CN108848095A - SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 - Google Patents

SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 Download PDF

Info

Publication number
CN108848095A
CN108848095A CN201810650308.9A CN201810650308A CN108848095A CN 108848095 A CN108848095 A CN 108848095A CN 201810650308 A CN201810650308 A CN 201810650308A CN 108848095 A CN108848095 A CN 108848095A
Authority
CN
China
Prior art keywords
ddos attack
entropy
sdn
detection
destination address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810650308.9A
Other languages
English (en)
Other versions
CN108848095B (zh
Inventor
崔杰
王明君
仲红
许艳
石润华
陈志立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui University
Original Assignee
Anhui University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui University filed Critical Anhui University
Priority to CN201810650308.9A priority Critical patent/CN108848095B/zh
Publication of CN108848095A publication Critical patent/CN108848095A/zh
Application granted granted Critical
Publication of CN108848095B publication Critical patent/CN108848095B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,先周期性的收集SDN交换机流表项的统计数据;根据流表项的统计数据统计出交换机流表中各个源地址、目的地址的数目;然后计算出相应的香农熵;使用BP神经网络对两种香农熵样本进行训练,得到检测DDoS攻击所需要的特征模式;使用BP神经网络对计算得到的周期性的源、目的地址数量的香农熵进行判别,检测DDoS攻击;对于检测到的DDoS攻击,进行受害者主机丢弃数据包操作;封禁操作持续时间为到某个周期内未检测到攻击之后,才进行解除丢弃数据包操作。本发明能够消耗更少的资源、更快速、更全面地检测到针对用户服务器的DDoS攻击,并且支持后续对受害用户主机进行恢复通信,减少了对正常业务的影响。

Description

SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
技术领域
本发明涉及一种SDN与DDoS攻击检测技术,具体涉及一种基于双熵值的SDN用户服务器的DDoS攻击检测与防御方法。
背景技术
SDN是一种新型的网络架构,最大特点是控制平面与转发平面分离,其工作模式为:转发平面根据控制平面下发的决策对流量进行匹配,并按对应的匹配规则对流进行处理;控制平面则根据转发平面收集到的网络信息形成全局拓扑,从而进行决策和规则的下发。在传统网络中,节点内部的数据平面和控制平面虽然也是分离的,但是这种分离在物理上并不远。通常,我们认为传统网络设备的数据和控制平面都是分布式的,这种分布式的控制平面使得传统网络在应对网络拓扑和流量变化时需要控制平面进行协同工作,需要较长的响应与收敛时间。相比之下,在SDN中数据与控制分离带来了集中控制和高速转发特性,使得SDN在应对网络变化、响应业务请求时更加灵活,SDN架构如图1所示。
软件定义的网络(SDN)和OpenFlow(OF)协议为未来的网络带来了一个很有前途的架构,然而SDN的中心化控制和可编程的特征也带了许多安全性的挑战。分布式拒绝服务(DDoS)攻击就是一个严重威胁SDN安全性的问题。DDoS攻击的目标是耗尽受害者的资源,比如计算能力和带宽,攻击者控制僵尸主机向受害者发送大量的数据包来达到耗尽受害者资源的目的。
现有对SDN研究中不乏针对服务器DDoS攻击的研究。早在2010年,Braga等人提出通过训练SMO分类器,来检测DDoS攻击,但是只讨论了DDoS检测方法,并没有考虑到缓解机制。2014年,K.Giotis et等人提出利用sFlow和OpenFlow来实现异常入侵检测的方法。利用sFlow的抽样能力进行流量的采集,利用统计熵的方法来进行异常检测。OpenFlow协议用于通过修改现有流的优先级值和安装带有drop动作和高优先级的新的流规则来减轻攻击。但是,熵方法有一个强有力的假设,即交通数据遵循一定的正态分布。如果假设不正确,检测率就会降低。2015年,Rui Wang等人提出了一种基于熵的轻量级DDoS攻击检测模型并且运行在交换机中。该方案针的是受害者主机的攻击,他们将交换机的功能进行了拓展,使得交换机能够记录最近一次流表中目的地址的变化量,然后进行熵值的计算,通过与阈值的比较做出判断发送给控制器。该方案能够减轻控制器的负担,但是仅仅依靠目的地址的变化量的熵值来判断攻击,会对一些正常的流量请求产生误判,并且将程序运行在交换机硬件上,日后的更新会比较麻烦。
综上所述,上述现有技术或多或少存在相应缺陷。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种SDN环境下基于双熵的服务器DDoS攻击检测与防御方法。
技术方案:本发明的一种SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,依次包括以下步骤:
(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期ΔT内SDN交换机的流表中的统计数据包,统计数据包中各个源地址和目的地址数量,并将数据传送至特征计算模块;
(2)内嵌于SDN控制器的特征计算模块在周期ΔT内收集到一定量的统计数据,并计算得到源地址和目的地址数目的香农熵;
(3)在训练阶段,BP神经网络接收源地址香农熵和目的地址香农熵并进行迭代训练,经过相应训练最终得到用于检测DDoS攻击的双熵检测的特征模式;
(4)在测试阶段,BP神经网络对实时计算得到的双熵特征进行检测,一旦检测到DDoS攻击则丢弃发送至受害者地址的数据包;
(5)内嵌于SDN控制器的端口恢复模块,当某一周期ΔT内为检测到DDoS攻击,则解除丢弃发往受害者地址的数据包操作。
不同于现有技术中采用单一的熵或多熵带来的缺陷(例如:误判率较大或者开销大),本发明依据双熵进行DDoS攻击检测,能够极大程度的反映DDoS攻击发生时的流量特征,结合神经网络进行检测,既增加了检测准确率,也能降低开销,减小误判率。
进一步的,所述步骤(1)的具体过程为:
(1.1)数据收集模块以周期ΔT向SDN控制器请求SDN交换机S流表项集合的统计数据包;
(1.2)数据收集模块根据SDN交换机中源地址和目的地址对流表项进行划分,得到各个源地址和目的地址数量集合SrcIPi和DstIPj;i和j分别代表第i个源地址和第j个目的地址;
(1.3)数据收集模块将统计出的两个集合SrcIPi和DstIPj发送给特征计算模块。
进一步的,所述步骤(2)的具体过程为:
(2.1)特征计算模块以周期ΔT向数据收集模块请求该ΔT内SDN交换机所统计的各个源地址和目的地址数据包的数量SrcIPi、DstIPj
(2.2)特征计算模块根据香农熵计算公式,计算出源地址和目的地址的香农熵;计算公式如下:Nsrc表示源地址数据包的总数,Ndst表示目的地址数据包总数;
(2.3)为了将计算得到的香农熵的数值控制在(0~1)之间,采用如下公式进行操作;
进一步的,所述步骤(3)的具体过程为:
(3.1)对每一对Entropysrc和Entropydst特征向量进行标定,由DDoS攻击流量特征可知,当DDoS攻击发生时,Entropysrc相较于正常流量时会偏高、Entropydst相较于正常流量时会偏低;即每一对香农熵特征向量对应正常流量或者是DDoS攻击模式,通过人工进行最终产生目标向量0(正常流量)、1(DDoS攻击);上述过程通过熵值计算,得出DDoS攻击发生时的源地址和目的地址的香农熵,香农熵在数值上有高低之别,这个特征就是检测的核心;
(3.2)将香农熵特征向量与其对应模式输入BP神经网络并调整参数:将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次下训练完成后,BP神经网络根据输出向量与目标相量的误差对连接层之间的权重矩阵进行调整。
进一步的,所述步骤(4)的具体过程为:
(4.1)使用特征收集模块与特征计算模块计算得到的SDN交换机中的源地址数据包和目的地址数据包的香农熵Entropysrc、Entropydst
(4.2)将步骤(4.1)所得的Entropysrc和Entropydst输入到BP神经网络,得到测试结果,该测试结果为正常模式或者DDoS攻击模式;
(4.3)当测试结果对应DDoS攻击模式时,将受害者的IP地址添加到丢弃数据包ip列表中,下发流表丢弃发往受害者主机的目的地址的数据包。
进一步的,所述步骤(5)的具体过程为:
(5.1)遍历丢弃数据包ip列表,列表若为空则返回;
(5.2)判断出周期ΔT时间内是否存在攻击;
(5.3)若在周期ΔT不存在攻击则删除丢弃数据包的ip列表当中的IP。
有益效果:与现有技术相比,本发明具有以下优点:
(1)本发明所检测的DDoS攻击针对于SDN用户服务器,使用了SDN交换机流表中的统计数据,由于传统网络中使用的交换机与SDN交换机模式差异巨大,故传统DDoS攻击检测方法中无法使用该类型特征,故本发明相比传统DDoS攻击检测方法更具有针对性,更加适用于部署于SDN中检测针对SDN用户服务器的DDoS攻击。
(2)本发明考虑当DDoS攻击发生时交换机统计数据中的源、目的地址香农熵的变化,结合神经网络训练出来的攻击检测模型,可在DDoS攻击发生的初期检测到DDoS攻击并及时进行防御,减少DDoS攻击造成的危害;本发明采用香农熵的来作为检测的主要特征,可提供实时的和低开销等优点。
(3)本发明考虑DDoS攻击防御后的受害者主机恢复功能:即使DDoS攻击检测出现了误封,也能在下个周期结束时,通过检测未发现DDoS来解除上一次的误封操作。
附图说明
图1为现有技术中的SDN架构示意图;
图2为本发明的整体流程图;
图3为本发明使用情境的角色示意图;
图4为本发明中步骤(1)的具体流程图;
图5为本发明中步骤(2)的具体流程图;
图6为本发明中步骤(3)的具体流程图;
图7为本发明中步骤(4)的具体流程图;
图8为本发明中步骤(5)的具体流程图;
图9为实施例中网络拓扑示意图;
图10为实施例中各个周期内熵值的变化情况对比示意图;
其中,图10(A)为源地址熵值变化对比图;图10(B)为目的地址熵值变化对比图;图10(C)为源地址熵值和目的地址熵值变化对比图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
如图2所示,本发明的一种SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,依次包括以下步骤:
(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期ΔT内SDN交换机的流表中的统计数据包,统计数据包中各个源地址和目的地址数量,并将数据传送至特征计算模块;
(2)内嵌于SDN控制器的特征计算模块在周期ΔT内收集到一定量的统计数据,并计算得到源地址和目的地址数目的香农熵;
(3)在训练阶段,BP神经网络接收源地址香农熵和目的地址香农熵并进行迭代训练,经过足量的训练最终得到用于检测DDoS攻击的双熵检测的特征模式;
(4)在测试阶段,BP神经网络对实时计算得到的双熵特征进行检测,一旦检测到DDoS攻击则丢弃发送至受害者地址的数据包;
(5)内嵌于SDN控制器的端口恢复模块,当某一周期ΔT内为检测到DDoS攻击,则解除丢弃发往受害者地址的数据包操作。
如图3所示,上述SDN环境下基于双熵的服务器DDoS攻击检测与防御机制可用于SDN环境中。该环境下存在内嵌DDoS攻击检测模块的SDN控制器、SDN交换机、合法用户、BOT-NET和DDoS攻击发起这五类主要角色
如图4所示,步骤(1)的具体过程为:
(1.1)数据收集模块以周期ΔT向SDN控制器请求SDN交换机S流表项集合的统计数据包;
(1.2)数据收集模块根据SDN交换机中源地址和目的地址对流表项进行划分,得到各个源地址和目的地址数量集合SrcIPi和DstIPj
(1.3)数据模块将统计出的两个集合SrcIPi和DstIPj发送给特征计算模块。
如图5所示,所述步骤(2)的具体过程为:
(2.1)特征计算模块以周期ΔT向数据收集模块请求该ΔT内SDN交换机所统计的各个源地址和目的地址数据包的数量SrcIPi、DstIPj
(2.2)特征计算模块根据香农熵计算公式,计算出源地址和目的地址的香农熵;计算公式如下:Nsrc表示源地址数据包的总数,Ndst表示目的地址数据包总数;
(2.3)为了将计算得到的香农熵的数值控制在(0~1)之间,采用如下公式进行操作;
如图6所示,所述步骤(3)的具体过程为:
(3.1)对每一对Entropysrc和Entropydst特征向量进行标定,由DDoS攻击流量特征可知,当DDoS攻击发生时,Entropysrc相较于正常流量时会偏高、Entropydst相较于正常流量时会偏低;即每一对香农熵特征向量对应正常流量或者是DDoS攻击模式,通过人工进行最终产生目标向量0(正常流量)、1(DDoS攻击);
(3.2)将香农熵特征向量与其对应模式输入BP神经网络并调整参数:将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次下训练完成后,BP神经网络根据输出向量与目标相量的误差对连接层之间的权重矩阵进行调整。
如图7所示,所述步骤(4)的具体过程为:
(4.1)使用特征收集模块与特征计算模块计算得到的SDN交换机中的源地址数据包和目的地址数据包的香农熵Entropysrc、Entropydst
(4.2)将步骤(4.1)所得的Entropysrc和Entropydst输入到BP神经网络,得到测试结果,该测试结果为正常模式或者DDoS攻击模式;
(4.3)当测试结果对应DDoS攻击模式时,将受害者的IP地址添加到丢弃数据包ip列表中,下发流表丢弃发往受害者主机的目的地址的数据包。
如图8所示,所述步骤(5)的具体过程为:
(5.1)遍历丢弃数据包ip列表,列表若为空则返回;
(5.2)判断出周期ΔT时间内是否存在攻击;
(5.3)若在周期ΔT不存在攻击则删除丢弃数据包的ip列表当中的IP。
实施例:
实验环境:本实施例中的SDN控制器采用Floodlight1.2,网络拓扑模拟Mininet2.2,DDoS攻击与正常流量通过Scapy工具进行模拟。
网络拓扑,如图9所示,网络C/S架构,5个服务器,个客户机共10台主机。
实验参数:ΔT=5S,BP神经网络具有5个输入神经元、20个隐层神经元、2个输出神经元。
实施过程:
1、使用Scapy模拟正常与异常流量,异常流量为DDoS攻击流量,并将两种情况下的SDN交换机产生的统计数据记录,计算出SDN交换机流表中的源、目的地址数据包数量的香农熵,即特征向量。
2、对产生的特征向量进行标定,标定类别为正常模式与DDoS攻击模式。实验中产生的正常模式样本有200个,DDoS攻击模式样本100个,共计300个样本。
3、使用300个训练样本对BP神经网络进行训练,产生两种训练模式,一种是正常模式,一种是DDoS攻击模式。
4、首先在不启动DDoS攻击防御模块时,模拟正常流量与DDoS攻击流量,特征计算模块结合数据收集模块的收集到的数据计算出的特征向量变化情况,监测9个周期的熵值变化情况,如图图10(A)和图10(B)所示。在第2个周期结束时发动DDoS攻击,在第6个周期结束时停止攻击。
5、然后启动DDoS防御模块,继续模拟正常流量与DDoS攻击流量,同样监测9个周期。第3个周期结束时发动DDoS攻击,在第4个周期结束时检测到DDoS攻击,在第5个周期结束时,启动DDoS防御模块,在第6个周期结束时未发现DDoS,DDoS攻击的受害者主机服务器恢复正常,过程如图10(C)所示。
实施例的实验结果:启用DDoS攻击检测与防御系统后,在正常情况下不影响数据包的转发,但是当DDoS攻击发生时,由于数据包数量变化非常大,本实验所采用的特征向量变化明显,DDoS攻击在一个周期内检测到攻击,并采取相应的丢包措施。当DDoS攻击停止时,在一个周期结束时,恢复受害者主机的正常通信。
通过上述实施例可以看出,本发明使用SDN交换机的周期性的统计出流表项中的各个主机的源、目的地址数据包的数量所计算出的香农熵结合BP神经网络,实现了检测针对SDN用户服务器的DDoS攻击并防御,同时通过持续性的检测实现了恢复受害者主机的正常通信的功能。使用源、目的地址数据包的数量的香农熵可以在DDoS攻击发生的初期检测到DDoS攻击,大大降低了DDoS攻击对SDN用户服务器的资源的消耗;并且使用香农熵作为特征向量具有实时性和低开销的特点;受害者主机恢复功能能使正常服务受到DDoS攻击的后续影响降至最低。

Claims (6)

1.一种SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:依次包括以下步骤:
(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期ΔT内SDN交换机的流表中的统计数据包,统计数据包中各个源地址和目的地址数量,并将数据传送至特征计算模块;
(2)内嵌于SDN控制器的特征计算模块在周期ΔT内收集到一定量的统计数据,并计算得到源地址和目的地址数目的香农熵;
(3)在训练阶段,BP神经网络接收源地址香农熵和目的地址香农熵并进行迭代训练,经过相应训练最终得到用于检测DDoS攻击的双熵检测的特征模式;
(4)在测试阶段,BP神经网络对实时计算得到的双熵特征进行检测,一旦检测到DDoS攻击则丢弃发送至受害者地址的数据包;
(5)内嵌于SDN控制器的端口恢复模块,当某一周期ΔT内为检测到DDoS攻击,则解除丢弃发往受害者地址的数据包操作。
2.根据权利要求1所述的基SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:所述步骤(1)的具体过程为:
(1.1)数据收集模块以周期ΔT向SDN控制器请求SDN交换机S流表项集合的统计数据包;
(1.2)数据收集模块根据SDN交换机中源地址和目的地址对流表项进行划分,得到各个源地址和目的地址数量集合SrcIPi和DstIPj;i和j分别代表第i个源地址和第j个目的地址;
(1.3)数据收集模块将统计出的两个集合SrcIPi和DstIPj发送给特征计算模块。
3.根据权利要求1所述的SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:所述步骤(2)的具体过程为:
(2.1)特征计算模块以周期ΔT向数据收集模块请求该ΔT内SDN交换机所统计的各个源地址和目的地址数据包的数量SrcIPi、DstIPj
(2.2)特征计算模块根据香农熵计算公式,计算出源地址和目的地址的香农熵;计算公式如下:Nsrc表示源地址数据包的总数,Ndst表示目的地址数据包总数;
(2.3)为将计算得到的香农熵的数值控制在(0~1)之间,采用如下公式进行操作;
4.根据权利要求1所述的SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:所述步骤(3)的具体过程为:
(3.1)对每一对Entropysrc和Entropydst特征向量进行标定,由DDoS攻击流量特征可知:当DDoS攻击发生时,Entropysrc相较于正常流量时会偏高、Entropydst相较于正常流量时会偏低;即每一对香农熵特征向量对应正常流量或者是DDoS攻击模式,通过人工进行最终产生目标向量0和1,目标向量为0即正常流量,目标向量为1即DDoS攻击;
(3.2)将香农熵特征向量与其对应模式输入BP神经网络并调整参数:将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次下训练完成后,BP神经网络根据输出向量与目标相量的误差对连接层之间的权重矩阵进行调整。
5.根据权利要求1所述的SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:所述步骤(4)的具体过程为:
(4.1)使用特征收集模块与特征计算模块计算得到的SDN交换机中的源地址数据包和目的地址数据包的香农熵Entropysrc、Entropydst
(4.2)将步骤(4.1)所得的Entropysrc和Entropydst输入到BP神经网络,得到测试结果,该测试结果为正常模式或者DDoS攻击模式;
(4.3)当测试结果对应DDoS攻击模式时,将受害者的IP地址添加到丢弃数据包ip列表中,下发流表丢弃发往受害者主机的目的地址的数据包。
6.根据权利要求1所述的SDN环境下基于双熵的服务器DDoS攻击检测与防御方法,其特征在于:所述步骤(5)的具体过程为:
(5.1)遍历丢弃数据包ip列表,ip列表若为空则返回;
(5.2)判断出周期ΔT时间内是否存在攻击;
(5.3)若在周期ΔT不存在攻击则删除丢弃数据包的ip列表当中的IP。
CN201810650308.9A 2018-06-22 2018-06-22 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 Active CN108848095B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810650308.9A CN108848095B (zh) 2018-06-22 2018-06-22 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810650308.9A CN108848095B (zh) 2018-06-22 2018-06-22 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法

Publications (2)

Publication Number Publication Date
CN108848095A true CN108848095A (zh) 2018-11-20
CN108848095B CN108848095B (zh) 2021-03-02

Family

ID=64203511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810650308.9A Active CN108848095B (zh) 2018-06-22 2018-06-22 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法

Country Status (1)

Country Link
CN (1) CN108848095B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011983A (zh) * 2019-03-19 2019-07-12 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN
CN112073376A (zh) * 2020-08-10 2020-12-11 烽火通信科技股份有限公司 一种基于数据面的攻击检测方法及设备
CN112153004A (zh) * 2020-08-26 2020-12-29 江苏大学 一种SDN环境下基于子网温度的DDoS攻击检测方法
CN112738808A (zh) * 2020-12-30 2021-04-30 北京邮电大学 无线网络中DDoS攻击检测方法、云服务器及移动终端
CN112995202A (zh) * 2021-04-08 2021-06-18 昆明理工大学 一种基于SDN的DDoS攻击检测方法
CN113255750A (zh) * 2021-05-17 2021-08-13 安徽大学 一种基于深度学习的vcc车辆攻击检测方法
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法
CN114363065A (zh) * 2022-01-04 2022-04-15 重庆邮电大学 一种基于GSODNN和SDN的DDoS检测方法
CN114844679A (zh) * 2022-04-08 2022-08-02 西北大学 一种SDN中基于MCA-KMeans算法的分布式拒绝服务攻击检测方法
CN115225353A (zh) * 2022-07-04 2022-10-21 安徽大学 兼顾DoS/DDoS洪泛和慢速HTTP DoS的攻击检测方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110141915A1 (en) * 2009-12-14 2011-06-16 Choi Hyoung-Kee Apparatuses and methods for detecting anomalous event in network
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
US20150128263A1 (en) * 2013-11-07 2015-05-07 Cyberpoint International, LLC Methods and systems for malware detection
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN105337957A (zh) * 2015-09-24 2016-02-17 中山大学 一种SDN网络DDoS和DLDoS分布式时空检测系统
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106330906A (zh) * 2016-08-23 2017-01-11 上海海事大学 一种大数据环境下的DDoS攻击检测方法
US20170026391A1 (en) * 2014-07-23 2017-01-26 Saeed Abu-Nimeh System and method for the automated detection and prediction of online threats
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN106612289A (zh) * 2017-01-18 2017-05-03 中山大学 一种基于sdn的网络协同异常检测方法
CN107483512A (zh) * 2017-10-11 2017-12-15 安徽大学 基于时间特征的SDN控制器DDoS检测与防御方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110141915A1 (en) * 2009-12-14 2011-06-16 Choi Hyoung-Kee Apparatuses and methods for detecting anomalous event in network
US20150128263A1 (en) * 2013-11-07 2015-05-07 Cyberpoint International, LLC Methods and systems for malware detection
US20170026391A1 (en) * 2014-07-23 2017-01-26 Saeed Abu-Nimeh System and method for the automated detection and prediction of online threats
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN105337957A (zh) * 2015-09-24 2016-02-17 中山大学 一种SDN网络DDoS和DLDoS分布式时空检测系统
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106330906A (zh) * 2016-08-23 2017-01-11 上海海事大学 一种大数据环境下的DDoS攻击检测方法
CN106612289A (zh) * 2017-01-18 2017-05-03 中山大学 一种基于sdn的网络协同异常检测方法
CN107483512A (zh) * 2017-10-11 2017-12-15 安徽大学 基于时间特征的SDN控制器DDoS检测与防御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
RUI WANG, ZHIPING JIA等: "An entropy-based distributed DDoS detection mechanism in software-defined networking", 《2015 IEEE TRUSTCOM/BIGDATASE/ISPA》 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011983B (zh) * 2019-03-19 2021-02-19 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法
CN110011983A (zh) * 2019-03-19 2019-07-12 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法
CN112073376A (zh) * 2020-08-10 2020-12-11 烽火通信科技股份有限公司 一种基于数据面的攻击检测方法及设备
CN112153004A (zh) * 2020-08-26 2020-12-29 江苏大学 一种SDN环境下基于子网温度的DDoS攻击检测方法
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN
CN112738808B (zh) * 2020-12-30 2022-05-20 北京邮电大学 无线网络中DDoS攻击检测方法、云服务器及移动终端
CN112738808A (zh) * 2020-12-30 2021-04-30 北京邮电大学 无线网络中DDoS攻击检测方法、云服务器及移动终端
CN112995202A (zh) * 2021-04-08 2021-06-18 昆明理工大学 一种基于SDN的DDoS攻击检测方法
CN113255750A (zh) * 2021-05-17 2021-08-13 安徽大学 一种基于深度学习的vcc车辆攻击检测方法
CN113255750B (zh) * 2021-05-17 2022-11-08 安徽大学 一种基于深度学习的vcc车辆攻击检测方法
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法
CN113378168B (zh) * 2021-07-04 2022-05-31 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法
CN114363065A (zh) * 2022-01-04 2022-04-15 重庆邮电大学 一种基于GSODNN和SDN的DDoS检测方法
CN114363065B (zh) * 2022-01-04 2023-07-25 重庆邮电大学 一种基于GSODNN和SDN的DDoS检测方法
CN114844679A (zh) * 2022-04-08 2022-08-02 西北大学 一种SDN中基于MCA-KMeans算法的分布式拒绝服务攻击检测方法
CN115225353A (zh) * 2022-07-04 2022-10-21 安徽大学 兼顾DoS/DDoS洪泛和慢速HTTP DoS的攻击检测方法
CN115225353B (zh) * 2022-07-04 2024-05-03 安徽大学 兼顾DoS/DDoS洪泛和慢速HTTP DoS的攻击检测方法

Also Published As

Publication number Publication date
CN108848095B (zh) 2021-03-02

Similar Documents

Publication Publication Date Title
CN108848095A (zh) SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
CN107959690B (zh) 基于软件定义网络的DDoS攻击跨层协同防御方法
Tang et al. MF-Adaboost: LDoS attack detection based on multi-features and improved Adaboost
CN109981691B (zh) 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN107483512B (zh) 基于时间特征的SDN控制器DDoS检测与防御方法
CN106572107B (zh) 一种面向软件定义网络的DDoS攻击防御系统与方法
CN109120630B (zh) 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法
CN106921666A (zh) 一种基于协同理论的DDoS攻击防御系统及方法
CN110336830B (zh) 一种基于软件定义网络的DDoS攻击检测系统
CN106657107A (zh) 一种SDN中基于信任值的自适应启动的ddos防御方法和系统
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN105162759A (zh) 一种基于网络层流量异常的SDN网络DDoS攻击检测方法
CN109274673A (zh) 一种网络流量异常检测和防御方法
CN105187437B (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN108183917A (zh) 基于软件定义网络的DDoS攻击跨层协同检测方法
CN113660209B (zh) 一种基于sketch与联邦学习的DDoS攻击检测系统及应用
CN108718297A (zh) 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质
CN112995202A (zh) 一种基于SDN的DDoS攻击检测方法
CN108011894A (zh) 一种软件定义网络下僵尸网络检测系统及方法
CN107566192A (zh) 一种异常流量处理方法及网管设备
CN109347889A (zh) 一种针对软件定义网络的混合型DDoS攻击检测的方法
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
Tan et al. DDoS detection method based on Gini impurity and random forest in SDN environment
CN113630420A (zh) 一种基于SDN的DDoS攻击检测方法
CN105099799B (zh) 僵尸网络检测方法和控制器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant