CN108366065A - 攻击检测方法和sdn交换机 - Google Patents
攻击检测方法和sdn交换机 Download PDFInfo
- Publication number
- CN108366065A CN108366065A CN201810141847.XA CN201810141847A CN108366065A CN 108366065 A CN108366065 A CN 108366065A CN 201810141847 A CN201810141847 A CN 201810141847A CN 108366065 A CN108366065 A CN 108366065A
- Authority
- CN
- China
- Prior art keywords
- tuple information
- data flow
- port
- comentropy
- time window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击检测方法和SDN交换机。该方法包括:采集端口的数据流,所述数据流包括至少一个元组信息;根据端口的数据流的元组信息,计算出每个元组信息的信息熵;比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值;若比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;若比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。本发明中在将数据流上传至SDN控制器对异常攻击进行检测,避免了对南向通道和SDN控制器的运算能力带来的影响,从而避免了造成网络大面积瘫痪。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种攻击检测方法和SDN交换机。
背景技术
SDN交换机由包含多条表项的流表组成,每一个流表中的表项都可以匹配网络中的一种具体的数据类型,并且包含对这种数据类型的数据流流的执行动作表项,这些动作以流水线的方式执行。当一个数据分组进入SDN交换机后需要先进行报文的解析,按照现有TCP/IP架构下的从2层到7层的多项匹配元组进行解析,然后会根据解析出的元组信息匹配流表,若符合其中某条表项的特征,就会按照相应的动作执行转发策略,如果匹配不到表项,会将数据分组封装成Packet-in消息通过安全通道发送给SDN控制器,将处理权交由SDN控制器决定。SDN控制器收到Packet-in消息后,会根据自身策略向SDN交换机发送Flow Mod消息,更新SDN交换机中的流表,然后下发Packet-out消息,指导该数据流的转发。
目前在SDN网络中,针对DDOS的检测与防御策略大多是针对数据平面固定用户的主机,其策略部署在控制器中,通过提取相应的数据流信息进行建模分析,从而防止此类攻击行为的发生。
SDN交换机通过OpenFlow协议与控制器进行信息交互,SDN交换机对未匹配的数据流会通过消息体的方式经过南向通道上传SDN控制器。攻击者在数据平面网络中采用DDOS攻击方式,伪造大量随机未匹配数据流,SDN交换机按照现有逻辑会将这些数据流全部上传给SDN控制器,对南向通道和SDN控制器的运算能力带来了影响,从而严重影响整个网络性能,会造成网络大面积瘫痪。
发明内容
本发明提供一种攻击检测方法和SDN交换机,用于避免对南向通道和SDN控制器的运算能力带来的影响,从而避免造成网络大面积瘫痪。
为实现上述目的,本发明提供了一种攻击检测方法,包括:
采集端口的数据流,所述数据流包括至少一个元组信息;
根据端口的数据流的元组信息,计算出每个元组信息的信息熵;
比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值;
若比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;
若比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。
可选地,所述采集端口的数据流包括:在时间窗口内采集端口的数据流;
所述采集端口的数据流之后包括:
判断是否到达时间窗口的结束时间点;
若判断出到达时间窗口的结束时间点,执行所述根据端口的数据流的元组信息,计算出每个元组信息对应的信息熵的步骤;
若判断出未到达时间窗口的结束时间点,继续执行所述在时间窗口内采集端口的数据流的步骤。
可选地,所述确定出出现异常攻击之后还包括:
对该端口进行限速处理。
可选地,所述确定出出现异常攻击之后还包括:
向SDN控制器发出报警信息。
可选地,所述确定出未出现异常攻击之后还包括:
按照流表转发数据流。
为实现上述目的,本发明提供了一种SDN交换机,包括:
采集模块,用于采集端口的数据流,所述数据流包括至少一个元组信息;
计算模块,用于根据端口的数据流的元组信息,计算出每个元组信息的信息熵;
比较模块,用于比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值;
确定模块,用于若所述比较模块比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;若所述比较模块比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。
可选地,所述采集模块用于在时间窗口内采集端口的数据流;
所述SDN交换机还包括:
判断模块,用于判断是否到达时间窗口的结束时间点,若判断出到达时间窗口的结束时间点,触发所述计算模块执行所述根据端口的数据流的元组信息,计算出每个元组信息对应的信息熵的步骤;若判断出未到达时间窗口的结束时间点,触发所述采集模块执行所述在时间窗口内采集端口的数据流的步骤。
可选地,还包括:
限速模块,用于在所述确定模块确定出出现异常攻击之后,对该端口进行限速处理。
可选地,还包括:
发送模块,用于在所述确定模块确定出出现异常攻击之后,向SDN控制器发出报警信息。
可选地,还包括:
发送模块,用于在所述确定模块确定出未出现异常攻击之后,按照流表转发数据流。
本发明具有以下有益效果:
本发明提供的攻击检测方法和SDN交换机的技术方案中,比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若比较出任一元组信息的信息熵大于对应的设定阈值时确定出出现异常攻击,本实施例中在将数据流上传至SDN控制器对异常攻击进行检测,避免了对南向通道和SDN控制器的运算能力带来的影响,从而避免了造成网络大面积瘫痪。
附图说明
图1为本发明实施例一提供的一种攻击检测方法的流程图;
图2为本发明实施例二提供的一种攻击检测方法的流程图;
图3为本发明实施例提供的一种SDN交换机的结构示意图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的攻击检测方法和SDN交换机进行详细描述。
图1为本发明实施例一提供的一种攻击检测方法的流程图,如图1所示,该方法包括:
步骤101、采集端口的数据流,所述数据流包括至少一个元组信息。
本实施例中各步骤可以由SDN交换机执行。
步骤102、根据端口的数据流的元组信息,计算出每个元组信息的信息熵。
步骤103、比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若否,则执行步骤104;若是,则执行步骤105。
本步骤中,若比较出任一元组信息的信息熵大于对应的设定阈值,执行步骤104;若比较出每个元组信息的信息熵均小于或等于对应的设定阈值,执行步骤105。
步骤104、确定出出现异常攻击,流程结束。
步骤105、确定出未出现异常攻击,流程结束。
本实施例提供的攻击检测方法的技术方案中,比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若比较出任一元组信息的信息熵大于对应的设定阈值时确定出出现异常攻击,本实施例中在将数据流上传至SDN控制器对异常攻击进行检测,避免了对南向通道和SDN控制器的运算能力带来的影响,从而避免了造成网络大面积瘫痪。
图2为本发明实施例二提供的一种攻击检测方法的流程图,如图2所示,该方法包括:
步骤201、在时间窗口内采集端口的数据流,该数据流包括至少一个元组信息。
本实施例中各步骤可以由SDN交换机执行。
本步骤中,可从时间窗口的开始时间点采集端口的数据流。端口为交换机端口。每个时间窗口可包括多个时间点。
本实施例中,在时间窗口内采集的数据流可以为多个,每个数据流可包括至少一个元组信息。
本实施例中,优选地,数据流包括多个元组信息。其中,元组信息可包括源IP、目的IP或端口号,则多个元组信息包括源IP、目的IP和端口号。
步骤202、判断是否到达时间窗口的结束时间点,若是,则执行步骤203;若否,则继续执行步骤201。
本步骤中,当判断出到达时间窗口的结束时间点时,表明时间窗口结束,至此完成了在一个时间窗口内采集端口的数据流的过程;当判断出未到达时间窗口的结束时间点时,表明时间窗口未结束,则需要继续在该时间窗口内进行端口的数据流的采集。
步骤203、根据端口的数据流的元组信息,计算出每个元组信息的信息熵。
本步骤中,可首先从端口的数据流中解释出元组信息,而后根据解析出的元组信息计算出元组信息的信息熵。
具体地,可通过公式对元组信息进行计算,得出元组信息的信息熵,其中,H为元组信息的信息熵,P(x)为元组信息出现的概率,x为元组信息,U为元组信息的集合。
具体地,可通过上述公式计算出元组信息的信息熵。通过执行步骤201和步骤202采集端口的数据流以获取到多个元组信息,将采集到的多个元组信息中相同的元组信息形成元组信息的集合,以元组信息为源IP为例,则U为源IP的集合,P(x)为源IP在时间窗口内采集到的所有元组信息中出现的概率,通过上述公式计算出源IP的信息熵,进而采用上述公式计算出目的IP的信息熵、端口号的信息熵。
步骤204、比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若是,则执行步骤205;若否,则执行步骤207。
本实施例中,预先为每个元组信息设置一个对应的设定阈值,例如为源IP设置一个源IP对应的设定阈值,为目的IP设置一个目的IP对应的设定阈值,为端口号设置一个端口号对应的设定阈值。
本步骤中,若比较出每个元组信息的信息熵均小于或等于对应的设定阈值,则执行步骤205;若比较出任一元组信息的信息熵大于对应的设定阈值,则执行步骤207。
本实施例中,SDN控制器受到DDOS攻击的条件是攻击者在数据平面网络中发送大量虚假的未匹配数据包,其最显著的特征是伪造大量源IP与目的IP不存在的数据流,此时匹配元组信息的信息熵会急剧变大,因此SDN交换机通过判断信息熵是否大于设定阈值来判断网络中是否发生了针对SDN控制器的DDOS攻击行为。
步骤205、确定出未出现异常攻击。
本实施例中,异常攻击可以为DDOS攻击。
步骤206、按照流表转发数据流,流程结束。
步骤207、确定出出现异常攻击。
步骤208、对该端口进行限速处理。
步骤209、向SDN控制器发出报警信息,流程结束。
该报警信息用于使SDN控制器获知异常攻击。
至此,本实施例完成了当前的时间窗口内对攻击的检测,而后可继续执行步骤201,对下一个时间窗口端口的数据流进行采集,并继续执行步骤201之后的步骤,以实现下一个时间窗口内对攻击的检测。
需要说明的是:在实际应用中,本实施例各步骤的执行顺序可进行变更,例如,步骤209可在步骤208之前执行,或者步骤208和步骤209同时执行。
本实施例提供的攻击检测方法的技术方案中,比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若比较出任一元组信息的信息熵大于对应的设定阈值时确定出出现异常攻击,本实施例中在将数据流上传至SDN控制器对异常攻击进行检测,避免了对南向通道和SDN控制器的运算能力带来的影响,从而避免了造成网络大面积瘫痪。本实施例采用时间窗口机制对异常攻击进行检测,从而提高了检测精确度和检测灵敏度,且前一个时间窗口对应的信息熵不会影响后一个时间窗口对应的信息熵。
图3为本发明实施例提供的一种SDN交换机的结构示意图,如图3所示,该SDN交换机包括:采集模块11、计算模块12、比较模块13和确定模块14。
采集模块11用于采集端口的数据流,所述数据流包括至少一个元组信息。计算模块12用于根据端口的数据流的元组信息,计算出每个元组信息的信息熵。比较模块13用于比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值。确定模块14用于若所述比较模块13比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;若所述比较模块13比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。
可选地,采集模块11用于在时间窗口内采集端口的数据流。SDN交换机还包括:判断模块15。判断模块15用于判断是否到达时间窗口的结束时间点,若判断出到达时间窗口的结束时间点,触发所述计算模块12执行所述根据端口的数据流的元组信息,计算出每个元组信息对应的信息熵的步骤;若判断出未到达时间窗口的结束时间点,触发所述采集模块11执行所述在时间窗口内采集端口的数据流的步骤。
可选地,SDN交换机还包括:限速模块16。限速模块16用于在所述确定模块14确定出出现异常攻击之后,对该端口进行限速处理。
可选地,SDN交换机还包括:发送模块17。
发送模块17用于在所述确定模块14确定出出现异常攻击之后,向SDN控制器发出报警信息。
发送模块17用于在所述确定模块14确定出未出现异常攻击之后,按照流表转发数据流。
本实施例提供的SDN交换机用于实现上述实施例一或者实施例二提供的攻击检测方法,对攻击检测方法的描述可参见上述实施例一或者实施例二,此处不再赘述。
本实施例提供的攻击检测方法的技术方案中,比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值,若比较出任一元组信息的信息熵大于对应的设定阈值时确定出出现异常攻击,本实施例中在将数据流上传至SDN控制器对异常攻击进行检测,避免了对南向通道和SDN控制器的运算能力带来的影响,从而避免了造成网络大面积瘫痪。本实施例采用时间窗口机制对异常攻击进行检测,从而提高了检测精确度和检测灵敏度,且前一个时间窗口对应的信息熵不会影响后一个时间窗口对应的信息熵。。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种攻击检测方法,其特征在于,包括:
采集端口的数据流,所述数据流包括至少一个元组信息;
根据端口的数据流的元组信息,计算出每个元组信息的信息熵;
比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值;
若比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;
若比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。
2.根据权利要求1所述的攻击检测方法,其特征在于,所述采集端口的数据流包括:在时间窗口内采集端口的数据流;
所述采集端口的数据流之后包括:
判断是否到达时间窗口的结束时间点;
若判断出到达时间窗口的结束时间点,执行所述根据端口的数据流的元组信息,计算出每个元组信息对应的信息熵的步骤;
若判断出未到达时间窗口的结束时间点,继续执行所述在时间窗口内采集端口的数据流的步骤。
3.根据权利要求1所述的攻击检测方法,其特征在于,所述确定出出现异常攻击之后还包括:
对该端口进行限速处理。
4.根据权利要求1所述的攻击检测方法,其特征在于,所述确定出出现异常攻击之后还包括:
向SDN控制器发出报警信息。
5.根据权利要求1所述的攻击检测方法,其特征在于,所述确定出未出现异常攻击之后还包括:
按照流表转发数据流。
6.一种SDN交换机,其特征在于,包括:
采集模块,用于采集端口的数据流,所述数据流包括至少一个元组信息;
计算模块,用于根据端口的数据流的元组信息,计算出每个元组信息的信息熵;
比较模块,用于比较每个元组信息的信息熵是否小于或等于每个元组信息对应的设定阈值;
确定模块,用于若所述比较模块比较出任一元组信息的信息熵大于对应的设定阈值,确定出出现异常攻击;若所述比较模块比较出每个元组信息的信息熵均小于或等于对应的设定阈值,确定出未出现异常攻击。
7.根据权利要求6所述的SDN交换机,其特征在于,所述采集模块用于在时间窗口内采集端口的数据流;
所述SDN交换机还包括:
判断模块,用于判断是否到达时间窗口的结束时间点,若判断出到达时间窗口的结束时间点,触发所述计算模块执行所述根据端口的数据流的元组信息,计算出每个元组信息对应的信息熵的步骤;若判断出未到达时间窗口的结束时间点,触发所述采集模块执行所述在时间窗口内采集端口的数据流的步骤。
8.根据权利要求6所述的SDN交换机,其特征在于,还包括:
限速模块,用于在所述确定模块确定出出现异常攻击之后,对该端口进行限速处理。
9.根据权利要求6所述的SDN交换机,其特征在于,还包括:
发送模块,用于在所述确定模块确定出出现异常攻击之后,向SDN控制器发出报警信息。
10.根据权利要求6所述的SDN交换机,其特征在于,还包括:
发送模块,用于在所述确定模块确定出未出现异常攻击之后,按照流表转发数据流。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810141847.XA CN108366065A (zh) | 2018-02-11 | 2018-02-11 | 攻击检测方法和sdn交换机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810141847.XA CN108366065A (zh) | 2018-02-11 | 2018-02-11 | 攻击检测方法和sdn交换机 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108366065A true CN108366065A (zh) | 2018-08-03 |
Family
ID=63005777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810141847.XA Pending CN108366065A (zh) | 2018-02-11 | 2018-02-11 | 攻击检测方法和sdn交换机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108366065A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798442A (zh) * | 2019-09-10 | 2020-02-14 | 广州西麦科技股份有限公司 | 数据注入攻击检测方法及相关装置 |
CN111191258A (zh) * | 2019-12-20 | 2020-05-22 | 中思博安科技(北京)有限公司 | 基于保护原始数据的数据处理方法、装置、设备和介质 |
CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
CN112073376A (zh) * | 2020-08-10 | 2020-12-11 | 烽火通信科技股份有限公司 | 一种基于数据面的攻击检测方法及设备 |
CN114866350A (zh) * | 2022-07-06 | 2022-08-05 | 南京明博互联网安全创新研究院有限公司 | Sdn数据平面低速率攻击检测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
US20170111397A1 (en) * | 2013-07-16 | 2017-04-20 | Fortinet, Inc. | System and method for software defined behavioral ddos attack mitigation |
CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
-
2018
- 2018-02-11 CN CN201810141847.XA patent/CN108366065A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170111397A1 (en) * | 2013-07-16 | 2017-04-20 | Fortinet, Inc. | System and method for software defined behavioral ddos attack mitigation |
CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
Non-Patent Citations (1)
Title |
---|
王铭鑫: ""一种SDN中基于熵值计算的异常流量检测方法"", 《电信科学》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798442A (zh) * | 2019-09-10 | 2020-02-14 | 广州西麦科技股份有限公司 | 数据注入攻击检测方法及相关装置 |
CN111191258A (zh) * | 2019-12-20 | 2020-05-22 | 中思博安科技(北京)有限公司 | 基于保护原始数据的数据处理方法、装置、设备和介质 |
CN111191258B (zh) * | 2019-12-20 | 2022-10-04 | 中思博安科技(北京)有限公司 | 基于保护原始数据的数据处理方法、装置、设备和介质 |
CN112073376A (zh) * | 2020-08-10 | 2020-12-11 | 烽火通信科技股份有限公司 | 一种基于数据面的攻击检测方法及设备 |
CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
CN114866350A (zh) * | 2022-07-06 | 2022-08-05 | 南京明博互联网安全创新研究院有限公司 | Sdn数据平面低速率攻击检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108366065A (zh) | 攻击检测方法和sdn交换机 | |
Tan et al. | A new framework for DDoS attack detection and defense in SDN environment | |
Peng et al. | A detection method for anomaly flow in software defined network | |
CN110336830B (zh) | 一种基于软件定义网络的DDoS攻击检测系统 | |
CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
CN108965347A (zh) | 一种分布式拒绝服务攻击检测方法、装置及服务器 | |
CN109558727B (zh) | 一种路由安全检测方法和系统 | |
CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
CN112887274B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
CN112202817B (zh) | 一种基于多事件关联与机器学习的攻击行为检测方法 | |
Li et al. | Early detection of DDoS based on $\varphi $-entropy in SDN networks | |
CN106789351A (zh) | 一种基于sdn的在线入侵防御方法和系统 | |
CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
CN110719270A (zh) | 一种基于fcm算法的慢速拒绝服务攻击检测方法 | |
CN113660209A (zh) | 一种基于sketch与联邦学习的DDoS攻击检测系统及应用 | |
CN112953910B (zh) | 基于软件定义网络的DDoS攻击检测方法 | |
CN113268735B (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
CN111953504A (zh) | 异常流量检测方法和装置、计算机可读存储介质 | |
CN106713307A (zh) | 一种检测sdn中流表一致性的方法和系统 | |
CN113612657A (zh) | 一种异常http连接的检测方法 | |
Kai et al. | Network anomaly detection based on statistical approach and time series analysis | |
KR101383069B1 (ko) | 네트워크 이상상태 탐지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180803 |
|
RJ01 | Rejection of invention patent application after publication |