CN108683682B - 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 - Google Patents
一种基于软件定义网络的DDoS攻击检测及防御方法和系统 Download PDFInfo
- Publication number
- CN108683682B CN108683682B CN201810565190.XA CN201810565190A CN108683682B CN 108683682 B CN108683682 B CN 108683682B CN 201810565190 A CN201810565190 A CN 201810565190A CN 108683682 B CN108683682 B CN 108683682B
- Authority
- CN
- China
- Prior art keywords
- attack
- controller
- software defined
- port
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于软件定义网络的DDoS(分布式拒绝服务)攻击检测及防御方法和系统,涉及计算机网络安全领域,通过不同软件定义网络控制器相互连接而形成的控制器网络,实现单个软件定义网络内部及多个软件定义网络之间的DDoS攻击检测、溯源及阻断,以解决传统网络下难以从源头防御DDoS攻击的问题。本发明由检测、溯源及阻断三个模块组成。提取不同类型DDoS攻击的特征,以机器学习算法实现检测;通过不同软件定义网络的控制器之间依据指定方式交互数据,实现多个软件定义网络之间的DDoS攻击溯源及阻断。在软件定义网络环境下,本发明能实时追踪到攻击者的IP地址,并准确阻断攻击流量。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于软件定义网络的DDoS攻击检测及防御方法和系统。
背景技术
拒绝服务(Denial of Service,DoS)攻击,是指故意攻击网络协议实现的缺陷或直接耗尽被攻击对象的资源,让目标计算机或网络无法提供正常的服务或资源访问的行为。DDoS则是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击是目前网络环境下最严重的威胁之一。
而在传统网络环境下,缺少能有效地对DDoS攻击进行溯源的方案,且阻断流量的方案也大多是在受害者一端执行。包标记是一种影响广泛的溯源方案,然而限制在于全网络路径协作的前提,需要对路由器进行修改,在现实中不适用于大规模的DDoS的溯源;ICMP报文检测、链路泛洪等方法,也有着准确度不高、开销过大等缺点,不适用于实际情况。而软件定义网络网络能够很好地解决上述问题。
软件定义网络(SDN)是一种新型的,数据和控制层面分离的灵活的网络架构。控制平面,控制器能监控整个网络,并实现对各种协议的部署和转发规则的控制;数据转发层面,交换机只需要根据已有的转发规则,对数据包进行匹配转发。这种新型的网络架构由于其可控性,能有效地获取整个网络中的流量,并控制网络中的流量走向,从而解决从源头防御DDoS攻击的问题。
因此,本领域的技术人员致力于开发一种基于软件定义网络的DDoS攻击检测及防御方法和系统,实现单个软件定义网络内部及多个软件定义网络之间的DDoS攻击检测、溯源及阻断。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是传统网络下难以从源头防御DDoS攻击的问题。
为实现上述目的,本发明提供了一种基于软件定义网络的DDoS攻击检测及防御方法和系统,由检测、溯源及阻断三个模块组成。提取不同类型DDoS攻击的特征,以机器学习算法实现检测;通过不同软件定义网络的控制器之间依据指定方式交互数据,实现多个软件定义网络之间的DDoS攻击溯源及阻断。
本发明提供的一种基于软件定义网络的DDoS攻击检测及防御方法,包括如下步骤:
步骤1、收集DDoS攻击流量和正常流量数据,选择用作攻击检测模块的机器学习模型,根据收集数据,预先训练好检测模型,安装在需要进行检测的主机上;
步骤2、主机初次与交换机连接时,控制器记录下连接端口和真实源IP,记为一张端口-IP表;
步骤3、假定主机H1为受害主机,H1收集进出的数据包,统计其中各类数据包的数量,计算进出数量的比值;
步骤4、H1将各类数据包的进出比值送往安装的检测模型,检测模型输出是否受到攻击,如果受到攻击,同时输出攻击的流量特征;
步骤5、H1生成包含溯源请求、自身IP地址和攻击流量特征的数据包,发往控制器C1,所述C1为H1所在软件定义网络的控制器;
步骤6、C1收到溯源请求,向控制器网络中其他控制器广播包含受害者IP和攻击流量特征的消息;
步骤7、控制器C2收到广播消息,分析自己管辖的软件定义网络网络中的流量特征,与攻击流量特征进行对比,找到是否有端口的发出流量符合攻击特征,如果有,根据端口-IP表找到对应的源IP地址,回复C1包含攻击者IP的消息,如果没有则回复无;
步骤8、C1收到回复,将攻击者IP信息发送给H1;
步骤9、C1收到C2检测到攻击者的回复,向C2发送包含阻断请求、攻击者IP和受害者IP的消息;
步骤10、C2收到阻断请求,遍历端口-IP表获取攻击者端口,下发新的流表项,丢弃从该端口发往受害者IP的所有数据包。
进一步地,所述控制器网络由不同软件定义网络控制器相互连接形成,实现单个软件定义网络内部及多个软件定义网络之间的DDoS攻击检测、溯源及阻断。
进一步地,所述软件定义网络包括主机-交换机-控制器层和控制器-控制器层,所述主机-交换机-控制器层采用OpenFlow协议下的常规软件定义网络网络结构,提供基本的数据转发功能;所述控制器-控制器层是由不同软件定义网络的控制器构成的控制器网络,通过额外的安全信道进行通信,用于交换各自的流量数据,协作完成对全局范围的DDoS攻击的溯源和阻断。
进一步地,所述端口-IP表记录各交换机端口和与之连接的主机的真实源IP地址,用于溯源和阻断操作。
本发明还提供了一种基于软件定义网络的DDoS攻击检测及防御系统,包括检测模块、溯源模块和阻断模块,所述检测模块位于有防御需求的主机上,提取进出的数据包特征,提供预先训练好的DDoS攻击检测模型,根据提取的特征判断攻击情况;所述溯源模块由控制器负责,指定控制器之间通信的方式,控制器接受管辖范围内的主机发起的溯源请求,和其他控制器交互攻击流量特征,并根据收到的攻击流量特征,匹配自己管辖范围的流量特征,确定攻击者的位置;所述阻断模块由控制器负责,受害者所属控制器向攻击者所属控制器发起阻断请求,收到阻断请求的控制器下发相应流表项,阻断攻击者发往受害者的流量。
本发明提出的一种基于软件定义网络的DDoS攻击检测及防御方法和系统,主要解决了传统网络环境下,难以对DDoS攻击者溯源及从源头阻断攻击流量的问题,采用新型的软件定义网络网络,能方便有效地从源头上防御DDoS攻击。其二,溯源过程由软件层面实现,数据包的转发等基本功能依然是通过现有的路由协议进行,不需要对进行修改,具有更好的兼容性和通用性。其三,能够应对软件定义网络环境下同时发生多起DDoS攻击的情况。之外,整个过程中,交换机和控制器的计算开销、传输开销小,阻断过程也只在攻击者的端口进行,尽量减小了对网络中的其他流量的影响。发明中的受害者主机,替换为受到攻击的局域网,该系统同样适用。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的采用的软件定义网络网络结构图;
图2是本发明的一个较佳实施例的检测模块的检测流程示意图;
图3是本发明的一个较佳实施例的溯源模块中控制器广播溯源请求的流程示意图;
图4是本发明的一个较佳实施例的溯源模块中控制器匹配攻击者的流程示意图;
图5是本发明的一个较佳实施例的控制器阻断攻击者流量的流程示意图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
如图1所示,本发明提出了一种基于SDN的DDoS攻击检测及防御方法,采用的SDN环境由多个独立的SDN组成,各SDN的控制器之间通过单独的安全信道进行通信,形成一个控制器网络。
这里的SDN架构可分为两层,一是主机-交换机-控制器层,这部分采用以OpenFlow协议为基础的SDN网络,负责基本的数据转发功能,依据以下流程进行转发:
(1)主机发送数据包到交换机;
(2)交换机将数据包头部的关键字和流表中所有流表项的匹配字段进行对比,如果匹配失败进入步骤3,匹配成功进入步骤4;
(3)交换机通过和控制器之间的安全通道,把数据包发往控制器,控制器根据网络拓扑判断应该对数据包进行的操作,告知交换机如何处理,同时下发与之匹配的新流表项安装到交换机,以应对后面类似的数据流;
(4)匹配成功,根据指令域中的操作,执行相应的操作,并更新计数器;
除此之外,本发明里的控制器还需要维护一个端口-IP表,这个表用于记录各交换机端口和与之连接的主机的真实源IP地址,用于溯源和阻断操作。每当一个新的主机连接到交换机时,控制器都会收到消息,然后更新这张端口-IP表,在主机和交换机的连接发生变更时,控制器也会随之更新端口-IP表。
第二层是控制器-控制器层,不同SDN的控制器相互连接形成控制器网络。这里假定位于控制器网络中的控制器都是可信的,控制器之间可直接通过指定的方式进行通信,主要用于传递溯源请求、阻断请求和相应的回复。
基于上述SDN架构的DDoS检测防御方法,在具体实施过程中分为检测、溯源、阻断三个部分,分别对应上面提出的三个模块,攻击检测模块、攻击溯源模块和攻击阻断模块。
如图2所示的攻击检测的流程,该部分是在有防御需求的主机上执行。检测模块中的检测模型是事先通过训练数据集训练好的线性回归(Linear Regression)模型。
H1为装有检测模块的主机。H1首先通过抓包软件,如wireshark等,实时获取所有进出H1的数据包的包头信息。然后以预设时间间隔T为标准,计算每个时间段T内通过的数据包的统计特征,包括如下五种特征:Diffie-Hellman密钥交换包的数量(针对暴力密码猜测攻击)、ICMP数据包的数量(针对ICMP泛洪攻击)、进/出DNS数据包的比值(针对DNS反射放大攻击)、进/出NTP数据包的比值(针对NTP反射放大攻击)和进/出TCP数据包中带有ACK标志的与带有SYN标志的比值(针对SYN泛洪攻击),记为格式为<m1,m2,m3,m4,m5>的多组向量。
每得到一组表示流量特征的向量,就作为检测模型的输入,然后检测模型会输出一个结果向量<flag,n1,n2,n3,n4,n5>,其中flag表示是否受到攻击,n1到n5依次表示一个攻击流量的特征,即是否受到暴力密码猜测攻击、ICMP泛洪攻击、DNS反射放大攻击、NTP反射放大攻击和SYN泛洪攻击。
这里选取的机器学习模型为线性回归模型,选取的特征为几种常见类型的DDoS攻击中代表性的数据包数量变化。实际操作中可替换成其他机器学习算法或是深度学习算法,选取的检测特征和输出的流量特征都可以根据需求变化。
如图3所示的溯源操作中,通过控制器网络向其他SDN网络发出溯源请求的流程。
受害者主机H1先向所属SDN的控制器C1发起溯源请求,溯源请求数据包中包含如下内容<tb,受害者IP,<n1,n2,n3,n4,n5>>,tb是溯源请求的标记,表示该数据包的类型,受害者IP即是自己的IP地址,<n1,n2,n3,n4,n5>则是由检测模型输出结果中的攻击流量特征组成的向量。C1收到溯源请求后,通过控制器网络向其他控制器C2、C3等广播该溯源请求数据包。
如图4所示的溯源操作中,控制器通过流量特征匹配攻击者的流程。
控制器网络中的其他控制器在收到C1广播的溯源请求后,根据攻击流量特征,在自己管理的SDN范围内匹配攻击者。为了减轻控制器的负担,这里单独设置了一个匹配服务器用于统计并匹配各端口的数据包特征,匹配服务器和控制器一样,与各交换机直接相连,同时也与控制器直接相连。
控制器C2收到溯源请求,首先确认溯源请求的标记tb,再提取出数据包中的受害者IP地址和攻击流量特征,将攻击流量特征发往匹配服务器。然后C2通过下发新的流表项,将所有通过与主机相连的端口的数据包信息优先发往匹配服务器,再进行转发操作,从而统计各端口进出的数据包特征,以图4中的P2为例,P2为主机H2和交换机S2相连的端口。
交换机S2采用多级流表的概念。多级流表是OpenFlow协议1.1版本提出的一种概念,通过多张流表对数据包进行匹配处理,每张流表针对一类操作进行处理,通过多张流表组合达到应对不同情况的目的,具备更强适配能力且能大幅节省流表空间。
多级流表下数据包的操作步骤如下:
(1)数据包到达交换机,分配一个操作指令集;
(2)数据包与第一张流表进行匹配,将匹配成功的流表项的指令域的操作写入操作指令集,然后根据要求跳转到指定流表,重复上述匹配过程;
(3)如果已是最后一张流表或者指令域要求结束匹配过程,则执行当前操作指令集里的操作。
在本发明中,交换机S2上存有两张流表,流表0和流表1,流表0用于收集指定端口的数据包头信息,流表1用于正常的转发。C2向S2下发如下新流表项<匹配域:入端口-P2;指令域:发送包头字段到匹配服务器>和<匹配域:目的端口-P2;指令域:发送包头字段到匹配服务器>,安装到流表0,且匹配完成后的跳转对象为流表1。发往或离开端口P2的数据包到达S2,优先与流表0进行匹配,匹配成功,包头字段则会发往匹配服务器,用以获取进出端口P2的数据包信息。
匹配服务器提取端口P2每个时间段T内的数据包特征,根据溯源请求包中的攻击流量特征,发生了哪种攻击则提取下面五个特征中对应的那项特征:Diffie-Hellman密钥交换包的数量、ICMP数据包的数量、进/出DNS数据包的比值、进/出NTP数据包的比值和进/出TCP数据包中带有ACK标志的与带有SYN标志的比值,然后用上述检测模块中的检测算法判断提取出的特征的值是否异常。如果检测结果表示端口正在进行暴力密码猜测攻击、ICMP泛洪攻击或是SYN泛洪攻击,且攻击数据包的目的IP地址与受害者相同,则该端口连接的主机为此次DDoS攻击的攻击者之一;如果检测结果表示端口正在进行DNS反射放大攻击或是NTP反射放大攻击,且攻击数据包的源IP地址与受害者相同,则该端口连接的主机为此次DDoS攻击的攻击者之一。然后匹配服务器将攻击者端口号P2发给控制器C2。
C2通过端口-IP表获取端口P2对应的主机IP地址,然后发送<reply,攻击者IP地址>格式数据包给C1,reply为回复数据包的标记。C1收到后将攻击者IP告知H1。
根据检测模块中检测算法和提取的攻击流量特征的不同,这里采用的匹配方案也会随之改变。
如图5所示的控制器阻断攻击者发往受害者的流量的流程。主要通过控制器下发对应流表项实现。
控制器C1向C2发起阻断请求,阻断请求数据包中包含如下内容<block,受害者IP,攻击者IP>,block是阻断请求的标记,表示数据包的类型。
C2收到C1发来的阻断请求,首先确认阻断请求的标记block,再从数据包中提取出受害者IP和攻击者IP,通过查询端口-IP表获取攻击者的端口。然后C2向对应的交换机S2下发如下的新流表项<匹配域:入端口-攻击者端口,目的IP-受害者IP;指令域:丢弃>以及<匹配域:入端口-攻击者端口,源IP-受害者IP;指令域:丢弃>,从而丢弃所有由攻击者发往受害者的数据包。匹配域中目的IP为受害者IP的流表项用于丢弃暴力密码猜测攻击、ICMP泛洪攻击或是SYN泛洪攻击的数据包,源IP为受害者IP的流表项用于丢弃DNS反射放大攻击或是NTP反射放大攻击的数据包。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (5)
1.一种基于软件定义网络的DDoS攻击检测及防御方法,其特征在于,包括如下步骤:
步骤1、收集DDoS攻击流量和正常流量数据,选择用作攻击检测模块的机器学习模型,根据收集数据,预先训练好检测模型,安装在需要进行检测的主机上;
步骤2、主机初次与交换机连接时,控制器记录下连接端口和真实源IP,记为一张端口-IP表;
步骤3、假定主机H1为受害主机,H1收集进出的数据包,统计其中各类数据包的数量,计算进出数量的比值;
步骤4、H1将各类数据包的进出比值送往安装的检测模型,检测模型输出是否受到攻击,如果受到攻击,同时输出攻击的流量特征;
步骤5、H1生成包含溯源请求、自身IP地址和攻击流量特征的数据包,发往控制器C1,所述C1为H1所在软件定义网络的控制器;
步骤6、C1收到溯源请求,向控制器网络中其他控制器广播包含受害者IP和攻击流量特征的消息;
步骤7、控制器C2收到广播消息,分析自己管辖的软件定义网络网络中的流量特征,与攻击流量特征进行对比,找到是否有端口的发出流量符合攻击特征,如果有,根据端口-IP表找到对应的源IP地址,回复C1包含攻击者IP的消息,如果没有则回复无;
步骤8、C1收到回复,将攻击者IP信息发送给H1;
步骤9、C1收到C2检测到攻击者的回复,向C2发送包含阻断请求、攻击者IP和受害者IP的消息;
步骤10、C2收到阻断请求,遍历端口-IP表获取攻击者端口,下发新的流表项,丢弃从该端口发往受害者IP的所有数据包。
2.如权利要求1所述的基于软件定义网络的DDoS攻击检测及防御方法,其特征在于,所述控制器网络由不同软件定义网络控制器相互连接形成,实现单个软件定义网络内部及多个软件定义网络之间的DDoS攻击检测、溯源及阻断。
3.如权利要求1所述的基于软件定义网络的DDoS攻击检测及防御方法,其特征在于,所述软件定义网络包括主机-交换机-控制器层和控制器-控制器层,所述主机-交换机-控制器层采用OpenFlow协议下的常规软件定义网络网络结构,提供基本的数据转发功能;所述控制器-控制器层是由不同软件定义网络的控制器构成的控制器网络,通过额外的安全信道进行通信,用于交换各自的流量数据,协作完成对全局范围的DDoS攻击的溯源和阻断。
4.如权利要求1所述的基于软件定义网络的DDoS攻击检测及防御方法,其特征在于,所述端口-IP表记录各交换机端口和与之连接的主机的真实源IP地址,用于溯源和阻断操作。
5.一种基于软件定义网络的DDoS攻击检测及防御系统,其特征在于,包括检测模块、溯源模块和阻断模块;
所述软件定义网络包括主机-交换机-控制器层和控制器-控制器层;
所述检测模块位于有防御需求的主机H1上,所述溯源模块、所述阻断模块位都于控制器上;
所述系统的工作步骤如下:
步骤1、所述检测模块,收集DDoS攻击流量和正常流量数据,选择用作攻击检测模块的机器学习模型,根据收集数据,预先训练好检测模型;
步骤2、所述主机H1初次与交换机连接时,所述溯源模块记录下连接端口和真实源IP,记为一张端口-IP表;
步骤3、所述检测模块,收集进出所述主机H1的数据包,统计其中各类数据包的数量,计算进出数量的比值;
步骤4、所述检测模块,输出是否受到攻击的信息,如果受到攻击,同时输出攻击的流量特征;
步骤5、所述检测模块,生成包含溯源请求、所述主机H1的IP地址和攻击流量特征的数据包,发往控制器C1,所述C1为所述主机H1所在软件定义网络的控制器;
步骤6、所述C1收到溯源请求,位于所述C1的所述溯源模块向控制器网络中其他控制器广播包含受害者IP和攻击流量特征的消息;
步骤7、控制器C2收到广播消息,位于所述C2的所述溯源模块分析自己管辖的软件定义网络网络中的流量特征,与攻击流量特征进行对比,找到是否有端口的发出流量符合攻击特征,如果有,根据端口-IP表找到对应的源IP地址,回复所述C1包含攻击者IP的消息,如果没有则回复无;
步骤8、所述C1收到回复,位于所述C1的所述溯源模块将攻击者IP信息发送给所述主机H1;
步骤9、所述C1收到所述C2检测到攻击者的回复,位于所述C1的所述溯源模块向C2发送包含阻断请求、攻击者IP和受害者IP的消息;
步骤10、所述C2收到阻断请求,位于所述C2的所述阻断模块遍历端口-IP表获取攻击者端口,下发新的流表项,丢弃从该端口发往受害者IP的所有数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810565190.XA CN108683682B (zh) | 2018-06-04 | 2018-06-04 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810565190.XA CN108683682B (zh) | 2018-06-04 | 2018-06-04 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108683682A CN108683682A (zh) | 2018-10-19 |
CN108683682B true CN108683682B (zh) | 2021-01-01 |
Family
ID=63809985
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810565190.XA Active CN108683682B (zh) | 2018-06-04 | 2018-06-04 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108683682B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111106896B (zh) * | 2018-10-26 | 2023-05-26 | 中兴通讯股份有限公司 | 责任人定位方法、装置、设备及存储介质 |
CN109547424A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于多SDN协同机制的DDoS攻击防御系统及方法 |
CN109756478A (zh) * | 2018-11-28 | 2019-05-14 | 国网江苏省电力有限公司南京供电分公司 | 一种考虑优先级的工控系统攻击异常多级后备阻断方法 |
CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN110830469A (zh) * | 2019-11-05 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
CN111083173B (zh) * | 2019-12-31 | 2022-03-08 | 中国银行股份有限公司 | 基于openflow协议的网络通信中的动态防御方法 |
CN111490975A (zh) * | 2020-03-23 | 2020-08-04 | 山东大学 | 一种基于软件定义网络的分布式拒绝服务DDoS攻击溯源系统和方法 |
CN111614610A (zh) * | 2020-03-31 | 2020-09-01 | 华南理工大学 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
CN112804230B (zh) * | 2020-05-12 | 2023-01-24 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
CN111756719B (zh) * | 2020-06-17 | 2022-06-24 | 哈尔滨工业大学 | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 |
CN111885011B (zh) * | 2020-07-02 | 2022-11-01 | 安全能力生态聚合(北京)运营科技有限公司 | 一种业务数据网络安全分析挖掘的方法及系统 |
CN112804198B (zh) * | 2020-12-29 | 2022-11-04 | 贵州大学 | 基于网络状态的抗DDoS控制器消息调度方法 |
CN112769827B (zh) * | 2021-01-08 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种网络攻击代理端检测及溯源方法与装置 |
CN113242211B (zh) * | 2021-04-12 | 2022-10-25 | 北京航空航天大学 | 一种软件定义网络DDoS攻击检测方法 |
CN114531273B (zh) * | 2022-01-11 | 2024-05-14 | 北京理工大学 | 一种防御工业网络系统分布式拒绝服务攻击的方法 |
CN114513340B (zh) * | 2022-01-21 | 2023-02-07 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
CN115086069B (zh) * | 2022-07-19 | 2024-01-26 | 光大科技有限公司 | 一种DDoS攻击识别方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131027A (zh) * | 2016-07-19 | 2016-11-16 | 北京工业大学 | 一种基于软件定义网络的网络异常流量检测防御系统 |
CN106341418A (zh) * | 2016-10-08 | 2017-01-18 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
KR20180000100A (ko) * | 2016-06-22 | 2018-01-02 | (주)유미테크 | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 |
CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101914831B1 (ko) * | 2016-10-25 | 2018-11-02 | 숭실대학교산학협력단 | 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
-
2018
- 2018-06-04 CN CN201810565190.XA patent/CN108683682B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180000100A (ko) * | 2016-06-22 | 2018-01-02 | (주)유미테크 | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 |
CN106131027A (zh) * | 2016-07-19 | 2016-11-16 | 北京工业大学 | 一种基于软件定义网络的网络异常流量检测防御系统 |
CN106341418A (zh) * | 2016-10-08 | 2017-01-18 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108683682A (zh) | 2018-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108683682B (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
Dridi et al. | SDN-guard: DoS attacks mitigation in SDN networks | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
US11005887B2 (en) | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network | |
Dabbagh et al. | Software-defined networking security: pros and cons | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
Cabaj et al. | SDN Architecture Impact on Network Security. | |
US7565426B2 (en) | Mechanism for tracing back anonymous network flows in autonomous systems | |
US7487541B2 (en) | Flow-based method for tracking back single packets | |
Chen et al. | A divide-and-conquer strategy for thwarting distributed denial-of-service attacks | |
CN109067758B (zh) | 一种基于多路径的sdn网络数据传输隐私保护系统及其方法 | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
US20070064697A1 (en) | System, method and program for identifying source of malicious network messages | |
Khashab et al. | DDoS attack detection and mitigation in SDN using machine learning | |
CN104378380A (zh) | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 | |
Jiang et al. | BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks | |
Wijesinghe et al. | Botnet detection using software defined networking | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
Chen et al. | Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources | |
Nur et al. | Single packet AS traceback against DoS attacks | |
CN112615851A (zh) | CoLoR架构下多种安全检验机制相结合的边界路由器 | |
Chen et al. | TRACK: A novel approach for defending against distributed denial-of-service attacks | |
Kim et al. | ARP Poisoning attack detection based on ARP update state in software-defined networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |