口内的目的IP地址分布,令Jt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
攻击检测模块计算基于IP协议的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Kt代表当前窗口内的目的IP地址分布,令Kt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
攻击检测模块计算基于源端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Lt代表当前窗口内的目的IP地址分布,令Lt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
攻击检测模块计算基于目的端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Mt代表当前窗口内的目的IP地址分布,令Mt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
如图2所示,攻击检测模块的具体攻击检测流程如下:
1)小云每隔时间t向流量分析模块发送该小云当前窗口时间内的流量信息;
2)流量分析模块从中提取出如下流量特征信息:
3)分别计算各特征在当前窗口内与前一个窗口内的Renyi交叉熵:
I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1);
4)将向量I={I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1)}与攻击特征集中的各种攻击的Renyi交叉熵值进行对比,以判断该网络是否遭受了攻击,若遭受了攻击,则会启动相应的攻击溯源和攻击缓解模块;
5)若没有发生攻击,把当前的Gt、Jt、Kt、Lt、Mt更新至Gt-1、Jt-1、Kt-1、Lt-1、Mt-1,并跳转至步骤1)。
攻击溯源模块找出攻击源的过程是:
a)将Gt分布中所有基于用户S1获得特征信息替换为前一个窗口内基于用户S1获得的特征信息,并保持基于用户获得的信息不变,由此得到新的基于目的IP地址的分布G't;
b)计算概率分布G't与Gt的Renyi交叉熵I0.5(G't,Gt),若I0.5(G't,Gt)>β则表示被检查的用户当前窗口内的流量对整个网络的影响很大,将该交换机记录进攻击集S;
c)重复a)、b)步骤,直至遍历完云中的所有用户,此时存在于攻击集S中的用户即为造成的网络流量异常的用户。
缓解模块根据攻击溯源模块发来的信息分析出攻击者的IP地址、端口号等信息,并根据这些信息掌握造成网络流量异常的完整信息;攻击缓解模块根据相对应的攻击方式制定相对应的攻击缓解策略,采用包丢弃、流量清洗、流量重定位等策略。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用于仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,包括:
流表分析模块:收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,所述流表分析模块部署在小云之上,小云作为多层云的边缘节点,是直接为用户提供服务的云;
攻击检测模块:攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;
攻击溯源模块:攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源,所述攻击检测模块和攻击溯源模块部署在中云之上,中云由服务器集群或者数据中心组成,主要负责数据的存储以及常用数据的高速缓存;
攻击缓解模块:攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云,所述攻击缓解模块部署在大云之上,大云作为整个多层云的管理核心负责对多层云进行监控和管理。
2.根据权利要求1所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述流表分析模块将提取用户的多个流量特征分别是源IP地址、目的IP地址、源端口、目的端口、IP协议的类型以及用户ID。
3.根据权利要求2所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述攻击检测模块计算基于源IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设当前窗口为Wt,当前窗口的前一个窗口为Wt-1,设当前窗口内源IP地址分布其中表示当前窗口内出现的源IP地址,表示该IP地址在当前窗口出现的概率,的定义如下:
代表源ipn地址在当前窗口Wt内出现的次数,Count(packst)代表当前窗口内数据包的个数;
当前窗口的前一个窗口的源IP地址分布:
此时当前窗口内的源IP地址与前一个窗口内的源IP地址的Renyi交叉熵表示为:
通过判断I0.5(Gt,Gt-1)与预设的Renyi交叉熵β来判断当前网络的状态:
若I0.5(Gt,Gt-1)>β则表示两个相邻的流量窗口内,源IP地址的概率分布变化很大,超过了特定阈值β,网络的源IP地址的概率分布是异常的;
若I0.5(Gt,Gt-1)<β则表示两个相邻的流量窗口内,源IP地址的概率分布变化不大,网络的源IP地址的概率分布是正常的。
4.根据权利要求3所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述攻击检测模块计算基于目的IP地址的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Jt代表当前窗口内的目的IP地址分布,令Jt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
5.根据权利要求4所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述攻击检测模块计算基于IP协议的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Kt代表当前窗口内的目的IP地址分布,令Kt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
6.根据权利要求5所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述攻击检测模块计算基于源端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Lt代表当前窗口内的目的IP地址分布,令Lt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
7.根据权利要求6所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,所述攻击检测模块计算基于目的端口的的Renyi交叉熵的过程是:
当小云中的网络出现异常时,小云中基于源IP地址的Renyi交叉熵也会出现相应的变化:
设Mt代表当前窗口内的目的IP地址分布,令Mt-1代表当前窗口的前一个窗口的目的IP地址分布,目的IP地址的Renyi交叉熵表示为:
8.根据权利要求7所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,攻击检测模块的具体攻击检测流程如下:
1)小云每隔时间t向流量分析模块发送该小云当前窗口时间内的流量信息;
2)流量分析模块从中提取出如下流量特征信息:
3)分别计算各特征在当前窗口内与前一个窗口内的Renyi交叉熵:
I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1);
4)将向量I={I0.5(Gt,Gt-1),I0.5(Jt,Jt-1),I0.5(Kt,Kt-1),I0.5(Lt,Lt-1),I0.5(Mt,Mt-1)}与攻击特征集中的各种攻击的Renyi交叉熵值进行对比,以判断该网络是否遭受了攻击,若遭受了攻击,则会启动相应的攻击溯源和攻击缓解模块;
5)若没有发生攻击,把当前的Gt、Jt、Kt、Lt、Mt更新至Gt-1、Jt-1、Kt-1、Lt-1、Mt-1,并跳转至步骤1)。
9.根据权利要求8所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,攻击溯源模块找出攻击源的过程是:
a)将Gt分布中所有基于用户S1获得特征信息替换为前一个窗口内基于用户S1获得的特征信息,并保持基于用户获得的信息不变,由此得到新的基于目的IP地址的分布G't;
b)计算概率分布G't与Gt的Renyi交叉熵I0.5(G't,Gt),若I0.5(G't,Gt)>β则表示被检查的用户当前窗口内的流量对整个网络的影响很大,将该交换机记录进攻击集S;
c)重复a)、b)步骤,直至遍历完云中的所有用户,此时存在于攻击集S中的用户即为造成的网络流量异常的用户。
10.根据权利要求1-9任一项所述的基于多维Renyi交叉熵的DDoS攻击检测系统,其特征在于,攻击缓解模块根据攻击溯源模块发来的信息分析出攻击者的IP地址、端口号,并根据这些信息掌握造成网络流量异常的完整信息;攻击缓解模块根据相对应的攻击方式制定相对应的攻击缓解策略,采用包丢弃、流量清洗、流量重定位的策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710166434.2A CN107018129A (zh) | 2017-03-20 | 2017-03-20 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710166434.2A CN107018129A (zh) | 2017-03-20 | 2017-03-20 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107018129A true CN107018129A (zh) | 2017-08-04 |
Family
ID=59440880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710166434.2A Pending CN107018129A (zh) | 2017-03-20 | 2017-03-20 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107018129A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429761A (zh) * | 2018-04-10 | 2018-08-21 | 北京交通大学 | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 |
CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
CN108881241A (zh) * | 2018-06-26 | 2018-11-23 | 华中科技大学 | 一种面向软件定义网络的动态源地址验证方法 |
CN109901922A (zh) * | 2019-03-05 | 2019-06-18 | 北京工业大学 | 一种面向多层服务的容器云资源调度优化方法 |
CN112702347A (zh) * | 2020-12-24 | 2021-04-23 | 滨州学院 | 一种基于sdn入侵检测技术 |
CN112887332A (zh) * | 2021-03-01 | 2021-06-01 | 山西警察学院 | 云环境下的ddos攻击检测方法 |
CN113378168A (zh) * | 2021-07-04 | 2021-09-10 | 昆明理工大学 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611713A (zh) * | 2012-04-10 | 2012-07-25 | 重庆交通大学 | 基于熵运算的网络入侵检测方法和装置 |
CN105162826A (zh) * | 2015-07-15 | 2015-12-16 | 中山大学 | 一种云计算多层云架构 |
-
2017
- 2017-03-20 CN CN201710166434.2A patent/CN107018129A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611713A (zh) * | 2012-04-10 | 2012-07-25 | 重庆交通大学 | 基于熵运算的网络入侵检测方法和装置 |
CN105162826A (zh) * | 2015-07-15 | 2015-12-16 | 中山大学 | 一种云计算多层云架构 |
Non-Patent Citations (3)
Title |
---|
RUOYU YAN: "Multi-scale Entropy and Renyi Cross Entropy Based Traffic Anomaly Detection", 《2008 11TH IEEE SINGAPORE INTERNATIONAL CONFERENCE ON COMMUNICATION SYSTEM》 * |
夏彬: "基于软件定义网络的 WLAN 中 DDoS 攻击检测和防护", 《中国优秀硕士学位论文全文数据库》 * |
韩子铮: "SDN中一种基于熵值检测DDoS 攻击的方法", 《信息技术》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429761A (zh) * | 2018-04-10 | 2018-08-21 | 北京交通大学 | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 |
CN108429761B (zh) * | 2018-04-10 | 2020-06-16 | 北京交通大学 | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 |
CN108881241A (zh) * | 2018-06-26 | 2018-11-23 | 华中科技大学 | 一种面向软件定义网络的动态源地址验证方法 |
CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
CN109901922A (zh) * | 2019-03-05 | 2019-06-18 | 北京工业大学 | 一种面向多层服务的容器云资源调度优化方法 |
CN112702347A (zh) * | 2020-12-24 | 2021-04-23 | 滨州学院 | 一种基于sdn入侵检测技术 |
CN112887332A (zh) * | 2021-03-01 | 2021-06-01 | 山西警察学院 | 云环境下的ddos攻击检测方法 |
CN113378168A (zh) * | 2021-07-04 | 2021-09-10 | 昆明理工大学 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
CN113378168B (zh) * | 2021-07-04 | 2022-05-31 | 昆明理工大学 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107018129A (zh) | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 | |
WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
CN110753064B (zh) | 机器学习和规则匹配融合的安全检测系统 | |
Pei et al. | A DDoS attack detection method based on machine learning | |
CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及系统 | |
CN107959690B (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
CN104579823B (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
CN110336830B (zh) | 一种基于软件定义网络的DDoS攻击检测系统 | |
Peterson et al. | A review and analysis of the bot-iot dataset | |
US7609629B2 (en) | Network controller and control method with flow analysis and control function | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
Zhang et al. | Proword: An unsupervised approach to protocol feature word extraction | |
CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
Kang et al. | A New Logging-based IP Traceback Approach using Data Mining Techniques. | |
Zhang et al. | Toward unsupervised protocol feature word extraction | |
Zhang et al. | Optimization of traditional Snort intrusion detection system | |
Moustafa et al. | Flow aggregator module for analysing network traffic | |
Firth et al. | Workload-aware streaming graph partitioning. | |
CN107124410A (zh) | 基于机器深度学习的网络安全态势特征聚类方法 | |
Ogino | Evaluation of machine learning method for intrusion detection system on Jubatus | |
Aslam et al. | Pre‐filtering based summarization for data partitioning in distributed stream processing | |
Shomura et al. | Analyzing the number of varieties in frequently found flows | |
Yang et al. | Chamelemon: Shifting measurement attention as network state changes | |
Shahout et al. | Together is better: Heavy hitters quantile estimation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170804 |