CN109274673B - 一种网络流量异常检测和防御方法 - Google Patents
一种网络流量异常检测和防御方法 Download PDFInfo
- Publication number
- CN109274673B CN109274673B CN201811123913.7A CN201811123913A CN109274673B CN 109274673 B CN109274673 B CN 109274673B CN 201811123913 A CN201811123913 A CN 201811123913A CN 109274673 B CN109274673 B CN 109274673B
- Authority
- CN
- China
- Prior art keywords
- flow
- flow table
- port
- defense
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量异常检测和防御方法,包括下述步骤:S1,建立网络流量异常检测与防御架构,并收集流表项信息;其中,所述网络流量异常检测与防御架构包括Ryu控制器单元、基于BP神经网络的异常检测单元、基于OpenFlow协议的OpenvSwitch交换机和接入设备,所述Ryu控制器单元包括流表信息收集模块、流表特征提取模块和防御流表项生成模块,所述流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息;本发明可便捷地提取出源端口、目的端口、源IP、目的IP、转发数据包数、转发字节数以及持续时间等网络流量信息,并充分利用SDN架构可动态更新流规则的特点,当检测到异常时,自动生成Action为Drop的流表项,阻断后续流量。
Description
技术领域
本发明涉及网络流量检测技术领域,具体涉及一种网络流量异常检测和防御方法。
背景技术
随着互联网的快速发展以及网络规模的不断扩大,网络管理和安全控制变得愈加困难。软件定义网络(SDN)是一种新型的网络架构,其利用分层的思想,将网络解耦为应用层、控制层、数据转发层,并构建开放可编程的网络环境。其中控制层提供北向接口,以开发网络相关应用,如防火墙、IDS以及流量监控,同时控制层提供了南向接口,以管理和配置数据层面的转发交换机。SDN将传统的网络架构从分布式控制转为集中控制管理,并以软件的方式驱动网络控制,这一方面使得网络可视化和管理更为便捷和有效,另一方面随着网络中业务新需求的日益增加,SDN网络可以方便地对流量、带宽进行管理,并开发、测试和应用新的网络协议,打破网络设备商垄断的封闭局面。
网络流量异常检测作为网络动态安全的核心技术之一,能够实时监控网络的运行状态,并主动对网络流量异常进行报警。在传统网络中,网络流的特征获取以及动态防御都较为困难。软件定义网络(SDN)的出现为传统的网络流量异常检测和防御技术提供了新思路,SDN网络具有控制中心化、灵活可编程、全局网络视图、基于流规则的转发机制以及动态更新流转发规则的特点,且基于OpenFlow协议的SDN网络可以以很低的网络开销获取网络流的字段以及流统计信息。
SDN集中开放可编程的特点也为很多传统应用的安全防护提供了新的思路,如利用集中控制的特性,根据OpenFlow流发现流量异常,防范垃圾邮件、蠕虫和DDoS攻击等。在目前的研究中,针对网络流量异常检测技术,一些研究者提出了在SDN环境下的检测技术方案:
(1)文献(Braga R,Mota E,Passito A.Lightweight DDoS flooding attackdetection using NOX/OpenFlow[C]//Local Computer Networks(LCN),2010IEEE 35thConference on.IEEE,2010:408-415)提出一种基于机器学习算法Self-Organizing Maps(SOM)的DDoS攻击检测方法,通过收集的流表项统计信息,从中提取出APf(Average ofPackets per flow)、ABf(Average of Bytes per flow)、ADf(Average of Duration perflow)、PPf(Percentage of Pair-flows)、GSf(Growth of Single-flows)、GDP(Growth ofDifferent Ports)六元组作为SOM算法的输入特征向量,但是,该文献中没有提到在检测到攻击后,该如何缓解或者阻止攻击;
(2)文献(Mehdi S A,Khalid J,Khayam S A.Revisiting traffic anomalydetection using software defined networking[C]//International workshop onrecent advances in intrusion detection.Springer,Berlin,Heidelberg,2011:161-180)利用SDN网络的可编程特点,将传统的TRW-CB(Threshold Random Walk with CreditBased Rate Limiting)、Rate Limiting、Maximum Entropy Detector、NETAD算法在NOX控制器上实现,用来检测内部主机主动扫描攻击、恶意数据包以及过滤非法流量,但是,其主要是针对办公、家庭的网络环境,通信数据量较小;
(3)文献(Giotis K,Argyropoulos C,Androulidakis G,et al.CombiningOpenFlow and sFlow for an effective and scalable anomaly detection andmitigation mechanism on SDN environments[J].Computer Networks,2014,62:122-136)提出一种基于OpenFlow协议和sFlow协议的检测和防御方法,其利用sFlow技术的数据包采样能力,从OpenFlow交换机中采集流表统计信息到检测模块中,减少了收集OpenFlow交换机流表项统计信息的通信量以及控制器的负载,此外检测模块采用了基于信息熵的检测技术,主要是根据源端口、目的端口、源IP和目的IP的熵值变化来判定是否为异常流量,检测对象包括了DDoS、蠕虫传播和端口扫描,并使用预先定义的白名单来过滤出正常流量,同时控制器向OpenFlow交换机下发除了白名单之外其他所有流量包都丢弃的流规则,但是,流表采样的频率可能会影响到异常检测的准确率;
(4)文献(Tang T A,Mhamdi L,McLernon D,et al.Deep learning approach fornetwork intrusion detection in software defined networking[C]//WirelessNetworks and Mobile Communications(WINCOM),2016International Conferenceon.IEEE,2016:258-263)提出了基于深度学习入侵检测方法,其使用kddcup1999数据集作为方法可行性验证集,但是,没有在实际的SDN环境中测试;
(5)文献(王晓瑞,庄雷,胡颖,王国卿,马丁,景晨凯.SDN环境下基于BP神经网络的DDoS攻击检测方法[J].计算机应用研究,2018(03):1-2)提出了一种基于BP神经网络的DDoS攻击检测方法,其也是采用了APf、ABf、ADf、PPf、GSf、GDP六元组作为BP神经网路的输入特征向量,但是,对于如何防御没有作研究。
发明内容
本发明的目的在于克服现有技术的缺点与不足,提供一种网络流量异常检测和防御方法,该方法通过周期性获取网络接入层中OpenFlow交换机的所有流表项信息,在基于端口提取流表项的关键特征后,构建检测特征矩阵,使用异常检测算法进行检测,若检测到异常,则通过控制器的防御模块下发一条防御流表项,Action部分为Drop且优先级最高的新流表项,以将后续异常流量丢弃,达到防御目的。
本发明的目的通过下述技术方案实现:
一种网络流量异常检测和防御方法,包括下述步骤:
S1,建立网络流量异常检测与防御架构,并收集流表项信息;
其中,所述网络流量异常检测与防御架构包括Ryu控制器单元、基于BP神经网络的异常检测单元、基于OpenFlow协议的OpenvSwitch交换机和接入设备,所述Ryu控制器单元包括流表信息收集模块、流表特征提取模块和防御流表项生成模块,所述流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息;
S2,根据流表特征提取方法提取流表特征,生成特征向量,构建网络流量异常检测矩阵;
其中,所述流表特征提取方法的具体过程如下:
S2.1,根据收集到的流表项信息生成每个端口的流表项集合flowSet,其公式如下所示:
flowSet={(sipi,dipi,sporti,dporti,pcounti,bcounti,dcounti,protocoli)|i=1,2,…,NflowSet},
其中NflowSet表示所接受到的流表项的总条目数,sipi表示第i条流表项中的源IP,dipi表示第i条流表项中的目的IP,sporti表示第i条流表项中的源端口,dporti表示第i条流表项中的目的端口,pcounti表示第i条流表项所接受的数据包数量,bcounti表示第i条流表项所接受的字节量,dcounti表示第i条流表项所持续的时间,protocoli表示第i条流表项传输层协议;
S2.2,根据每个端口的流表项集合flowSet,传输层协议和流表的匹配方向,将flowSet分成六个集合,分别为tcpInFlowSet,tcpOutFlowSet,udpInFlowSet,udpOutFlowSet,icmpInFlowSet,icmpOutFlowSet;
其中tcpInFlowSet表示用以匹配从该端口进入的TCP流量的流表集合;tcpOutFlowSet表示用以匹配从该端口出去的TCP流量的流表集合;udpInFlowSet表示用以匹配从该端口进入的UDP流量的流表集合;udpOutFlowSet表示用以匹配从该端口出去的UDP流量的流表集合;icmpInFlowSet表示用以匹配从该端口进入的ICMP流量的流表集合;icmpOutFlowSet表示用以匹配从该端口出去的ICMP流量的流表集合;
S2.3,对六个集合分别提取特征向量,其中每个特征向量包含源IP信息熵(sipH)、目的IP信息熵(dipH)、源端口信息熵(sportH)、目的端口信息熵(dportH)、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征;生成该六个集合的特征向量,即tcpInFlowFeature、tcpOutFlowFeature、udpInFlowFeature、udpOutFlowFeature、icmpInFlowFeature和icmpOutFlowFeature,根据该六个特征向量构建端口网络流量异常检测矩阵;
S3,使用S1中的基于BP神经网络的异常检测单元进行异常检测;
S4,当检测到异常时,Ryu控制器单元的防御流表项生成模块生成防御流表项,流表项Action部分为Drop,丢弃后续的流量,从而达到防御的目的。
本发明与现有技术相比具有以下的有益效果:
(1)本发明的网络流量异常检测与防御方法是基于OpenFlow协议的SDN架构,与传统网络的工作模式相差巨大,可便捷地提取出源端口、目的端口、源IP、目的IP、转发数据包数、转发字节数以及持续时间等网络流量信息,并充分利用SDN架构可动态更新流规则的特点,当检测到异常时,自动生成Action为Drop的流表项,阻断后续流量;
(2)本发明收集了网络接入层OpenvSwitch交换机的流表信息,并基于端口进行特征提取和生成特征向量,当检测到异常时,可准确地定位异常的接入端口,有利于攻击源和攻击目标的鉴别;
(3)本发明在提取特征时,使用了信息熵的方法来描述源IP、目的IP、源端口和目的端口的变化,能更好的反应在流量异常时这些特征的变化;并提取了源IP样本熵(sipH)、目的IP样本熵(dipH)、源端口样本熵(sportH)、目的端口(dportH)样本熵、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征,能更好的描述流量的异常变化。
附图说明
图1为本发明的网络流量异常检测与防御架构示意图;
图2为本发明的整体流程图;
图3为本发明的OpenFlow流表项结构示意图;
图4为本发明的特征矩阵生成流程图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
如图1~4所示,一种网络流量异常检测和防御方法,包括下述步骤:
步骤一,如图1所示,建立网络流量异常检测与防御架构,并收集流表项信息;
其中,所述网络流量异常检测与防御架构包括Ryu控制器单元、基于BP神经网络的异常检测单元、基于OpenFlow协议的OpenvSwitch交换机和接入设备,所述Ryu控制器单元包括流表信息收集模块、流表特征提取模块和防御流表项生成模块,所述流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息;
步骤二,根据流表特征提取方法提取流表特征,生成特征向量,构建网络流量异常检测矩阵;
其中,所述流表特征提取方法的具体过程如下:
1、根据收集到的流表项信息生成每个端口的流表项集合flowSet,其公式如下所示:
flowSet={(sipi,dipi,sporti,dporti,pcounti,bcounti,dcounti,protocoli)|i=1,2,…,NflowSet},
其中NflowSet表示所接受到的流表项的总条目数,sipi表示第i条流表项中的源IP,dipi表示第i条流表项中的目的IP,sporti表示第i条流表项中的源端口,dporti表示第i条流表项中的目的端口,pcounti表示第i条流表项所接受的数据包数量,bcounti表示第i条流表项所接受的字节量,dcounti表示第i条流表项所持续的时间,protocoli表示第i条流表项传输层协议;
2、根据每个端口的流表项集合flowSet,传输层协议和流表的匹配方向,将flowSet分成六个集合,分别为tcpInFlowSet,tcpOutFlowSet,udpInFlowSet,udpOutFlowSet,icmpInFlowSet,icmpOutFlowSet;
其中tcpInFlowSet表示用以匹配从该端口进入的TCP流量的流表集合;tcpOutFlowSet表示用以匹配从该端口出去的TCP流量的流表集合;udpInFlowSet表示用以匹配从该端口进入的UDP流量的流表集合;udpOutFlowSet表示用以匹配从该端口出去的UDP流量的流表集合;icmpInFlowSet表示用以匹配从该端口进入的ICMP流量的流表集合;icmpOutFlowSet表示用以匹配从该端口出去的ICMP流量的流表集合;
3、对六个集合分别提取特征向量,其中每个特征向量包含源IP信息熵(sipH)、目的IP信息熵(dipH)、源端口信息熵(sportH)、目的端口信息熵(dportH)、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征;
具体来说,以tcpInFlowSet集合为例,各特征的含义和计算方式如下:
①源IP信息熵(sipH);
根据tcpInFlowSet提取出源IP地址集合为sipSet={ki,p=1,2,..,K},在集合sipSet中不同的源IP个数有W个,则这W个端口发生次数集合为B={wi,i=1,…,W},表示第i个源IP地址发生了wi次,则源IP地址信息熵可被计算为:
其中S为tcpInFlowSet集合所有流表项数目;
②目的IP信息熵(dipH);
根据tcpInFlowSet提取出目的IP地址集合为dipSet={vi,p=1,2,..,V},在集合dipSet中不同的目的IP个数有R个,则这R个端口发生次数集合为B={ri,i=1,…,R},表示第i个目的IP地址发生了ri次,则目的IP地址信息熵可被计算为:
③源端口信息熵(sportH);
根据tcpInFlowSet提取出源端口集合为:sportSet={qi,q=1,2,..,Q},在集合sportSet中不同的端口个数有M个,则这M个端口发生次数集合为Y={mi,i=1,…,M},表示第i个源端口发生了mi次,则源端口信息熵可被计算为:
④目的端口信息熵(dportH);
根据tcpInFlowSet提取出目的IP地址集合为dipSet={vi,p=1,2,..,V},在集合dipSet中不同的目的IP个数有R个,则这R个端口发生次数集合为B={ri,i=1,…,R},表示第i个目的IP地址发生了ri次,则目的IP地址信息熵可被计算为:
⑤平均流包数(pcountA);
平均流包数表示tcpInFlowSet集合中流表项的平均匹配包数,计算如下:
其中pcounti为tcpInFlowSet集合中第i条流表项匹配的数据包数量;
⑥平均字节数(bcountA);
流表项平均字节数表示tcpInFlowSet集合中流表项的平均字节数,计算如下:
其中bcounti为tcpInFlowSet集合中第i条流表项所匹配的字节数;
⑦平均持续时间(dcountA);
平均持续时间表示tcpInFlowSet集合中流表项的平均持续时间,计算如下:
其中dcounti为tcpInFlowSet集合中第i条流表项的持续时间;
⑧流表生成速率(FGS);
其中ST表示当前周期tcpInFlowSet集合中流表项数目,ST-1表示上一个周期tcpInFlowSet集合中流表项数目。
通过提取tcpInFlowSet集合中的8个特征,生成tcpInFlowFeature向量,同理可得到剩余5个集合的特征向量tcpOutFlowFeature、udpInFlowFeature、udpOutFlowFeature、icmpInFlowFeature、icmpOutFlowFeature,依据这六个向量构建端口网络流量异常检测矩阵。
对六个集合分别提取上述8个特征,生成该六个集合的特征向量,即tcpInFlowFeature、tcpOutFlowFeature、udpInFlowFeature、udpOutFlowFeature、icmpInFlowFeature和icmpOutFlowFeature,根据该六个特征向量构建端口网络流量异常检测矩阵;
步骤三,使用步骤一中的基于BP神经网络的异常检测单元进行异常检测;
步骤四,当检测到异常时,Ryu控制器单元的防御流表项生成模块生成防御流表项,流表项Action部分为Drop,丢弃后续的流量,从而达到防御的目的。
本发明的整体流程如图2所示:
(1)流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息,交换机回复控制器发送ofp_flow_stats_request报文,获得的流表集合作为流特征提取模块的输入,流表项结构如图3所示;
(2)流表特征提取模块对获得的流表项信息进行处理,计算出网络接入层交换机各个端口的六个特征向量,每个特征向量包含源IP信息熵、目的IP信息熵、源端口信息熵、目的端口信息熵、平均流包数、平均字节数、平均持续时间和流表生成速率八维特征,具体流程如图4所示,具体计算方式如下:
①根据流表项集合flowSet生成各个端口的tcpInFlowSet,tcpOutFlowSet,udpInFlowSet,udpOutFlowSet,icmpInFlowSet,icmpOutFlowSet六个集合;
②根据①中各个端口的六个流表集合,分别计算出各个端口的tcpInFlowFeature、tcpOutFlowFeature、udpInFlowFeature、udpOutFlowFeature、icmpInFlowFeature和icmpOutFlowFeature六个特征向量,每个特征向量包含源IP样本熵(sipH)、目的IP样本熵(dipH)、源端口样本熵(sportH)、目的端口(dportH)样本熵、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征,各特征计算方式分别如上述公式(1)至(8)所示;
(3)生成足够多的样本,提取各个端口的检测特征向量,训练BP神经网络,直至满足所设定的误差要求;
(4)对新收集的流表信息提取出各个端口的检测特征向量,使用训练好的BP神经网络对其进行检测,并输出结果,正常为“1”,不正常为“0”;
(5)若检测结果为“0”,则启动防御流表项生成模块,生成对应端口的防御流表项,下发至交换机,丢弃后续流量,从而达到防御的效果。
本发明的网络流量异常检测与防御方法是基于OpenFlow协议的SDN架构,与传统网络的工作模式相差巨大,可便捷地提取出源端口、目的端口、源IP、目的IP、转发数据包数、转发字节数以及持续时间等网络流量信息,并充分利用SDN架构可动态更新流规则的特点,当检测到异常时,自动生成Action为Drop的流表项,阻断后续流量;收集了网络接入层OpenvSwitch交换机的流表信息,并基于端口进行特征提取和生成特征向量,当检测到异常时,可准确地定位异常的接入端口,有利于攻击源和攻击目标的鉴别;在提取特征时,使用了信息熵的方法来描述源IP、目的IP、源端口和目的端口的变化,能更好的反应在流量异常时这些特征的变化;并提取了源IP样本熵(sipH)、目的IP样本熵(dipH)、源端口样本熵(sportH)、目的端口(dportH)样本熵、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征,能更好的描述流量的异常变化。
上述为本发明较佳的实施方式,但本发明的实施方式并不受上述内容的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (1)
1.一种网络流量异常检测和防御方法,其特征在于,包括下述步骤:
S1,建立网络流量异常检测与防御架构,并收集流表项信息;
其中,所述网络流量异常检测与防御架构包括Ryu控制器单元、基于BP神经网络的异常检测单元、基于OpenFlow协议的OpenvSwitch交换机和接入设备,所述Ryu控制器单元包括流表信息收集模块、流表特征提取模块和防御流表项生成模块,所述流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息;
S2,根据流表特征提取方法提取流表特征,生成特征向量,构建网络流量异常检测矩阵;
其中,所述流表特征提取方法的具体过程如下:
S2.1,根据收集到的流表项信息生成每个端口的流表项集合flowSet,其公式如下所示:
flowSet={(sipi,dipi,sporti,dporti,pcounti,bcounti,dcounti,proto coli)|i=1,2,…,NflowSet},
其中NflowSet表示所接受到的流表项的总条目数,sipi表示第i条流表项中的源IP,dipi表示第i条流表项中的目的IP,sporti表示第i条流表项中的源端口,dporti表示第i条流表项中的目的端口,pcounti表示第i条流表项所接受的数据包数量,bcounti表示第i条流表项所接受的字节量,dcounti表示第i条流表项所持续的时间,protocoli表示第i条流表项传输层协议;
S2.2,根据每个端口的流表项集合flowSet,传输层协议和流表的匹配方向,将flowSet分成六个集合,分别为tcpInFlowSet,tcpOutFlowSet,udpInFlowSet,udpOutFlowSet,icmpInFlowSet,icmpOutFlowSet;
其中tcpInFlowSet表示用以匹配从该端口进入的TCP流量的流表集合;tcpOutFlowSet表示用以匹配从该端口出去的TCP流量的流表集合;udpInFlowSet表示用以匹配从该端口进入的UDP流量的流表集合;udpOutFlowSet表示用以匹配从该端口出去的UDP流量的流表集合;icmpInFlowSet表示用以匹配从该端口进入的ICMP流量的流表集合;icmpOutFlowSet表示用以匹配从该端口出去的ICMP流量的流表集合;
S2.3,对六个集合分别提取特征向量,其中每个特征向量包含源IP信息熵(sipH)、目的IP信息熵(dipH)、源端口信息熵(sportH)、目的端口信息熵(dportH)、平均流包数(pcountA)、平均字节数(bcountA)、平均持续时间(dcountA)和流表生成速率(FGS)八维特征;生成该六个集合的特征向量,即tcpInFlowFeature、tcpOutFlowFeature、udpInFlowFeature、udpOutFlowFeature、icmpInFlowFeature和icmpOutFlowFeature,根据该六个集合的特征向量构建端口网络流量异常检测矩阵;
S3,使用S1中的基于BP神经网络的异常检测单元进行异常检测;具体包括以下步骤:
S3.1,生成足够多的样本,提取各个端口的检测特征向量,训练BP神经网络,直至满足所设定的误差要求;
S3.2,对新收集的流表信息提取出各个端口的检测特征向量,使用训练好的BP神经网络对其进行检测,并输出结果,正常为“1”,不正常为“0”;
S3.3,若检测结果为“0”,则启动防御流表项生成模块,生成对应端口的防御流表项,下发至交换机,丢弃后续流量,从而达到防御的效果;
S4,当检测到异常时,Ryu控制器单元的防御流表项生成模块生成防御流表项,流表项Action部分为Drop,丢弃后续的流量,从而达到防御的目的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811123913.7A CN109274673B (zh) | 2018-09-26 | 2018-09-26 | 一种网络流量异常检测和防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811123913.7A CN109274673B (zh) | 2018-09-26 | 2018-09-26 | 一种网络流量异常检测和防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109274673A CN109274673A (zh) | 2019-01-25 |
CN109274673B true CN109274673B (zh) | 2021-02-12 |
Family
ID=65198166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811123913.7A Active CN109274673B (zh) | 2018-09-26 | 2018-09-26 | 一种网络流量异常检测和防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109274673B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020159439A1 (en) * | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
CN110011983B (zh) * | 2019-03-19 | 2021-02-19 | 中国民航大学 | 一种基于流表特征的拒绝服务攻击检测方法 |
US20240040381A1 (en) * | 2019-07-31 | 2024-02-01 | Hyundai Motor Company | Sdn-based intrusion response method for in-vehicle network and system using same |
CN110535723B (zh) * | 2019-08-27 | 2021-01-19 | 西安交通大学 | 一种sdn中采用深度学习的消息异常检测方法 |
CN111294328A (zh) * | 2019-10-23 | 2020-06-16 | 上海科技网络通信有限公司 | 基于信息熵计算对sdn网络主动安全防御的方法 |
CN111327590A (zh) * | 2020-01-19 | 2020-06-23 | 中国联合网络通信集团有限公司 | 一种攻击处理方法及装置 |
CN111695148B (zh) * | 2020-05-15 | 2023-07-04 | 浙江信网真科技股份有限公司 | 一种网络节点自学习的安全过滤方法及装置 |
CN112153044B (zh) * | 2020-09-23 | 2021-11-12 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
CN112202791B (zh) * | 2020-09-28 | 2021-07-27 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
CN112261052B (zh) * | 2020-10-23 | 2022-10-25 | 中国人民解放军战略支援部队信息工程大学 | 基于流规则分析的sdn数据平面异常行为检测方法及系统 |
CN118138374B (zh) * | 2024-04-30 | 2024-06-28 | 深圳市优比格科技有限公司 | 一种基于云计算的网络安全防护方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
CN106060039A (zh) * | 2016-05-27 | 2016-10-26 | 广东工业大学 | 一种面向网络异常数据流的分类检测方法 |
CN106302021A (zh) * | 2016-08-18 | 2017-01-04 | 清华大学深圳研究生院 | 一种网络流转发异常检测方法 |
CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
US9628340B2 (en) * | 2014-05-05 | 2017-04-18 | Ciena Corporation | Proactive operations, administration, and maintenance systems and methods in networks using data analytics |
CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
CN107682377A (zh) * | 2017-11-22 | 2018-02-09 | 周燕红 | 一种在线流量异常检测方法及装置 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2688256A4 (en) * | 2011-03-18 | 2014-08-27 | Nec Corp | NETWORK SYSTEM AND SWITCHING METHOD |
US20150312215A1 (en) * | 2014-01-28 | 2015-10-29 | Lov Kher | Generating optimal pathways in software-defined networking (sdn) |
JP6435695B2 (ja) * | 2014-08-04 | 2018-12-12 | 富士通株式会社 | コントローラ,及びその攻撃者検知方法 |
-
2018
- 2018-09-26 CN CN201811123913.7A patent/CN109274673B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9628340B2 (en) * | 2014-05-05 | 2017-04-18 | Ciena Corporation | Proactive operations, administration, and maintenance systems and methods in networks using data analytics |
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
CN106060039A (zh) * | 2016-05-27 | 2016-10-26 | 广东工业大学 | 一种面向网络异常数据流的分类检测方法 |
CN106302021A (zh) * | 2016-08-18 | 2017-01-04 | 清华大学深圳研究生院 | 一种网络流转发异常检测方法 |
CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
CN107682377A (zh) * | 2017-11-22 | 2018-02-09 | 周燕红 | 一种在线流量异常检测方法及装置 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
Non-Patent Citations (2)
Title |
---|
An ecosystem for anomaly detection and mitigation in software-defined networking;Luiz Fernando Carvalho;《Expert Systems With Applications》;20180815;全文 * |
一种基于SDN的在线流量异常检测方法;左青云;《西安电子科技大学学报》;20150220;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109274673A (zh) | 2019-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109274673B (zh) | 一种网络流量异常检测和防御方法 | |
Braga et al. | Lightweight DDoS flooding attack detection using NOX/OpenFlow | |
CN108683682B (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
Ahmed et al. | DDoS attack mitigation in Internet of Things using software defined networking | |
Niyaz et al. | A deep learning based DDoS detection system in software-defined networking (SDN) | |
Hyun et al. | Towards knowledge-defined networking using in-band network telemetry | |
CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
CN105337951B (zh) | 对系统攻击进行路径回溯的方法与装置 | |
Cabaj et al. | SDN Architecture Impact on Network Security. | |
CN107683597A (zh) | 用于异常检测的网络行为数据收集和分析 | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
Hyun et al. | Knowledge-defined networking using in-band network telemetry | |
CN103782546A (zh) | 拆分架构网络中的全网络流量监测 | |
CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
CN107317758B (zh) | 一种高可靠性的细粒度sdn流量监控架构 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
Barthakur et al. | An efficient machine learning based classification scheme for detecting distributed command & control traffic of P2P botnets | |
Wijesinghe et al. | Botnet detection using software defined networking | |
CN117155629A (zh) | 一种基于人工智能的电力信息系统网络主动防御方法及系统 | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
CN105099799B (zh) | 僵尸网络检测方法和控制器 | |
CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
Kamamura et al. | Fast xFlow proxy: Exploring and visualizing deep inside of carrier traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |