CN109510843A - 一种Crossfire链路洪泛攻击的SND移动目标防御方法 - Google Patents

一种Crossfire链路洪泛攻击的SND移动目标防御方法 Download PDF

Info

Publication number
CN109510843A
CN109510843A CN201910006214.2A CN201910006214A CN109510843A CN 109510843 A CN109510843 A CN 109510843A CN 201910006214 A CN201910006214 A CN 201910006214A CN 109510843 A CN109510843 A CN 109510843A
Authority
CN
China
Prior art keywords
link
heavy
flow
route
congestion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910006214.2A
Other languages
English (en)
Inventor
谢丽霞
丁颖
杨宏宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Civil Aviation University of China
Original Assignee
Civil Aviation University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Civil Aviation University of China filed Critical Civil Aviation University of China
Priority to CN201910006214.2A priority Critical patent/CN109510843A/zh
Publication of CN109510843A publication Critical patent/CN109510843A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种Crossfire链路洪泛攻击的SDN移动目标防御方法,包括下列步骤:1)对于给定的一个网络拓扑,将其构建为基于关系序偶集合的网络模型;2)拥塞监控组件对构建出的网络模型进行监控,并根据监控结果判断网络模型是否出现严重拥塞链路,若判断结果为“是”,则利用SDN控制器动态调整网络配置和网络行为:若判断结果为“否”,则继续监控;该Crossfire链路洪泛攻击的SDN移动目标防御机制在进行Crossfire链路洪泛攻击防御时,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。

Description

一种Crossfire链路洪泛攻击的SND移动目标防御方法
技术领域
本发明涉及网络信息安全技术领域,特别涉及一种Crossfire链路洪泛攻击的SDN移动目标防御方法。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击对互联网的威胁日益严重,根据攻击目标,DDoS攻击分为应用程序、主机、资源、网络和基础设施攻击。随着网络技术的发展,新的DDoS攻击也层出不穷,Crossfire攻击就是典型代表。该类攻击造成关键链路的拥塞,破坏或切断网络目标区域的访问链接,使网络服务受到严重干扰,Crossfire攻击实现过程如图1所示。由于Crossfire攻击难以检测且危害严重,其实现机制和攻击特性造成传统网络安全措施对其难以防御。
传统的DDoS攻击防御机制单纯检测流量特征并根据流量和数据包的属性,过滤攻击流量,检测精度低,响应速度慢,攻击者容易避开检测机制并导致防御失效。现行的DDoS防御机制用于防御Crossfire攻击,将不可避免地产生大量攻击误报,不仅干扰了正常的网络服务,也降低了防御机制的可信度。同时,DDoS检测和防御机制本身的开销也会造成网络服务质量的下降。对比之下,SDN具有控制层与数据层分离、集中网络控制和视图、开放控制层与数据层之间的设备接口、网络外部可编程性4个关键特性,利用SDN防御Crossfire攻击,可以避免繁琐复杂的配置操作并减少失误,有利于统一快速部署。但目前针对Crossfire攻击尚缺少有效的检测和防御机制。
发明内容
本发明的目的是提供一种Crossfire链路洪泛攻击的SDN移动目标防御方法。
为此,本发明技术方案如下:
一种Crossfire链路洪泛攻击的SDN移动目标防御方法,包括按顺序进行的下列步骤:
1)对于给定的一个网络拓扑,将其构建为基于关系序偶集合的网络模型;
2)拥塞监控组件对步骤1)中构建出的网络模型进行监控,并根据监控结果判断网络模型是否出现严重拥塞链路,若判断结果为“是”,则利用SDN控制器动态调整网络配置和网络行为:若判断结果为“否”,则继续监控。
进一步的,所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下:
1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息;
1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q),用来表示通信链路的节点流量信息;若流量矩阵D(p+q)×(p+q)中的元素dij等于0,则表示节点vi和节点vj之间不存在通信链路;否则,dij表示节点vi和节点vj之间直连通信链路的流量大小;
1-3)将通信业务与其经过的链路组成关系序偶,将节点与和其直接相连的链路组成关系序偶,将可疑实体与被洪泛链路组成关系序偶,将可疑节点与被洪泛链路组成关系序偶,从而将给定网络拓扑构建为基于关系序偶集合的网络模型,并不断对关系序偶进行更新。
进一步的,所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤:
2-1)获取流量信息,根据目标地址分类,并测量出每个目的主机的流量带宽;
2-2)判断所有目的主机是否同时拥塞,若是,表明属于同时拥塞阶段,链路未被攻击,则执行步骤2-4);若否,则执行步骤2-3);
2-3)根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类,对分类排名中达到拥塞链路带宽门限的目的主机进行重路由;
2-4)判断是否首次链路阻塞,若是,则执行步骤2-1);若否,则执行步骤2-5);
2-5)将拥塞链路的流量信息与重路由之前的流量信息相关联;
2-6)判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过,若是,则执行步骤2-7);若否,则执行步骤2-8);
2-7)更新这些源地址相应的可疑等级;
2-8)重路由,并且对新的拓扑链路进行拥塞监控。
进一步的,在步骤2)中,所述的重路由的方法为:
Ⅰ)按路由将拥塞流量分组,排除源速率应当受限的流量;
Ⅱ)监测拥塞流量是否达到重路由阈值,若判断结果为否,则继续监控,若判断结果为“是”,则为每个需要重路由的流量组寻找新的链路e,并进入下一步;新的链路e应满足两个条件:①与拥塞链路不相连,②带宽能满足流量负载;
Ⅲ)判断是否找到满足条件的e,若无法找到一条满足条件的e,且一个组内所有的流量均未重路由,则暂时存储未重路由的流量信息;若找到满足条件的e,则重路由流量,并记录重路由流量及相应链路;
Ⅳ)检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。
进一步的,所述网络模型中拥塞链路的判断方法为:拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载,将链路流量负载等于其带宽容量的150%时负载值作为拥塞阈值,链路负载达到其带宽容量的90%时,则认为链路发生严重拥塞。
与现有技术相比,该Crossfire链路洪泛攻击的SDN移动目标防御方法在进行Crossfire链路洪泛攻击防御时,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。本发明能够动态调整网络配置和网络行为,诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率;本发明机制可以有效防御Crossfire攻击且SDN的重路由策略不会造成显著开销。
附图说明
图1为本发明提供的Crossfire攻击实现过程图。
图2为本发明提供的拥塞监控和重路由控制流程图。
图3为本发明提供的MTD防御机制架构图。
图4(a)攻击者对关键链路实施洪泛攻击示意图。
图4(b)防御者对诱饵服务器进行重路由的示意图。
图4(c)攻击者向诱饵服务器实施攻击的示意图。
图5为本发明提供的实验网络拓扑图。
图6为本发明提供的Crossfire攻击设置时间图。
图7为本发明提供的Crossfire攻击完成时间图。
图8为本发明提供的Crossfire攻击者响应时间图。
图9为本发明提供的Crossfire防御者响应时间图。
图10为本发明提供的包的平均传输时延图。
图11为本发明提供的传输数据包总量图。
具体实施方式
下面结合附图及具体实施例对本发明做进一步的说明,但下述实施例绝非对本发明有任何限制。
一种Crossfire链路洪泛攻击的SDN移动目标防御方法,如图2所示,包括按顺序进行的下列步骤:
1)构建基于关系序偶集合的网络模型
对于给定的一个网络拓扑,首先将其构建为基于关系序偶集合的网络模型;构建出的网络模型由无向图G=(V,E)表示,V是交换机或者代表路由器的节点的集合,E是通信链路的集合。p表示交换机数量,q表示路由器数量,n表示通信链路数量,则有V={v1,v2,…vp}U{vp+1,vp+2,…vp+q},E={e1,e2,…en}。设A是实体(通信业务)的集合,则有A={α1,α2,…αn};
构建基于关系序偶集合的网络模型的方法如下:
1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息;
1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q),用来表示通信链路的节点流量信息;若流量矩阵D(p+q)×(p+q)中的元素dij等于0,则表示节点vi和节点vj之间不存在通信链路;否则,dij表示节点vi和节点vj之间直连通信链路的流量大小;
1-3)将通信业务与其经过的链路组成关系序偶,将节点与和其直接相连的链路组成关系序偶,将可疑实体与被洪泛链路组成关系序偶,将可疑节点与被洪泛链路组成关系序偶,从而将给定网络拓扑构建为基于关系序偶集合的网络模型,并不断对关系序偶进行更新。
2)拥塞监控组件对步骤1)中构建出的网络模型进行监控,并根据监控结果判断网络模型是否出现严重拥塞链路,若判断结果为“是”,则利用SDN控制器动态调整网络配置和网络行为:若判断结果为“否”,则继续监控;
所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤:
2-1)获取流量信息,根据目标地址分类,并测量出每个目的主机的流量带宽;
2-2)判断所有目的主机是否同时拥塞,若是,表明属于同时拥塞阶段,链路未被攻击,则执行步骤2-4);若否,则执行步骤2-3);
2-3)根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类,对分类排名中达到拥塞链路带宽门限的目的主机进行重路由;
2-4)判断是否首次链路阻塞,若是,则执行步骤2-1);若否,则执行步骤2-5);
2-5)将拥塞链路的流量信息与重路由之前的流量信息相关联;
2-6)判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过,若是,则执行步骤2-7);若否,则执行步骤2-8);
2-7)更新这些源地址相应的可疑等级;
2-8)重路由,并且对新的拓扑链路进行拥塞监控。
重路由的方法为:
Ⅰ)按路由将拥塞流量分组,排除源速率应当受限的流量;
Ⅱ)监测拥塞流量是否达到重路由阈值,若判断结果为否,则继续监控,若判断结果为“是”,则为每个需要重路由的流量组寻找新的链路e,并进入下一步;新的链路e应满足两个条件:①与拥塞链路不相连,②带宽能满足流量负载;
Ⅲ)判断是否找到满足条件的e,若无法找到一条满足条件的e,且一个组内所有的流量均未重路由,则暂时存储未重路由的流量信息;若找到满足条件的e,则重路由流量,并记录重路由流量及相应链路;
Ⅳ)检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。
重路由完成后,监控机制需要进一步监测重路由后的流量,同时联系互联网服务提供商(ISP)以免未重路由的流量信息被存储。
在Crossfire攻击设置的开始阶段,攻击者会根据路由追踪消息构建出一个围绕该区域网络链路图,选择出目标链路。然后攻击者将协调僵尸机需完成攻击流量的分配。针对此阶段,本发明通过重路由扰乱攻击者的构建过程,并在遭到首次攻击时破坏僵尸机初始分配。
Crossfire攻击进行阶段,防御者利用SDN对流量的中心化管控能力,构建移动目标防御机制(MTD),利用SDN控制器和OpenFlow协议,协调4个相互关联的SDN应用模块,动态调整网络配置和网络行为,进行重路由,从而增加攻击者的攻击难度,实现对攻击的检测和链路流量的缓解。
利用重路由策略还可实现对攻击源的检测目的。在僵尸机攻击目标区域的情况下,由于重路由导致目标区域周围的诱饵服务器减少,那么每台诱饵服务器将接收到更多的攻击流量,即诱使攻击者增加分配给特定诱饵服务器的流量,从而提高了在诱饵服务器上对攻击的检测率。
本发明采用基于FRM的SDN重路由策略可解决流量的拥塞问题并使其不交汇于被阻塞链路,导致攻击者探测链路图改变情况并重新计算目标链路。因此,防御者的重路由策略只需改变流量的目的地址,故将其设置为诱饵服务器地址。防御者通过重路由可重新分配部分攻击流量,保证目标区域流量负载不变,同时将部分诱饵服务器从攻击区域中移除,并断开与目标区域的链路。
为应对防御,攻击者将向未重新路由的诱饵服务器发送更多流量,导致这些服务器在每一轮攻击中所接收的攻击流量都会增加。在极端情况下,当仅剩下一个诱饵服务器时,攻击流量将全部流向该目标,此时分析攻击流量的路径和源地址将变得相对容易,则通过路由追踪可以较容易定位攻击源。
如图3所示,MTD中4个模块的协同操作过程设计如下:
I)ICMP监测模块连续监测ICMP数据包;
II)SDN控制器根据ICMP数据包构建路由信息数据表;
III)路由追踪分析模块在t时间内检测到过多的路由追踪尝试时,根据路由信息数据表确定潜在的攻击目标链路,并通知路由调整模块进行重路由调整;
IV)拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载,每隔r秒处理当前所有链路阻塞。设定拥塞阈值为链路负载超过其带宽容量的50%,达到90%时则认为发生严重拥塞,如果链路拥塞程度超过阈值,那么将通过重路由进行缓解。
如图4所示,本发明机制以图中网络拓扑为例,说明攻击者-防御者之间的响应过程。该网络拓扑由5个SDN交换机(Ⅰ-Ⅴ),2个诱饵服务器(1和2)和目标区域构成。其中,Ⅱ和Ⅲ的SDN交换机之间的链路是该网络拓扑的关键路径。重路由过程流量分布变化如图3所示。图4(a)中,攻击者对该关键链路实施洪泛并使其拥塞;图4(b)中,防御者将发送给诱饵服务器1的流量重路由,通过备用路径进行转发以缓解目标链路的拥塞状况;图4(c)中,攻击者向诱饵服务器2发送更多流量以达到攻击目的。根据重路由前后诱饵服务器的流量负载分布变化,防御机制对流量来源设定相应的怀疑等级。攻击者与防御者针对对方措施的响应时机,决定了双方在交互过程中哪一方更有优势。
图5为在仿真环境中,设计并部署Crossfire攻击场景,目的是运行本文防御模型和相关机制以检验本发明的防御机制的有效性。在该网络中,访问该拓扑的流量(包括僵尸机流量)来源于互联网,通过左侧两个边界交换机进入该网络区域,设定流量的到达和访问时间服从泊松分布,配置诱饵服务器(编号1-10),将目标服务器(编号11)部署在网络拓扑右侧的中间位置。在Mininet中设定实验参数(如表1所示)。
Crossfire攻击的实现过程如图2所示:
(1)动态拓扑发现。攻击者周期性地运行多个路由跟踪器并构造网络链路图,在若干跟踪程序周期之后构建出稳定的目标服务器/区域网络链路图。
(2)攻击的设置和完成。通过计算链路流量密度选择目标链路,当所有的目标链路被攻击流量阻塞时,攻击完成。
在实验中,设置10个僵尸机和15个合法主机。设计防御脚本并部署、运行防御模型和防御机制,对Crossfire攻击行为进行识别和重路由。在实验中,设定每个僵尸机的Crossfire攻击流量分别为5kbps和10kbps,测量并记录攻击的组织和完成时间、攻防双方的响应时间。
进行10组Crossfire攻击实验,实验结果如图6至图9所示。其中,图6为Crossfire攻击设置时间。从图6可见,当单位流量更高时,Crossfire攻击者更容易计算攻击流量以及分配僵尸机,攻击组织时间也会相应减少。
图7为Crossfire攻击完成时间。从图7可见,攻击者通过增加单位流量,可以在更短时间内阻塞目标链路,攻击完成时间也随之缩短。
图8为Crossfire攻击者响应时间。攻击者响应时间为从防御机制对攻击的响应(拥塞缓解)到攻击者再次发起攻击的时间间隔。此指标反映了Crossfire攻击防御机制的效果。攻击者的响应措施是调整攻击目标,重新执行动态拓扑发现(路由跟踪和链路图构建)所花费的时间与拓扑高度相关。实验结果表明Crossfire攻击完成时间与攻击组织及响应时间具有高度的一致性。
图9为Crossfire攻击防御的响应时间。防御响应时间为检测到链路严重拥塞至所有拥塞状况缓解(重路由)的时间间隔。防御响应时间决定了Crossfire攻击的有效时长(检测到链路严重拥塞到启动应对措施)以及对Crossfire攻击源的检测速度。实验结果表明,Crossfire攻击的单位攻击流量大小与防御响应时间无明显的相关性。
由于实验网络拓扑的对称性,Crossfire攻击者每次计算的是相同的两个目标链路,因此,可仅对图5所示拓扑的下半部分进行重路由分析。表2为每轮重路由后各诱饵服务器攻击流量分布测量结果。表2的实验结果表明:重路由后诱饵服务器的流量分布发生变化,这种现象有利于进一步追踪Crossfire的攻击源。
为进一步分析本文提出的基于SDN的MTD防御机制对网络性能的影响,对不同重路由时间间隔、非MTD场景下的数据包平均传输时延和传输数据包总量指标进行测量和比较。图10和图11为实验结果。从图10和图11可见,虽然重路由本身的计算负担会造成包的传输时延略微增加,但增加的传输延迟小于毫秒级,可以认为对网络业务的QoS影响不大;从网络传输的数据包总量来看,重路由策略有效地缓解了网络负担,极大地减轻了攻击流量对网络资源的消耗。
上述实验结果表明,本发明的Crossfire防御模型和机制能够对Crossfire攻击及时做出响应,有效分流被攻击链路的流量负载,并通过诱饵服务器的流量分布变化进一步限定攻击源范围,实验结果证明了本发明机制对Crossfire攻击的防御有效性。
表1
表2

Claims (5)

1.一种Crossfire链路洪泛攻击的SDN移动目标防御方法,其特征在于,包括按顺序进行的下列步骤:
1)对于给定的一个网络拓扑,将其构建为基于关系序偶集合的网络模型;
2)拥塞监控组件对步骤1)中构建出的网络模型进行监控,并根据监控结果判断网络模型是否出现严重拥塞链路,若判断结果为“是”,则利用SDN控制器动态调整网络配置和网络行为:若判断结果为“否”,则继续监控。
2.根据权利要求1所述的Crossfire链路洪泛攻击的SDN移动目标防御方法,其特征在于,所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下:
1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息;
1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q),用来表示通信链路的节点流量信息;若流量矩阵D(p+q)×(p+q)中的元素dij等于0,则表示节点vi和节点vj之间不存在通信链路;否则,dij表示节点vi和节点vj之间直连通信链路的流量大小;
1-3)将通信业务与其经过的链路组成关系序偶,将节点与和其直接相连的链路组成关系序偶,将可疑实体与被洪泛链路组成关系序偶,将可疑节点与被洪泛链路组成关系序偶,从而将给定网络拓扑构建为基于关系序偶集合的网络模型,并不断对关系序偶进行更新。
3.根据权利要求2所述的Crossfire链路洪泛攻击的SDN移动目标防御方法,其特征在于,所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤:
2-1)获取流量信息,根据目标地址分类,并测量出每个目的主机的流量带宽;
2-2)判断所有目的主机是否同时拥塞,若是,表明属于同时拥塞阶段,链路未被攻击,则执行步骤2-4);若否,则执行步骤2-3);
2-3)根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类,对分类排名中达到拥塞链路带宽门限的目的主机进行重路由;
2-4)判断是否首次链路阻塞,若是,则执行步骤2-1);若否,则执行步骤2-5);
2-5)将拥塞链路的流量信息与重路由之前的流量信息相关联;
2-6)判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过,若是,则执行步骤2-7);若否,则执行步骤2-8);
2-7)更新这些源地址相应的可疑等级;
2-8)重路由,并且对新的拓扑链路进行拥塞监控。
4.根据权利要求3所述的Crossfire链路洪泛攻击的SDN移动目标防御方法,其特征在于,在步骤2)中,所述的重路由的方法为:
Ⅰ)按路由将拥塞流量分组,排除源速率应当受限的流量;
Ⅱ)监测拥塞流量是否达到重路由阈值,若判断结果为否,则继续监控,若判断结果为“是”,则为每个需要重路由的流量组寻找新的链路e,并进入下一步;新的链路e应满足两个条件:①与拥塞链路不相连,②带宽能满足流量负载;
Ⅲ)判断是否找到满足条件的e,若无法找到一条满足条件的e,且一个组内所有的流量均未重路由,则暂时存储未重路由的流量信息;若找到满足条件的e,则重路由流量,并记录重路由流量及相应链路;
Ⅳ)检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。
5.根据权利要求4所述的Crossfire链路洪泛攻击的SDN移动目标防御方法,其特征在于,所述网络模型中拥塞链路的判断方法为:拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载,将链路流量负载等于其带宽容量150%时的负载值作为拥塞阈值,链路负载达到其带宽容量的90%时,则认为链路发生严重拥塞。
CN201910006214.2A 2019-01-04 2019-01-04 一种Crossfire链路洪泛攻击的SND移动目标防御方法 Pending CN109510843A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910006214.2A CN109510843A (zh) 2019-01-04 2019-01-04 一种Crossfire链路洪泛攻击的SND移动目标防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910006214.2A CN109510843A (zh) 2019-01-04 2019-01-04 一种Crossfire链路洪泛攻击的SND移动目标防御方法

Publications (1)

Publication Number Publication Date
CN109510843A true CN109510843A (zh) 2019-03-22

Family

ID=65756219

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910006214.2A Pending CN109510843A (zh) 2019-01-04 2019-01-04 一种Crossfire链路洪泛攻击的SND移动目标防御方法

Country Status (1)

Country Link
CN (1) CN109510843A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650141A (zh) * 2019-09-25 2020-01-03 中国民航大学 一种链路洪泛攻击的sdn分段路由防御方法
CN111163062A (zh) * 2019-12-12 2020-05-15 之江实验室 一种针对交火攻击的多网络地址跳变安全防御方法
CN112003854A (zh) * 2020-08-20 2020-11-27 中国人民解放军战略支援部队信息工程大学 基于时空博弈的网络安全动态防御决策方法
CN112422482A (zh) * 2019-08-23 2021-02-26 东北大学秦皇岛分校 一种面向服务的尾端链路洪泛攻击过滤方法
CN113364810A (zh) * 2021-07-02 2021-09-07 东北大学秦皇岛分校 一种链路洪泛攻击检测与防御系统及方法
CN114157446A (zh) * 2021-10-15 2022-03-08 西安交通大学 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质
CN114205147A (zh) * 2021-12-10 2022-03-18 济南大学 基于软件定义网络的链路泛洪攻击防御方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法
US20160164739A1 (en) * 2014-12-09 2016-06-09 Ciena Corporation Reduced link bandwidth update systems and methods for improved scalability, efficiency, and performance
CN106961387A (zh) * 2017-03-30 2017-07-18 中国科学院信息工程研究所 一种基于转发路径自迁移的链路型DDoS防御方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160164739A1 (en) * 2014-12-09 2016-06-09 Ciena Corporation Reduced link bandwidth update systems and methods for improved scalability, efficiency, and performance
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法
CN106961387A (zh) * 2017-03-30 2017-07-18 中国科学院信息工程研究所 一种基于转发路径自迁移的链路型DDoS防御方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DIMITRIOS GKOUNIS: "Cross-domain DoS link-flooding attack detection and mitigation using SDN principles", 《HTTPS://PDFS.SEMANTICSCHOLAR.ORG/D802/B9E4603A132A1127FC039563CC8846A6F77F.PDF》 *
MEITIAN HUANG: "Incremental SDN-Enabled Switch Deployment for Hybrid Software-Defined Networks", 《2017 26TH INTERNATIONAL CONFERENCE ON COMPUTER COMMUNICATION AND NETWORKS (ICCCN)》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422482A (zh) * 2019-08-23 2021-02-26 东北大学秦皇岛分校 一种面向服务的尾端链路洪泛攻击过滤方法
CN110650141A (zh) * 2019-09-25 2020-01-03 中国民航大学 一种链路洪泛攻击的sdn分段路由防御方法
CN110650141B (zh) * 2019-09-25 2021-08-17 中国民航大学 一种链路洪泛攻击的sdn分段路由防御方法
CN111163062A (zh) * 2019-12-12 2020-05-15 之江实验室 一种针对交火攻击的多网络地址跳变安全防御方法
CN111163062B (zh) * 2019-12-12 2022-02-22 之江实验室 一种针对交火攻击的多网络地址跳变安全防御方法
CN112003854A (zh) * 2020-08-20 2020-11-27 中国人民解放军战略支援部队信息工程大学 基于时空博弈的网络安全动态防御决策方法
CN112003854B (zh) * 2020-08-20 2023-03-24 中国人民解放军战略支援部队信息工程大学 基于时空博弈的网络安全动态防御决策方法
CN113364810A (zh) * 2021-07-02 2021-09-07 东北大学秦皇岛分校 一种链路洪泛攻击检测与防御系统及方法
CN113364810B (zh) * 2021-07-02 2022-04-01 东北大学秦皇岛分校 一种链路洪泛攻击检测与防御系统及方法
CN114157446A (zh) * 2021-10-15 2022-03-08 西安交通大学 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质
CN114205147A (zh) * 2021-12-10 2022-03-18 济南大学 基于软件定义网络的链路泛洪攻击防御方法及系统

Similar Documents

Publication Publication Date Title
CN109510843A (zh) 一种Crossfire链路洪泛攻击的SND移动目标防御方法
CN105516184B (zh) 一种基于增量部署sdn网络的链路洪泛攻击的防御方法
Zheng et al. Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis
KR101917062B1 (ko) 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램
US10193910B2 (en) Network attack detection method
Jain et al. Mitigating the effects of Black hole attacks on AODV routing protocol in mobile ad hoc networks
Zhang et al. iSPY: Detecting IP prefix hijacking on my own
CN106357673A (zh) 一种多租户云计算系统DDoS攻击检测方法及系统
CN105406988B (zh) 一种软件定义抗毁网络构建方法
Hirayama et al. Fast target link flooding attack detection scheme by analyzing traceroute packets flow
CN101483547A (zh) 一种网络突发事件度量评估方法及系统
CN107888617A (zh) 软件定义的网络架构的工作方法
CN107888618A (zh) 解决网络安全的DDoS威胁过滤SDN系统的工作方法
Ahmed et al. Filtration model for the detection of malicious traffic in large-scale networks
CN109756515B (zh) 基于怀疑度积累的黑洞攻击检测与追踪方法
Jiang et al. Bsd-guard: a collaborative blockchain-based approach for detection and mitigation of sdn-targeted ddos attacks
Gkounis et al. Towards defeating the crossfire attack using SDN
CN113364810B (zh) 一种链路洪泛攻击检测与防御系统及方法
Fonseca et al. Identifying networks vulnerable to IP spoofing
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
Peng et al. ADVICE: Towards adaptive scheduling for data collection and DDoS detection in SDN
CN102123136A (zh) 一种分布式DDoS攻击流识别方法
Yang et al. Inter-domain routing bottlenecks and their aggravation
Le et al. A novel machine learning-based network intrusion detection system for software-defined network
Mi et al. Autodefense: Reinforcement learning based autoreactive defense against network attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190322