CN109302378B - 一种SDN网络DDoS攻击检测方法 - Google Patents

一种SDN网络DDoS攻击检测方法 Download PDF

Info

Publication number
CN109302378B
CN109302378B CN201810770839.1A CN201810770839A CN109302378B CN 109302378 B CN109302378 B CN 109302378B CN 201810770839 A CN201810770839 A CN 201810770839A CN 109302378 B CN109302378 B CN 109302378B
Authority
CN
China
Prior art keywords
information entropy
time
data flow
time window
confidence interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810770839.1A
Other languages
English (en)
Other versions
CN109302378A (zh
Inventor
苘大鹏
杨武
王巍
玄世昌
吕继光
孙凤木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN201810770839.1A priority Critical patent/CN109302378B/zh
Publication of CN109302378A publication Critical patent/CN109302378A/zh
Application granted granted Critical
Publication of CN109302378B publication Critical patent/CN109302378B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种面向SDN网络的DDoS攻击检测方法,通过SDN的控制器统计数据流量,每收集到一个Packet‑in包计数器加1,当数据流量的收集窗口的总数量达到时间窗口数n,对数据流量进行预处理;根据泊松分布公式计算出每个时间窗口t内的Packet‑in数据包数所对应的概率值,依据信息熵公式计算出n个时间窗口的实时信息熵值;对正常样本和异常样本进行训练,得到信息熵阈值;当n个时间窗口的实时信息熵值小于信息熵阈值时,判定SDN网络中存在,系统报警。本发明能够及时有效地检测出SDN网络DDoS攻击,相对于传统的检测方法,减少了计算量并更具有适用性,提高了SDN网络中DDoS攻击的检测率。

Description

一种SDN网络DDoS攻击检测方法
技术领域
本发明属于软件定义网络领域,具体涉及一种面向SDN网络的DDoS攻击检测方法。
背景技术
目前SDN网络中的DDoS攻击检测方法多数是采用统计分析方法,加拿大研究学者T. Nakashima等人的检测方法,他们通过信息熵公式对控制器收集的数据包源IP或者目的IP进行分析,计算出源IP或者目的IP的信息熵值,最后与信息熵阈值比较来检测SDN网络中的DDoS攻击。这些检测方法结合了DDoS攻击的源IP伪造、目的IP高度集中等特性,但是,该方法并未充分利用SDN控制器的特点,同时还未考虑时间窗口大小和无效的目的IP等条件对信息熵的影响,只是单纯的分析的Packet-in数据包进行源IP地址信息熵的计算,当攻击者变换攻击方式时该检测方法就不能有效的检测出DDoS,因此在不同的攻击情况下该检测方法显示出了不可避免的局限性。
发明内容
本发明的目的在于提供了一种SDN网络DDoS攻击检测方法。
本发明的目的是这样实现的:
一种SDN网络DDoS攻击检测方法,其特征在于,具体的实现步骤如下:
步骤1.统计数据流量,在SDN的控制器中设定每个时间窗口的持续时间t和时间窗口数 n,对每一时间窗口中的边界交换机提交的Packet-in包进行统计,每收集到一个Packet-in包计数器加1,当数据流量的收集窗口的总数量达到时间窗口数n,对数据流量进行预处理;
步骤2.数据流量预处理,根据泊松分布公式计算出每个时间窗口t内的Packet-in数据包数所对应的概率值,依据信息熵公式计算出n个时间窗口的实时信息熵值;
步骤3.选定信息熵阈值,对正常样本和异常样本进行训练,得到信息熵阈值;
步骤4.攻击检测判定,比较实时信息熵值与信息熵阈值,当n个时间窗口的实时信息熵值小于信息熵阈值时,判定SDN网络中存在DDoS攻击流;
步骤5.攻击报警,当SDN网络中存在DDoS攻击流时,系统报警。
步骤1中所述的时间窗口选定的方式为,将时间窗口的持续时间设为不同的持续时间,选取控制器接收数据包的分布与泊松分布理论模型偏差最小时的持续时间为时间窗口的持续时间t,再由窗口持续时间再选取时间窗口数n。
步骤2所述的对数据流量预处理,数据流量预处理主要采用泊松分布的熵值计算方法对实时采集的数据流量进行处理,根据泊松分布公式,计算出每个时间窗口内的流量的概率,
Pk(t)=(e)-λt(λt)k/k!
根据信息熵公式计算出n个时间窗口内的信息熵值,
Figure BDA0001730213920000021
步骤3所述的对正常样本和异常样本进行训练是指,对正常样本进行流量预处理,然后采用统计分析的方法计算出多组正常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值,对异常样本进行流量预处理,然后采用统计分析的方法计算出多组异常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值。
步骤3所述的选定信息熵阈值是指,选取正常样本数据流量的置信区间的最小值和异常样本数据流量的置信区间的最大值之间的值,作为检测方法模型的阈值。
本发明的有益效果在于:本发明能够及时并且有效地检测出SDN网络DDoS攻击,同时,相对于实时统计50个数据包的目的IP信息熵或者源IP信息熵的检测方法,减少了计算量。相对于基于目的IP信息熵的检测方法或者是基于源IP信息熵的检测方法更具有适用性,提高了SDN网络中DDoS攻击的检测率。
附图说明
图1为DDoS检测模型流程图。
图2为正常训练流程图。
图3为异常训练流程图。
图4为阈值分析结果。
图5为检出率和误报率的实验结果。
图6为检出率和误报率对比结果。
具体实施方式
下面结合附图对本发明做进一步的描述:
实施例1
一种SDN网络DDoS攻击检测方法,其特征在于,具体的实现步骤如下:
步骤1.统计数据流量,在SDN的控制器中设定每个时间窗口的持续时间t和时间窗口数 n,对每一时间窗口中的边界交换机提交的Packet-in包进行统计,每收集到一个Packet-in包计数器加1,当数据流量的收集窗口的总数量达到时间窗口数n,对数据流量进行预处理;
步骤2.数据流量预处理,根据泊松分布公式计算出每个时间窗口t内的Packet-in数据包数所对应的概率值,依据信息熵公式计算出n个时间窗口的实时信息熵值;
步骤3.选定信息熵阈值,对正常样本和异常样本进行训练,得到信息熵阈值;
步骤4.攻击检测判定,比较实时信息熵值与信息熵阈值,当n个时间窗口的实时信息熵值小于信息熵阈值时,判定SDN网络中存在DDoS攻击流;
步骤5.攻击报警,当SDN网络中存在DDoS攻击流时,系统报警。
步骤1中所述的时间窗口选定的方式为,将时间窗口的持续时间设为不同的持续时间,选取控制器接收数据包的分布与泊松分布理论模型偏差最小时的持续时间为时间窗口的持续时间t,再由窗口持续时间再选取时间窗口数n。
步骤2所述的对数据流量预处理,数据流量预处理主要采用泊松分布的熵值计算方法对实时采集的数据流量进行处理,根据泊松分布公式,计算出每个时间窗口内的流量的概率,
Pk(t)=(e)-λt(λt)k/k!
根据信息熵公式计算出n个时间窗口内的信息熵值,
Figure BDA0001730213920000031
步骤3所述的对正常样本和异常样本进行训练是指,对正常样本进行流量预处理,然后采用统计分析的方法计算出多组正常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值;对异常样本进行流量预处理,根据泊松分布公式,分别计算出每个时间窗口内到达的异常流的概率,最终计算出n个时间窗口内的信息熵值。重复多组异常流样本训练,测得多组训练结果,然后采用统计分析的方法计算出多组异常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值。
步骤3所述的选定信息熵阈值是指,由训练样本的数据流我们可以得出正常的样本数据流的信息熵的均值,根据SDN控制器中检测DDoS的方法模型的需要,选取正常样本数据流的置信区间的最小值和异常样本数据流的置信区间的最大值之间的值,使用这个值是作为检测方法模型的阈值。通过对多组训练实验数据的分析,我们选取的阈值是比异常流样本的置信区间最大值略微大一些的值作为阈值。
步骤4所述的攻击检测判定是指攻击检测判定的依据将控制器对流量预处理后得到的实时信息熵值与训练样本的数据量中选取出的阈值进行比较,当SDN的数据流中存在攻击时,由于网络中的流量分布不是随机而是有序攻击流的,所以计算出的数据流信息熵值会比较小,如果实时统计的n个时间窗口的数据流信息熵值小于阈值,那么可以判定SDN网络中存在 DDoS攻击流。
实施例2
本发明属于软件定义网络领域,主要是一种面向SDN网络的DDoS攻击检测方法。
目前SDN网络中的DDoS攻击检测方法多数是采用统计分析方法,加拿大研究学者T. Nakashima等人的检测方法,他们通过信息熵公式对控制器收集的数据包源IP或者目的IP进行分析,计算出源IP或者目的IP的信息熵值,最后与信息熵阈值比较来检测SDN网络中的 DDoS攻击。这些检测方法结合了DDoS攻击的源IP伪造、目的IP高度集中等特性,但是,该方法并未充分利用SDN控制器的特点,同时还未考虑时间窗口大小和无效的目的IP等条件对信息熵的影响,只是单纯的分析的Packet-in数据包进行源IP地址信息熵的计算,当攻击者变换攻击方式时该检测方法就不能有效的检测出DDoS,因此在不同的攻击情况下该检测方法显示出了不可避免的局限性。
本发明旨在提供一种更好的SDN网络DDoS攻击检测方法
本发明的检测步骤:
(1)在控制器上设定统计Packet-in数据包流量的每个时间窗口的t和总的时间窗口n。
(2)根据泊松分布公式计算出每个时间窗口内的Packet-in数据包数所对应的概率值。
(3)依据信息熵公式计算出n个时间窗口的信息熵值。
(4)按照步骤一到步骤四进行正常样本训练和异常样本训练,并选定信息熵阈值。
(5)将实时Packet-in数据包的信息熵与阈值对比,判定是否有SDN网络DDoS攻击。
本发明能够及时并且有效地检测出SDN网络DDoS攻击,同时,相对于实时统计50个数据包的目的IP信息熵或者源IP信息熵的检测方法,减少了计算量。而且,相对于基于目的IP信息熵的检测方法或者是基于源IP信息熵的检测方法更具有适用性,提高了SDN网络中DDoS攻击的检测率。
下面结合附图举例对本发明做详细的描述:
(1)时间窗口选定
将时间窗口的持续时间分别设定为不同的时间值。对比不同时间窗口持续时间下,控制器接收到交换机的数据包的分布情况,选取和泊松分布理论模型偏差较小的持续时间为每个时间窗口的时间。根据选定好的窗口持续时间再选取合适的时间窗口大小。
(2)样本流量的训练
正常流样本训练,设定每个时间窗口的持续时间t和时间窗口数n,对每个时间窗口上的正常流进行统计,并进行流量预处理。流量预处理主要采用中的泊松分布的熵值计算方法对实时采集的正常流进行处理。根据泊松分布公式,计算出每个时间窗口内的流量的概率。
Pk(t)=(e)-λt(λt)k/k! (1)
最终,根据信息熵公式计算出n个时间窗口内的信息熵值。通过多次正常流样本训练,测得多组训练结果。
Figure BDA0001730213920000051
并采用统计分析的方法计算出多组正常流样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值。
异常流样本训练,对每个窗口内的异常流实时统计,对统计到的异常流进行预处理。流量预处理采用泊松分布的信息熵统计方法对实时采集的异常流进行处理。根据泊松分布公式,分别计算出每个时间窗口内到达的异常流的概率,最终计算出n个时间窗口内的信息熵值。重复多组异常流样本训练,测得多组训练结果。通过统计分析的方法得出异常流量的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值。
(3)选取合适的阈值
选取一个合适的阈值给够提高我们的检测的精确性,由训练样本的数据流我们可以得出正常的样本数据流的信息熵的均值,根据SDN控制器中检测DDoS的方法模型的需要,选取正常样本数据流的置信区间的最小值和异常样本数据流的置信区间的最大值之间的值,使用这个值是作为检测方法模型的阈值。通过对多组训练实验数据的分析,我们选取的阈值是比异常流样本的置信区间最大值略微大一些的值作为阈值。
(4)统计数据流
SDN中每一个新接入的设备,每一条新产生的数据流,基础层的交换机都会向控制层的控制器发送数据包,控制器具有统计收集数据流的功能,同时具有监控整个网络数据流的功能,没收到一个数据包控制器就可以记录下,在SDN控制器中检测DDoS的方法模型,我们将利用这一功能对每一时间窗口中的边界交换机提交的Packet-in包进行统计,每收集到一个 Packet-in包计数器加1,当数据流的收集窗口的总数量达到事先设置的最大窗口数,对数据流进行预处理。
(5)流量预处理
在SDN的控制器中设置好统计边界交换机提交Packet-in包时间窗口t的窗口数n,利用控制器统计出时间窗口t内所有交换机发送给控制器的Packet-in数据包,对每一时间窗口中的交换机发送的Packet-in数据包进行统计;然后依照泊松概率公式算出所有窗口t内Packet- in数据包的概率大小,再根据信息熵计算公式计算出窗口中的熵值。
(6)攻击检测判定
攻击检测判定的依据将控制器对流量预处理后得到的实时信息熵值与训练样本的数据量中选取出的阈值进行比较,当SDN的数据流中存在攻击时,由于网络中的流量分布不是随机而是有序攻击流的,所以计算出的数据流信息熵值会比较小,如果实时统计的n个时间窗口的数据流信息熵值小于阈值,那么可以判定SDN网络中存在DDoS攻击流。
(7)攻击报警
实时统计的n个时间窗口内的数据流信息熵值小于阈值时DDoS检测系统报警。
根据上面可知,这种检测方法有效地结合了交换机和控制器之间的通信特性和DDoS攻击的流量突发性,从时间上考虑交换机提交给控制器的数据包分布情况,通过信息熵公式,计算出时间窗口内的流量熵值。攻击者对SDN网络发动DDoS攻击时,无论攻击者采用何种策略来构造针对控制器的攻击数据包,都将导致时间窗口流量突增,信息熵下降。因此,该检测方法相对于基于目的IP信息熵或者是源IP信息熵的检测方法更具有适用性,提高了SDN 网络中的DDoS攻击。因此该检测方法具有了较广的应用范围,具有实际意义。

Claims (1)

1.一种SDN网络DDoS攻击检测方法,其特征在于,具体的实现步骤如下:
步骤1.统计数据流量,在SDN的控制器中设定每个时间窗口的持续时间t和时间窗口数n,对每一时间窗口中的边界交换机提交的Packet-in包进行统计,每收集到一个Packet-in包计数器加1,当数据流量的收集窗口的总数量达到时间窗口数n,对数据流量进行预处理;
步骤2.数据流量预处理,根据泊松分布公式计算出每个时间窗口t内的Packet-in数据包数所对应的概率值,依据信息熵公式计算出n个时间窗口的实时信息熵值;
步骤3.选定信息熵阈值,对正常样本和异常样本进行训练,得到信息熵阈值;
步骤4.攻击检测判定,比较实时信息熵值与信息熵阈值,当n个时间窗口的实时信息熵值小于信息熵阈值时,判定SDN网络中存在DDoS攻击流;
步骤5.攻击报警,当SDN网络中存在DDoS攻击流时,系统报警;
步骤1中所述的时间窗口选定的方式为,将时间窗口的持续时间设为不同的持续时间,选取控制器接收数据包的分布与泊松分布理论模型偏差最小时的持续时间为时间窗口的持续时间t,再由窗口持续时间再选取时间窗口数n;
步骤2所述的对数据流量预处理,数据流量预处理主要采用泊松分布的熵值计算方法对实时采集的数据流量进行处理,根据泊松分布公式,计算出每个时间窗口内的流量的概率,
Pk(t)=(e)-λt(λt)k/k!
根据信息熵公式计算出n个时间窗口内的信息熵值,
Figure FDA0002789072150000011
步骤3所述的对正常样本和异常样本进行训练是指,对正常样本进行流量预处理,然后采用统计分析的方法计算出多组正常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值,对异常样本进行流量预处理,然后采用统计分析的方法计算出多组异常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值;
步骤3所述的选定信息熵阈值是指,选取正常样本数据流量的置信区间的最小值和异常样本数据流量的置信区间的最大值之间的值,作为检测方法模型的阈值。
CN201810770839.1A 2018-07-13 2018-07-13 一种SDN网络DDoS攻击检测方法 Active CN109302378B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810770839.1A CN109302378B (zh) 2018-07-13 2018-07-13 一种SDN网络DDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810770839.1A CN109302378B (zh) 2018-07-13 2018-07-13 一种SDN网络DDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN109302378A CN109302378A (zh) 2019-02-01
CN109302378B true CN109302378B (zh) 2021-01-05

Family

ID=65172173

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810770839.1A Active CN109302378B (zh) 2018-07-13 2018-07-13 一种SDN网络DDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN109302378B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011999B (zh) * 2019-03-29 2021-02-26 东北大学 基于深度学习的IPv6网络DDoS攻击检测系统及方法
CN110011932B (zh) * 2019-04-18 2022-04-05 清华大学深圳研究生院 一种可识别未知流量的网络流量分类方法和终端设备
CN109981691B (zh) * 2019-04-30 2022-06-21 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN110138759A (zh) * 2019-05-06 2019-08-16 华东师范大学 SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统
CN110275508B (zh) * 2019-05-08 2021-09-28 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110225037B (zh) * 2019-06-12 2021-11-30 广东工业大学 一种DDoS攻击检测方法和装置
CN110798442B (zh) * 2019-09-10 2023-01-20 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
CN111294328A (zh) * 2019-10-23 2020-06-16 上海科技网络通信有限公司 基于信息熵计算对sdn网络主动安全防御的方法
CN111392525B (zh) * 2020-04-03 2023-02-03 上海三菱电梯有限公司 电梯调配的方法
CN111756719B (zh) * 2020-06-17 2022-06-24 哈尔滨工业大学 SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN111818037A (zh) * 2020-07-02 2020-10-23 上海工业控制安全创新科技有限公司 基于信息熵的车载网络流量异常检测防御方法及防御系统
CN111800419B (zh) * 2020-07-06 2021-06-15 东北大学 一种SDN环境下DDoS攻击检测系统及方法
CN112653658A (zh) * 2020-09-02 2021-04-13 浙江德迅网络安全技术有限公司 一种SDN环境下基于信息熵的DDoS攻击检测方法
CN112087450B (zh) * 2020-09-09 2022-11-04 北京明略昭辉科技有限公司 一种异常ip识别方法、系统及计算机设备
CN114389830A (zh) * 2020-10-20 2022-04-22 中国移动通信有限公司研究院 DDoS攻击检测方法、装置、设备和可读存储介质
CN112367311B (zh) * 2020-10-30 2023-04-07 中移(杭州)信息技术有限公司 DDoS攻击检测方法、装置、设备及存储介质
CN112702347A (zh) * 2020-12-24 2021-04-23 滨州学院 一种基于sdn入侵检测技术
CN112910918A (zh) * 2021-02-26 2021-06-04 南方电网科学研究院有限责任公司 基于随机森林的工控网络DDoS攻击流量检测方法及装置
CN113242225B (zh) * 2021-04-30 2021-12-31 北京理工大学 基于流数据的黎曼流形结构的DDoS攻击检测方法
CN114172702A (zh) * 2021-11-26 2022-03-11 中能电力科技开发有限公司 一种电网工控系统网络安全监测方法及系统
CN114363005A (zh) * 2021-12-08 2022-04-15 北京六方云信息技术有限公司 基于机器学习的icmp检测方法、系统、设备及介质
CN114257459B (zh) * 2022-01-14 2023-09-05 湖南警察学院 一种信息物理系统及其跨层攻击路径溯源方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580173A (zh) * 2014-12-25 2015-04-29 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种sdn异常检测与阻截方法及系统
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN106911669A (zh) * 2017-01-10 2017-06-30 浙江工商大学 一种基于深度学习的ddos检测方法
CN108234516A (zh) * 2018-01-26 2018-06-29 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580173A (zh) * 2014-12-25 2015-04-29 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种sdn异常检测与阻截方法及系统
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN106911669A (zh) * 2017-01-10 2017-06-30 浙江工商大学 一种基于深度学习的ddos检测方法
CN108234516A (zh) * 2018-01-26 2018-06-29 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"An Easy Defense Mechanism Against Botnet-based DDoS Flooding Attack Originated in SDN Environment Using sFlow";Yiqin;《ACM》;20160615;第2-4节 *
"Early detection of DDoS attacks against SDN controllers";Seyed Mohammad Mou savi;《2015International Conference on Computing, Networking and Communications (ICNC)》;20150330;第2-4节 *
"面向SDN网络的安全事件检测技术研究";韩爽;《道客巴巴》;20180529;全文 *
Seyed Mohammad Mou savi."Early detection of DDoS attacks against SDN controllers".《2015International Conference on Computing, Networking and Communications (ICNC)》.2015, *

Also Published As

Publication number Publication date
CN109302378A (zh) 2019-02-01

Similar Documents

Publication Publication Date Title
CN109302378B (zh) 一种SDN网络DDoS攻击检测方法
CN107483455B (zh) 一种基于流的网络节点异常检测方法和系统
CN108282497B (zh) 针对SDN控制平面的DDoS攻击检测方法
CN105847283A (zh) 一种基于信息熵方差分析的异常流量检测方法
CN109120630B (zh) 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法
CN108632224B (zh) 一种apt攻击检测方法和装置
CN100384149C (zh) 突发性异常网络流量的检测与监控方法
CN106357673B (zh) 一种多租户云计算系统DDoS攻击检测方法及系统
CN110225037B (zh) 一种DDoS攻击检测方法和装置
CN102271091B (zh) 一种网络异常事件分类方法
CN105187437B (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN112261000B (zh) 一种基于PSO-K算法的LDoS攻击检测方法
CN108965055A (zh) 一种基于历史时间取点法的网络流量异常检测方法
CN102571487B (zh) 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN108848095A (zh) SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
CN107070930B (zh) 一种面向主机的可疑网络连接识别方法
CN103139166A (zh) 基于小信号检测理论的LDoS攻击检测方法
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN117411811B (zh) 一种电力通信设备的故障智能监测方法
CN107248996A (zh) 一种dns放大攻击的检测与过滤方法
CN100352208C (zh) 一种大型网站数据流的检测与防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant