CN110225022A - 一种SDN流表驱动的DDoS攻击检测方案 - Google Patents
一种SDN流表驱动的DDoS攻击检测方案 Download PDFInfo
- Publication number
- CN110225022A CN110225022A CN201910485374.XA CN201910485374A CN110225022A CN 110225022 A CN110225022 A CN 110225022A CN 201910485374 A CN201910485374 A CN 201910485374A CN 110225022 A CN110225022 A CN 110225022A
- Authority
- CN
- China
- Prior art keywords
- interchanger
- flow entry
- flow
- port
- maximum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SDN流表驱动的DDoS攻击检测方案,属于互联网安全技术领域。该方案提出了一套OpenFlow流表特征,设计了基于深度学习的单交换机DDoS检测算法SSB,在该算法基础上利用交换机之间的关联特征设计了多交换机协同检测方法MSC。与现有技术相比,新的检测特征包含了多个维度,适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况。基于新特征的SSB针对过拟合提出了有效的解决方案,并在此基础上结合交换机间的关联特征得到协同检测方案MSC充分利用了SDN全局优势,对DDoS攻击检测具有良好的效果。
Description
技术领域
本发明涉及一种SDN流表驱动的DDoS攻击检测方案,属于互联网安全技术领域。
背景技术
分布式拒绝服务(DDoS)攻击是当前互联网面临的主要威胁之一,它通过制造攻击流量,使被攻击的服务器、网络链路或是网络设备(防火墙、路由器等)负载过高,最终导致系统崩溃,无法正常提供服务。攻击发起者一般针对重要服务器进行攻击,如银行、信用卡支付网关、甚至根域名服务器,该类攻击也常见于部分游戏,被心怀不满的玩家或是竞争对手广泛使用。DDoS攻击方式主要有SYN Flood、DNS Query Flood、HTTP Flood、慢速连接攻击、反射攻击、放大攻击、CC攻击、EDDoS攻击等。当前,IPv6被大范围部署,相比于IPv4,IPv6在地址空间、报文格式、服务质量和安全性支持等方面有较大的改变。虽然初期IPsec(Internet Protocol Security)在IPv6中被要求强制实现,但之后由于部署上的困难,还是被作为可选扩展头实现。因此,很多DDoS攻击方式在IPv6中依然存在。
OpenFlow协议是目前最广泛使用的SDN网络南向接口协议,已被工业界广泛采用。流表项是OpenFlow网络设备数据转发功能的一种抽象。在传统网络设备中,交换机和路由器的数据转发分别依赖二层MAC转发表或者三层IP路由表,而OpenFlow交换机中使用的流表项则整合了网络中各个层次的信息,因此进行数据转发时可以使用更丰富的规则。
SDN/Openflow技术的发展,为DDoS攻击检测提供了新的思路,其基本思想是从Openflow 流表中提取相关属性信息来表征交换机当前状态,并将其用于DDoS攻击检测。例如基于流特征值的检测方法,其利用到的特征有:1)流表匹配数据包数;2)流表匹配数据包字节数;3) 流表持续时间;4)成对流表百分比;5)单向流表增长速率。这些特征可以有效地检测Flooding 和IP欺骗,以及HTTP慢速连接等攻击。但这些方法,均要求OpenFlow交换机中的流表项为动态下发,很多特征的提取基于流表的idle_timeout(空闲超时)属性。而事实上,OpenFlow规范定义流表项可以是常驻的,也可以是动态下发并在一段时间无匹配数据包就自动消失的,两者在现实网络中都有应用,仅支持流表项动态下发的方案不能满足SDN网络DDoS检测的实际需要。另一方面,现有方案对流表项匹配域是IP掩码的情况支持较少。一般而言,SDN控制器下发的流表项匹配粒度越细,为DDoS攻击检测提供的信息越丰富。有的方案要求 OpenFlow流表项的匹配域粒度,具体到源IP地址、目的IP地址、源端口号、目的端口号等,但流表项细化带来的问题是控制器负载过大与交换机内存迅速耗尽,使SDN网络本身变得不实用,真正发生DDoS攻击时网络会不堪重负。
如上所述,现有的SDN下DDoS攻击检测方案还存在不足。有的方法基于理想化的SDN网络,但在现实中OpenFlow交换机内会存在常驻流表项,控制器也会根据具体情况进行流表项聚合操作,需要考虑这些因素以使所研究的检测方法能应用于实际环境。并且,以往的方法大多只关注单台OpenFlow交换机的状态,把每台交换机作为独立的个体进行检测,没有充分利用SDN的全局视图优势,进而挖掘交换机之间的关联,并利用交换机关联信息进行DDoS 攻击检测。充分挖掘OpenFlow流表信息,利用多交换机关联信息,在大规模数据的情况下,实现DDoS攻击检测的高检出率、低误警率,成为互联网安全发展中的现实需求,也是DDoS 攻击检测中亟待解决的问题。
发明内容
为了克服背景技术中所指出的现有SDN网络环境下DDoS攻击检测方法未充分考虑常驻流表项的存在以及没有充分利用SDN的全局视图优势,造成方案不适应实际环境,检出率不高,对网络造成一定的安全隐患的问题,本发明提供一种SDN流表驱动的DDoS攻击检测方案。本发明是一套可以在多种DDoS攻击方式下被用于检测对应交换机上是否遭受攻击的流表特征,设计了一种基于深度学习的DDoS攻击检测算法,提出了基于多OpenFlow交换机信息的协同检测方法。该方案不需要在网络中增加专用设备,只需OpenFlow交换机及控制器即可工作。该方案充分利用了OpenFlow流表信息与OpenFlow交换机信息,可以工作在交换机中存在常驻流表项以及控制器下发匹配IP掩码的场景下,并且利用SDN全局视图的优势,使用多台交换机信息进行协同检测,提高检测精度。
本发明分析并挖掘DDoS攻击方式下呈现的Openflow流表特征,提出了基于单交换机的 DDoS检测方法,在此基础上研究了利用多台OpenFlow交换机数据进行协同检测。该方案适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况。
本发明为解决上述技术问题采用以下技术方案:
本发明提供一种SDN流表驱动的DDoS攻击检测方案,具体步骤如下:
步骤1,在设定时间间隔Δt内,控制器提取表示某OpenFlow交换机与相邻交换机关联情况的交换机关联特征,同时利用该OpenFlow交换机中的常驻流表项和控制器下发匹配IP 掩码流表项表征的特征,提取出用于表征该OpenFlow交换机流量状况的流表特征;
步骤2,构建样本集,其中样本集包括若干组样本,每组样本包括每条流的一组流表特征及其对应的标记,所述标记包括表示该组流表特征对应的交换机未遭受攻击的“0”以及表示该组流表特征对应的交换机遭受攻击的“1”;
步骤3,搭建第一深度学习模型,第一深度学习模型的输入为流表特征x及其标记y,输出为x对应的交换机遭受攻击的概率并以样本集中的m组样本作为训练数据对第一深度学习模型进行训练学习;
步骤4,以样本集中的n组数据{(x(1),y(1)),(x(2),y(2))........,(x(n),y(n))}作为测试样本,输入步骤3中训练学习完成的深度学习模型,得到其中,(x(j),y(j))表示第j组样本,表示第j组样本对应的输出;
步骤5,搭建第二深度学习模型,第二深度学习模型的输入为交换机关联特征和第一深度学习模型的输出及其对应的标记,输出为交换机遭受攻击的概率,并以y(j)及对应的交换机关联特征r(j)作为训练数据对第二深度学习模型进行训练学习;
步骤6,通过步骤5中训练学习完成的第二深度学习模型进行DDoS攻击检测。
作为本发明的进一步技术方案,步骤1中还包括对常驻流表项进行预处理,具体为:在 SDN控制器内部维护各OpenFlow交换机的常驻流表项历史信息,当常驻流表项在idle_timeout时长内数据包匹配计数器没有变化时,认为该常驻流表项已经“消失”,后续特征提取将不涉及此常驻流表项,当发现计数字段变化时再加入该常驻流表项。
作为本发明的进一步技术方案,每条流对应的一组流表特征包括流表项持续时间中位数 FE_DM、流表项匹配字节数中位数FE_BM、IP成对流表项数占整体流表项百分比FE_PP、 IP单向流表项绝对值FE_PN、交换机端口接收字节数增量最大值S_BMAX、交换机端口接收字节数增量平均值S_BAVG、交换机端口接收字节数与历史平均值比值最大值S_BPMAX、交换机端口接收字节数与历史平均值比值平均值S_BPAVG、交换机端口接收数据包数增量最大值S_PMAX、交换机端口接收数据包数增量平均值S_PAVG、交换机端口接收数据包数增量与历史平均值比值最大值S_PPMAX,交换机端口接收数据包数增量与历史平均值比值平均值S_PPAVG、一天中的时刻T_H、特殊节日T_F。
作为本发明的进一步技术方案,IP成对流表项包括以下两种情况:
IP成对流表项包括以下两种情况:
1)单一IP地址场景下
若src_ip1=dst_ip2且src_ip2=dst_ip1,则称流表项f1和流表项f2为成对流表项,其中, src_ip1为f1匹配域的源IP,dst_ip1为目的IP,src_ip2为f2匹配域的源IP,dst_ip2为目的IP;
此时,FE_PP=N(peerflow)/N,N代表交换机中流表项总数,N(peerflow)代表IP成对流表项数目;
2)带有掩码的源IP、目的IP地址场景下
若C1和C2不同时为空,则称流表项f1与流表项f2有一定概率成为成对流表项,其中,C1为f1的匹配域源IP地址S1、f2的匹配域目的IP地址D2的重叠区域,C2为f2的匹配域源IP地址S2、f1的匹配域目的IP地址D1的重叠区域;
此时,若交换机中所有流表项优先级相同,P(fi)代表第i条流表项fi在交换机中存在成对流表项的概率,则P(fi,fj)代表第i条流表项fi与第j条流表项fj成为成对流表项的概率,Si和Di分别为fi的匹配域源和目的IP地址,Sj和Dj分别为fj的匹配域源和目的IP地址,Ci为Si、Dj的重叠区域,Cj为Sj、Di的重叠区域;若交换机中存在不同优先级流表项,M表示fi被分割成的独立流表项数,fm为fi被分割后的第m条独立流表项,fm对应的权重S、D分别为fi的源和目的IP地址段中地址数目,Sm和Dm分别为fm的源和目的IP地址段中地址数目。
作为本发明的进一步技术方案,IP单向流表项绝对值FE_PN的计算方法为:
n(sf)=N-N(peerflow)
式中,n(sf)代表IP单向流表项数绝对值,N代表交换机中流表项总数,N(peerflow)代表成对流表项数目。
作为本发明的进一步技术方案,交换机端口接收字节数增量最大值S BMAX和交换机端口接收字节数增量平均值S_BAVG的计算方法为:
max_port_bytes=max(bytecounti-bytecount′i)
式中,max_port_bytes为交换机端口接收字节数Δt时间内增量最大值,avg_port_bytes 为交换机端口接收字节数Δt时间内增量平均值,n为当前OpenFlow交换机打开的端口总数, b tecounti为第i个端口当前的匹配字节数,bytecount′i为第i个端口Δt之前匹配的字节数。
作为本发明的进一步技术方案,交换机端口接收字节数与历史平均值比值最大值S_BPMAX和交换机端口接收字节数与历史平均值比值平均值S_BPAVG的计算方法为:
式中,max_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值最大值,avg_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值平均值,incrimenti为交换机第i个端口历史正常情况下接收字节数Δt时间内增量的平均值, n为当前OpenFlow交换机打开的端口总数,bytecounti为第i个端口当前的匹配字节数,bytecount′i为第i个端口Δt之前匹配的字节数。
作为本发明的进一步技术方案,第一深度学习模型为标准的反向传播神经网络架构,采用ReLU作为网络层的激活函数。
作为本发明的进一步技术方案,步骤1中交换机关联特征包括:最大数据包流入数交换机编号、最大数据包流出数交换机编号、最大字节流入数交换机编号、最大字节流出数交换机编号,其中,最大数据包流入数交换机表示当前交换机在Δt内数据包的最大流入方,最大数据包流出数交换机表示当前交换机在Δt内数据包的最大流出方,最大字节流入数交换机表示当前交换机在Δt内字节的最大流出方,最大字节流出数交换机表示当前交换机在Δt内字节的最大流出方。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
本发明针对SDN网络场景提出了基于OpenFlow流表特征的轻量级DDoS检测方案,与传统的流表特征方案相比,具有以下有益效果:
1、本发明提取的特征包含了多个维度,可以被用于在多种DDoS攻击方式下检测对应的 OpenFlow交换机是否发生攻击,具有更高的准确率,并且适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况;
2、特征FE_PN(IP单向流表项绝对值)和FE_PP(IP成对流表项数占整体流表项百分比)与IP掩码匹配域相关,这两个特征对识别IP欺骗起重要作用,为了适用IP掩码匹配域,本发明对它们设计了新的特征提取算法,考虑了交换机中所有流表优先级相同和存在多优先级流表的情况;
3、针对DDoS攻击检测问题的特点设计了单交换机DDoS检测算法SSB,该算法检出率高、误警率低、检测耗时少,且随着训练数据的增多,这些优点会更加明显;
4、在单交换机检测算法的基础上,设计了协同检测方案MSC,综合了SSB检测结果和交换机关联特征设计了多交换机协同检测方法,该方法较基于单交换机的检测方法检出率更高、误警率更低。
附图说明
图1是流表项匹配域为带掩码IP地址时地址区间的示意图;
图2是不同优先级流表项示意图;
图3是协同检测训练流程;
图4是DDoS攻击实验模型;
图5是Floodlight二次开发模块。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
本发明一种SDN流表驱动的DDoS攻击检测方案,利用OpenFlow交换机中的常驻流表项和控制器下发匹配IP掩码流表项表征的特征,设计一种特征提取方法,在基于单交换机的 DDoS攻击检测方法的基础上,提出多交换机协同检测方案。该方案提出一套用于表征OpenFlow交换机流量状况的流表特征;设计了基于深度学习的DDoS攻击检测方法,该方法根据提取的特征数据得到交换机上发生DDoS攻击的概率;在基于单交换机的DDoS攻击检测方法的基础上,设计了多交换机协同检测DDoS攻击检测方法。
1、OpenFlow流表特征分析与挖掘
·流表项持续时间中位数(FE_DM)
当发生使用IP欺骗技术的攻击时,由于攻击者会频繁更换伪造的IP地址,因此控制器向 OpenFlow交换机下发对应流表项后,在短时间内几乎不会再有新的数据包匹配此流表项,直到“idle_timeout”超时流表项才自动消失。于是,OpenFlow交换机中将存在大量持续时间小于“idle_timeout”的流表项。客观上还存在一些数据交互较少的应用,其对应的流表项匹配的数据包数FE_BM和字节数FE_PM均与异常流表项接近,但正常流表项的持续时间更长。中位数既可以反映流表项的整体持续时间,又可以避免某些特别大或特别小的值对结果造成的干扰,因此本特征采用了流表项持续时间中位数,加入FE_DM可减少误警率。
·IP成对流表项数占整体流表项百分比(FE_PP)
当发生使用IP欺骗技术的DDoS攻击时,OpenFlow交换机上会出现大量流表项匹配不到与其源IP、目的IP成对应关系的流表项。虽然正常OpenFlow交换机可能会由于控制器出于链路负载均衡考虑使用非对称路由机制,造成部分流表项不成对的情况,但其所占整体流表项的比例与攻击情况会存在差异。因此,成对的流表项占当前交换机流表项总数的百分比,可以用于检测当前交换机是否发生利用IP欺骗技术的攻击。本发明为了便于表述,将流表项flow entry简写为f。首先给出在流表项匹配域IP地址均为单一IP地址场景下成对流表项定义:
定义1-1.(单一IP地址成对流表项)假设有流表项f1,f2,记f1匹配域的源IP为src_ip1、目的IP为dst_ip1,f2匹配域的源IP为src_ip2、目的IP为dst_ip2,若src_ip1=dst_ip2且 src_ip2=dst_ip1,则称f1和f2为成对流表项。
此时,FE_PP=N(peerflow)/N,N代表交换机中流表项总数,N(peerflow)代表IP成对流表项数目。
实际SDN网络中,会使用带掩码的IP地址作为流表项的匹配域。虽然SDN网络赋予了控制器很大的自由度,可以进行细粒度的网络控制,但是控制器的运算资源、OpenFlow交换机的流表项存储空间是有限的,若下发的流表项匹配域都为单一IP地址,控制器和交换机都将不堪重负,这种机制会使SDN控制器本身成为DDoS攻击的目标。因此,本发明给出了流表项匹配域为带有掩码的源IP、目的IP地址场景下成对流表项定义:
定义1-2.(带IP掩码的成对流表项)假设有流表项f1、f2,f1的匹配域源和目的IP地址为S1、D1,f2的匹配域源和目的IP地址为S2、D2,S1、D2的重叠区域记为C1,S2、D1的重叠区域记为C2。若C1和C2不同时为空,则称f1与f2有一定概率成为成对流表项,概率值与重叠区间和带掩码IP地址区间有关。
图1为流表项匹配域为带掩码IP地址时地址区间的示意图。
带IP掩码的成对流表项概率计算方法:
情况1.交换机中所有流表项优先级相同
当交换机中所有流表项优先级相同时,由于匹配域不允许重叠,所以一条流表项与其他流表项成为成对流表项的概率是相互独立的。于是在计算一条流表项与另一条流表项成为成对流表项的概率后,对其他流表项采用相同操作,并把结果累加即可得到一条流表项在当前交换机中存在成对流表项的概率。由此可以得到一条流表项在交换机中存在成对流表项的概率,公式如下:
式中,P(fi)代表第i条流表项fi在交换机中存在成对流表项的概率,N为当前交换机总的流表项数量。P(fi,fj)代表第i条流表项fi与第j条流表项fj成为成对流表项的概率,Si和Di分别为fi的匹配域源和目的IP地址,Sj和Dj分别为fj的匹配域源和目的IP地址,Ci为Si、Dj的重叠区域,Cj为Sj、Di的重叠区域。
对所有流表项采取此操作后,再进行累加,并除以流表项总数,即可得到IP成对流表项数占整体流表项百分比,用FE_PP表示。公式如下:
情况2.交换机中存在不同优先级流表项
首先研究图2所示的不同优先级流表项,其中,f1优先级为0(低),f2优先级为1(高),那么能够匹配f1的数据包在源IP、目的IP上可分为三类:
(1)DestinationIP Range=L2,Source IP Range=L1
(2)DestinationIP Range=L2,Source IP Range=S1-L1
(3)DestinationIP Range=D1-L2,Source IP Range=S1
由于f2的优先级高于f1,因此真正能够匹配f1的数据包只有第2类和第3类。
记第2类为fa1,第3类为fb1,于是,在寻找成对流表项时,需把f1分为fa1和fb1进行单独计算。如果有更多的高优先级fi和f1重叠,那么f1就要被拆分为fa1,fb1,fc1...。
当一条流表项被分割成若干独立流表项时,每一部分都可以独立计算概率,需要正确地组合每一部分的概率,才能得到被分割流表项的成对流表项概率。假设把f分割成fa和fb进行单独计算,那么P(f)需要由P(fa)和P(fb)加权相加得到,而不是直接相加。权重为fa与fb 的源IP地址段长度与目的IP地址段长度在f匹配域地址段中所占比重。假设f的源和目的IP地址段中地址数目分别为S、D,fa的源和目的IP地址段中地址数目分别为Sa、Da,fb的源和目的 IP地址段中地址数目分别为Sb、Db,则P(f)计算公式如下:
当把流表项分割推广到一般性情况后,得到被分割流表项fi的成对流表项概率通用计算公式如下:
其中,fi为被分割流表项,M表示fi被分割成的独立流表项数,fm对应的权重S、 D分别为fi的源和目的IP地址段中地址数目,Sm和Dm分别为fm的源和目的IP地址段中地址数目。
对于一条拆分出的流表项fa,假设有f2和f3都可以与其组成成对流表项,f2优先级为1 (高),f3优先级为0(低)。那么P(fa,f2)可以按照之前方法计算,但计算P(fa,f3)就需要把f3拆分为如下部分:
(1)DestinationIP Range=D3,Source IP Range=S3-L4
(2)DestinationIP Range=D3-C3,Source IP Range=S3
记f3分割为fa3和fb3,之后再继续按照相同方式进行拆分和计算。这只是两个优先级的情况,如果存在更多优先级的流表项,则流表项拆分的层次将会更多。
综上,多优先级流表项情况下,成对流表项百分比计算方法如下:
·IP单向流表项绝对值(FE_PN)
类似IP成对流表项百分比,IP单向流表项数绝对值也可以用于检测利用IP欺骗技术的 DDoS攻击,考虑到交换机遭到DDoS攻击后,部分交换机中的流表项数量较多,因此DDoS 攻击造成的单向流表项不足以对FE_PP造成明显的影响,但此时单向流表项数量在绝对值上已经与正常情况有较大差别。所以,本发明把IP单向流表项数绝对值(FE_PN)加入特征集。
计算方法:
n(sf)=N-N(peerflow) (1.5)
式中,n(sf)代表所要计算的IP单向流表项数绝对值,N代表交换机中流表项总数,N(peerflow)代表上文“成对流表项百分比计算算法”中成对流表项数目。
·交换机端口接收字节数增量最大值(S_BMAX)
无论是针对网络层的泛洪攻击,还是针对应用层的CC攻击或HTTP Flood攻击,都会产生大量的网络流量,这使得流经OpenFlow交换机的流量与正常情况发生显著区别。若攻击来自交换机的某个端口,则该端口接收的字节数将会变得非常巨大,因此本发明把交换机端口接收字节数Δt时间内增量最大值加入了特征。
计算方法:max_port_bytes=maxi(bytecounti-bytecount′i) (1.6)
式中,max_port_bytes为交换机端口接收字节数Δt时间内增量最大值,n为当前OpenFlow交换机打开的端口总数,bytecounti为第i个端口当前的匹配字节数,bytecount′i为第i个端口Δt之前匹配的字节数。
·交换机端口接收字节数增量平均值(S_BAVG)
DDoS攻击的一个特点就是分布式,攻击者可能来自网络的各个方位,设备也千差万别,即使有些设备性能有限,无法以高速率发送攻击流量,或者攻击者有意隐藏攻击,控制流量发送速率,但当攻击流量在网络中汇聚后仍然会变得非常可观。在这种情况下,OpenFlow交换机上也许每个端口的数据流量都不高,但整体流经交换机的流量已经处于较高水平。因此,本专利把交换机端口接收字节数增量平均值属性加入特征集。
计算方法:
式中,avg_port_bytes为交换机端口接收字节数Δt时间内增量平均值。
·交换机端口接收字节数与历史平均值比值最大值(S_BPMAX)
网络中不同位置的交换机,流量状况也不尽相同,例如边缘交换机的流量显然小于骨干网络中交换机,因此仅使用上文中2个以绝对值度量的特征并不能总能检测到流量维度的异常。同样的交换机端口接收字节数增量最大值,若出现在日常流量比较小的交换机上,则有很大的DDoS攻击嫌疑,若出现在日常流量比较大的交换机上,则完全属于正常情况。类似地,同一台交换机上不同端口的流量状况也会有不同。这与FE_PP和FE_PN的关系相似,单一使用百分比或绝对值无法在多种流量情况的交换机数据中区分正常情况和异常情况,需要把绝对值和百分比结合,使检测算法充分利用这些特征所隐含的信息。因此,本发明首先从交换机离线数据中计算出历史正常情况下交换机各端口接收字节数增量的平均值,检测时在线提取端口实时增量,与历史数据计算出比值,从而一定程度上解决了不同交换机流量情况的差异性,使此度量对不同交换机都是统一的。
计算方法:
式中,max_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值最大值,incrimenti为交换机第i个端口历史正常情况下接收字节数Δt时间内增量的平均值, n为当前OpenFlow交换机打开的端口总数,bytecounti为第i个端口当前的匹配字节数, bytecount′i为第i个端口Δt之前匹配的字节数。
·交换机端口接收字节数与历史平均值比值平均值(S_BPAVG)
类似的,这一特征也可以为不同OpenFlow交换机以及不同端口提供统一的度量。
计算方法:
式中,avg_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值平均值。
·交换机端口数据包数相关特征
交换机端口接收数据包数增量最大值(S_PMAX)、交换机端口接收数据包数增量平均值 (S_PAVG)、交换机端口接收数据包数增量与历史平均值比值最大值(S_PPMAX),交换机端口接收数据包数增量与历史平均值比值平均值(S_PPAVG)与之前4个特征类似,不过是从数据包数量这个维度出发,目的是使特征的向量空间更加完备。其计算方法与上文4个字节数相关特征类似,不再赘述。
·一天中的时刻(T_H)
研究发现,网络在不同时刻流量表现是不同的,白天的网络流量较为繁忙,夜晚则较为空闲。无论是网络访问行为的变化,还是流量大小的变化,对上文提出的特征都有直接和间接的影响,因此本研究将时间属性即一天中的时刻加入特征空间。
·一星期中的日子(T_W)
一星期中的不同日子,例如工作日和周末,在网络流量上也有较大差异,因此把一星期中的日子加入特征集。
·特殊节日(T_F)
一些特殊节日,例如国庆节、“双11”等,会给网络特征带来显著变化,因此把特殊节日列为单独的特征。
此外,由于常驻流表项是OpenFlow流表项的一种类型,因此流表相关的特征FE_PM(流表项匹配数据包数中位数)、FE_BM(流表项匹配字节数中位数)、FE_DM(流表项持续时间中位数)、FE_PP(IP成对流表项数占整体流表项百分比)、FE_PN(IP单向流表项绝对值) 都受常驻流表项影响,基于常驻流表项提取这些特征会失去它们本来的意义。本发明通过对常驻流表项进行特殊处理,使上述流表相关特征可以被正常用于DDoS检测。
具体来说,本发明提出了一种常驻流表项预处理方法,在SDN控制器内部维护各OpenFlow交换机的常驻流表项历史信息,当常驻流表项在idle_timeout时长内数据包匹配计数器没有变化时,就认为该常驻流表项已经“消失”,后续特征提取将不涉及此流表项,当发现计数字段变化时,再加入该流表项。此方法等价于将常驻流表项模拟成reactive方式动态下发的流表项,使之后的特征提取方式对两种流表项都是统一的。
2、基于深度学习的DDoS攻击检测
传统基于规则设定的DDoS检测存在难以设定显式的规则、难以为规则找到准确阈值、难以人工分析海量数据的问题,并且研究的特征维数多、特征规模大,为解决以上问题,本发明使用了深度学习方法。该方法通过对每条流表特征数据进行识别,从而判断此条数据对应的交换机是否遭受DDoS攻击,因此称为基于单交换机的DDoS攻击检测方法——SSB(Single-Switch Based DDoS Detection)。DDoS攻击检测本质上是一个二分类问题,对于提取的一组OpenFlow流表特征数据,需要深度学习模型判断这组数据属于“正常”还是“异常”。在本发明中,定义输入的特征为x,输入的标记为y,模型的输出为“正常”情况对应值“0”,“异常”情况对应值“1”,则y∈{0,1},因此即模型的输出含义为“输入特征x属于流量异常情况的概率”。
本发明选择标准的反向传播神经网络架构,采用ReLU作为网络层的激活函数,该函数表示为g(z)=max{0,z},其中z表示神经元的计算结果,使用了增加训练数据多样性、Dropout 正则化、提前终止这些技术来防止过拟合。
2.1增加数据多样性
通常,机器学习对数据集会做独立同分布的假设,即每个数据集中的样本都是彼此相互独立的,而且训练数据和测试数据服从同分布,因此本发明在具体实施时使用的训练数据要与真实网络数据尽量相近,满足独立同分布假设。真实的网络中存在多样的应用和不断变化的网络流量,DDoS攻击也分不同种类和不同强度,这些都需要反应到训练数据中,使模型能够尽量学到足够多的模式。本发明在准备训练数据时力求贴近实际,通过不断丰富训练数据来减小泛化误差。
2.2 Dropout正则化
正则化是机器学习领域的一个重要问题,指修改学习算法,使其降低泛化误差而非训练误差,通常是以训练误差的增大换取泛化误差的减小。本发明采用Dropout正则化方法降低泛化误差。Dropout适用于多种模型,计算方便且功能强大。Dropout的实现并不复杂,它在每次迭代训练的过程中,会随机使一些非输出神经元失效,令网络变得简单,从而达到防止过拟合的目的。Dropout每次迭代只需进行n个二进制数与运算,每个样本每次更新只需O(n) 的计算复杂度,相比L2正则化等其他方式计算量大大减少。因为Dropout正则化技术减少了模型的有效容量,为了抵消这种影响,模型规模需要适当地增大。
2.3提前终止
验证误差为模型在验证集上的误差,因此与泛化误差更加接近。当模型规模足够大时,经常会出现训练误差随着迭代轮数增加而减小,但验证误差会再次上升的情况。因为本发明的目标是令验证误差最低,所以只要使用使验证集误差最低的参数设置,就有很大概率获得泛化误差最低的模型。做法为每当验证集误差降低后,立即存储当前模型参数的副本。当模型训练终止时,使用之前储存的参数而不是最终得到的参数。这种策略即提前终止(early stopping),它可以与Dropout正则化策略结合使用。
3、多交换机协同检测方案
本发明研究了多交换机协同检测方案,基于SDN网络全局视图的优势,提出了将单交换机检测结果与网络拓扑、流表、流量信息相结合的多交换机协同检测方案MSC(Multiple-Switch Collaboration DDoS Detection)。
3.1挖掘更多交换机信息
当发生DDoS攻击时,攻击数据包所经过的交换机会构成一条或多条攻击路径,这些交换机会表现出不同程度的流量异常。攻击流量比例较高的交换机在OpenFlow流表特征上表现会比较明显,而攻击流量比例不高的交换机在特征上的表现会和正常情况比较相近,考虑到检测算法也存在误差,因此属于同一攻击路径上的交换机检测结果会不同。但是攻击路径上的交换机存在着一定的关联性,继续挖掘OpenFlow交换机和流表信息可以获得它们的关联信息。关联信息需要同时使用多台交换机中的数据,在传统网络中难以实现,但在有集中控制器的 SDN网络中是可行的。
3.2交换机关联特征
本发明提出了交换机关联特征来表征OpenFlow交换机与相邻交换机的关联情况。由于网络中流量实时变化,而且交换机的关联情况本质上基于流量,所以交换机关联特征需要动态实时计算,而不是根据物理网络拓扑确定。为了与OpenFlow流表特征更好地配合,每隔Δt时间,控制器会同时计算交换机关联特征与流表特征。因此,交换机流表特征代表了此交换机Δt 内的流量情况,交换机关联特征代表了此交换机Δt内与相邻交换机的关联情况。交换机关联特征属性如下:
(1)最大数据包流入数交换机编号
最大数据包流入数交换机指当前交换机S在Δt内数据包的最大流入方。若S的主要流入数据包来自某台相邻交换机Sin,那么可以认为Sin与S间有特殊关系,比如两者位于同一攻击路径上,或者一方为另一方的主要接入交换机。
(2)最大数据包流出数交换机编号
最大数据包流出数交换机指当前交换机S在Δt内数据的最大流出方。若从S流出的数据包主要去往了某台相邻交换机Sout,可认为Sout与S之间也有特殊关系。此特征与前一特征比较相似,都从数据包层面挖掘交换机间的关联性,不同之处在于关注点分别为数据包的流入和流出,这可以使交换机在网络中的关联信息更加全面。
(3)最大字节流入数交换机编号
由于正常流量的数据包和攻击流量数据包都存在显著差异,仅从数据包数量层面挖掘交换机关联性并不完备。因此为使特征空间更加完备,需要加入字节数维度的特征,于是提出了最大字节流入数交换机这一特征。最大字节流入数交换机表示当前交换机在Δt内字节的最大流出方。
(4)最大字节流出数交换机编号
类似的,在字节数维度还需添加最大字节流出数交换机,最大字节流出数交换机表示当前交换机在Δt内字节的最大流出方。
3.3协同检测过程
MSC协同检测的基本思想为基于上文OpenFlow流表特征DDoS攻击检测结果,结合上一节提出的交换机关联特征,构成新的特征,再使用一个新的机器学习模型进行训练。
加入MSC后,总体的训练过程包含了两个部分:SSB训练和MSC中算法训练,后者须在前者完成后进行。流程如图3所示。对MSC检测算法训练时,需要使用SSB在测试集上的检测结果作为训练数据,避免SSB对训练数据过于拟合,从而在线检测表现不佳。测试集检测结果在添加是否发生攻击的标记后会与之前提取的交换机关联特征结合,生成新的协同检测特征,作为协同检测算法的训练数据,最后对协同检测算法进行训练。
实施例
下面结合图4和图5说明本发明的具体实施方式。
图4为DDoS攻击实验模型,包括SDN网络、SDN控制器、深度学习模型、前端平台。SDN网络是使用mininet工具模拟一个完整的网络,包括主机、链路、交换机,并进行细粒度的配置。SDN控制器采用开源的Floodlight控制器,具有路由计算、流表下发、流表统计等功能。Floodlight控制器采用Java开发,遵循模块化的架构,本发明对其进行了二次开发。深度学习模型底层使用Theano,这是一个开放的Python库。
单交换机DDoS攻击检测:
首先,Floodlight控制器从网络中提取OpenFlow流表特征和交换机关联特征,每一条流表特征记录都有对应的交换机关联特征记录,前者代表了交换机在Δt内的流量状况,后者代表了交换机在Δt内和周围交换机的关联情况。之后流表特征对应的检测算法开始训练,训练完成后对每条训练数据标记发生DDoS攻击的概率。
图4所示的深度学习模型的输入是一个具有16个属性的向量,如表1所示,前13个可以表示为连续的整数或者小数,并直接作为模型输入,但“一天中的时刻”,“一星期中的日子”,“特殊节日”这三个属性不是连续的值,而是枚举值。对于这三个属性,本发明采用了独热编码,其方法是使用N位状态寄存器来对N个状态进行编码,每个状态都有独立的寄存器位,并且任意时刻,其中只有一位有效。这样做不仅可以解决数据输入的问题,也在一定程度上扩充了特征。
表1特征名称及值类型
图5为Floodlight二次开发模块,包括Forwarding、特征提取、模型交互、特征存储、前端信息提供、日志。本发明修改了Floodlight的Forwarding模块,使其根据网络拓扑情况灵活下发匹配不同IP掩码的流表,以及支持非对称路由功能。同时新增了特征提取模块,用于请求OpenFlow交换机的流表信息和端口信息,按一定时间间隔从中提取所需特征。深度学习模型交互模块,用于调用模型预测功能,得到DDoS攻击检测结果;特征存储模块,用于离线训练模型;前端信息提供模块,用于通过Web服务的方式把网络拓扑信息和DDoS攻击检测信息提供给前端平台;日志模块,用于记录实验中的关键信息和排查错误。
反向传播神经网络根据图5中的特征提取模块,请求OpenFlow交换机的流表信息和端口信息,从中提取出第1节介绍的各项特征,使用反向传播算法进行神经元参数调整,得到的参数如表2所示。
表2 SSB检测算法深度学习模型参数
| 超类别参数 | 取值 |
| 网络结构 | 512*512*512 |
| 初始学习率 | 0.001 |
| 激活函数(隐含层) | ReLU |
| Adam中β1,β2,ε | 0.9,0.999,10<sup>-8</sup> |
| Dropout概率 | 0.2 |
| Dropout随机数种子 | 7 |
| Mini-batch | 128 |
| 迭代次数 | 100 |
前端平台使用Java Swing开发,通过Floodlight提供的URL获取网络的拓扑信息和DDoS 攻击检测结果,并实现攻击报警和异常交换机定位。
多交换机协同检测DDoS攻击:
训练过程:先进行SSB训练,再进行MSC算法训练。
首先,Floodlight控制器从SDN网络中提取OpenFlow流表特征和交换机关联特征,每一条流表特征记录都有对应的交换机关联特征记录,前者代表了交换机在Δt内的流量状况,后者代表了交换机在Δt内和周围交换机的关联情况。之后流表特征对应的检测算法开始训练,训练完成后对每条训练数据标记发生DDoS攻击的概率。对MSC检测算法训练时,需要使用 SSB在测试集上的检测结果作为训练数据,避免SSB对训练数据过于拟合,从而在线检测表现不佳。测试集检测结果在添加是否发生攻击的标记后会与之前提取的交换机关联特征结合,生成新的协同检测特征,作为协同检测算法的训练数据,最后对协同检测算法进行训练。
相应的,检测过程也分为两个部分。首先由SSB计算记录的攻击类别概率,再与交换机关联特征结合,输入协同检测算法,最后得到检测结果。
本发明中SSB和MSC均使用了深度学习模型,但它们对应的是两个不同问题,因此需要使用不同参数。通过搜索和调试后,协同检测算法的参数如表3所示:
表3 MSC中深度学习模型参数
| 超参数类别 | 取值 |
| 网络结构 | 128*128 |
| 初始学习率 | 0.005 |
| 激活函数(隐含层) | ReLU |
| Adam中β1,β2,ε | 0.9,0.999,10<sup>-8</sup> |
| Dropout概率 | 0.1 |
| Dropout随机数种子 | 13 |
| Mini-batch | 128 |
| 迭代次数 | 50 |
本发明提出了一套OpenFlow流表特征,设计了基于深度学习的单交换机DDoS检测算法SSB,在该算法基础上利用交换机之间的关联特征设计了多交换机协同检测方法MSC。与现有技术相比,新的检测特征包含了多个维度,适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况。基于新特征的SSB针对过拟合提出了有效的解决方案,并在此基础上结合交换机间的关联特征得到协同检测方案MSC充分利用了SDN全局优势,对DDoS攻击检测具有良好的效果。本发明基于SDN网络全局视图的优势将单交换机检测结果与网络拓扑、流表、流量信息相结合的多交换机协同检测方案,将交换机关联特征与OpenFlow流表特征相结合,生成协同检测特征作为协同检测算法输入,从而得到改进后的DDoS攻击检测结果
以上所述,仅为本发明中的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可理解想到的变换或替换,都应涵盖在本发明的包含范围之内,因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (9)
1.一种SDN流表驱动的DDoS攻击检测方案,其特征在于,具体步骤如下:
步骤1,在设定时间间隔Δt内,控制器提取表示某OpenFlow交换机与相邻交换机关联情况的交换机关联特征,同时利用该OpenFlow交换机中的常驻流表项和控制器下发匹配IP掩码流表项表征的特征,提取出用于表征该OpenFlow交换机流量状况的流表特征;
步骤2,构建样本集,其中样本集包括若干组样本,每组样本包括每条流的一组流表特征及其对应的标记,所述标记包括表示该组流表特征对应的交换机未遭受攻击的“0”以及表示该组流表特征对应的交换机遭受攻击的“1”;
步骤3,搭建第一深度学习模型,第一深度学习模型的输入为流表特征x及其标记y,输出为x对应的交换机遭受攻击的概率并以样本集中的m组样本作为训练数据对第一深度学习模型进行训练学习;
步骤4,以样本集中的n组数据{(x(1),y(1)),(x(2),y(2))……..,(x(n),y(n))}作为测试样本,输入步骤3中训练学习完成的深度学习模型,得到其中,(x(j),y(j))表示第j组样本,表示第j组样本对应的输出;
步骤5,搭建第二深度学习模型,第二深度学习模型的输入为交换机关联特征和第一深度学习模型的输出及其对应的标记,输出为交换机遭受攻击的概率,并以y(j)及对应的交换机关联特征r(j)作为训练数据对第二深度学习模型进行训练学习;
步骤6,通过步骤5中训练学习完成的第二深度学习模型进行DDoS攻击检测。
2.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,步骤1中还包括对常驻流表项进行预处理,具体为:在SDN控制器内部维护各OpenFlow交换机的常驻流表项历史信息,当常驻流表项在idle_timeout时长内数据包匹配计数器没有变化时,认为该常驻流表项已经“消失”,后续特征提取将不涉及此常驻流表项,当发现计数字段变化时再加入该常驻流表项。
3.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,每条流对应的一组流表特征包括流表项持续时间中位数FE_DM、流表项匹配字节数中位数FE_BM、IP成对流表项数占整体流表项百分比FE_PP、IP单向流表项绝对值FE_PN、交换机端口接收字节数增量最大值S_BMAX、交换机端口接收字节数增量平均值S_BAVG、交换机端口接收字节数与历史平均值比值最大值S_BPMAX、交换机端口接收字节数与历史平均值比值平均值S_BPAVG、交换机端口接收数据包数增量最大值S_PMAX、交换机端口接收数据包数增量平均值S_PAVG、交换机端口接收数据包数增量与历史平均值比值最大值S_PPMAX,交换机端口接收数据包数增量与历史平均值比值平均值S_PPAVG、一天中的时刻T_H、特殊节日T_F。
4.根据如权利要求3所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,IP成对流表项包括以下两种情况:
1)单一IP地址场景下
若src_ip1=dst_ip2且src_ip2=dst_ip1,则称流表项f1和流表项f2为成对流表项,其中,src_ip1为f1匹配域的源IP,dst_ip1为目的IP,src_ip2为f2匹配域的源IP,dst_ip2为目的IP;
此时,FE_PP=N(peerflow)/N,N代表交换机中流表项总数,N(peerflow)代表IP成对流表项数目;
2)带有掩码的源IP、目的IP地址场景下
若C1和C2不同时为空,则称流表项f1与流表项f2有一定概率成为成对流表项,其中,C1为f1的匹配域源IP地址S1、f2的匹配域目的IP地址D2的重叠区域,C2为f2的匹配域源IP地址S2、f1的匹配域目的IP地址D1的重叠区域;
此时,若交换机中所有流表项优先级相同,P(fi)代表第i条流表项fi在交换机中存在成对流表项的概率,则P(fi,fj)代表第i条流表项fi与第j条流表项fj成为成对流表项的概率,Si和Di分别为fi的匹配域源和目的IP地址,Sj和Dj分别为fj的匹配域源和目的IP地址,Ci为Si、Dj的重叠区域,Cj为Sj、Di的重叠区域;若交换机中存在不同优先级流表项,M表示fi被分割成的独立流表项数,fm为fi被分割后的第m条独立流表项,fm对应的权重S、D分别为fi的源和目的IP地址段中地址数目,Sm和Dm分别为fm的源和目的IP地址段中地址数目。
5.根据如权利要求4所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,IP单向流表项绝对值FE_PN的计算方法为:
n(sf)=N-N(peerflow)
式中,n(sf)代表IP单向流表项数绝对值,N代表交换机中流表项总数,N(peerflow)代表成对流表项数目。
6.根据如权利要求3所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,交换机端口接收字节数增量最大值S_BMAX和交换机端口接收字节数增量平均值S_BAVG的计算方法为:
max_port_bytes=max(bytecounti-bytecount′i)
式中,max_port_bytes为交换机端口接收字节数Δt时间内增量最大值,avg_port_bytes为交换机端口接收字节数Δt时间内增量平均值,n为当前OpenFlow交换机打开的端口总数,bytecounti为第i个端口当前的匹配字节数,bytecount′i为第i个端口Δt之前匹配的字节数。
7.根据如权利要求3所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,交换机端口接收字节数与历史平均值比值最大值S_BPMAX和交换机端口接收字节数与历史平均值比值平均值S_BPAVG的计算方法为:
式中,max_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值最大值,avg_port_bytes_percentage为Δt时间内交换机端口接收字节数与历史平均值比值平均值,incrimenti为交换机第i个端口历史正常情况下接收字节数Δt时间内增量的平均值,n为当前OpenFlow交换机打开的端口总数,bytecounti为第i个端口当前的匹配字节数,bytecount′i为第i个端口Δt之前匹配的字节数。
8.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,第一深度学习模型为标准的反向传播神经网络架构,采用ReLU作为网络层的激活函数。
9.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案,其特征在于,步骤1中交换机关联特征包括:最大数据包流入数交换机编号、最大数据包流出数交换机编号、最大字节流入数交换机编号、最大字节流出数交换机编号,其中,最大数据包流入数交换机表示当前交换机在Δt内数据包的最大流入方,最大数据包流出数交换机表示当前交换机在Δt内数据包的最大流出方,最大字节流入数交换机表示当前交换机在Δt内字节的最大流出方,最大字节流出数交换机表示当前交换机在Δt内字节的最大流出方。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910485374.XA CN110225022A (zh) | 2019-06-05 | 2019-06-05 | 一种SDN流表驱动的DDoS攻击检测方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910485374.XA CN110225022A (zh) | 2019-06-05 | 2019-06-05 | 一种SDN流表驱动的DDoS攻击检测方案 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110225022A true CN110225022A (zh) | 2019-09-10 |
Family
ID=67819384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910485374.XA Pending CN110225022A (zh) | 2019-06-05 | 2019-06-05 | 一种SDN流表驱动的DDoS攻击检测方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110225022A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
| WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
| CN114448728A (zh) * | 2022-04-07 | 2022-05-06 | 中国人民解放军战略支援部队航天工程大学 | 用于调整交换机流表项的方法、装置和计算机可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
| CN109547424A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于多SDN协同机制的DDoS攻击防御系统及方法 |
-
2019
- 2019-06-05 CN CN201910485374.XA patent/CN110225022A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
| CN109547424A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于多SDN协同机制的DDoS攻击防御系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 徐晨: "《SDN流表驱动的DDoS攻击检测》", 《CNKI》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
| CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
| CN114448728A (zh) * | 2022-04-07 | 2022-05-06 | 中国人民解放军战略支援部队航天工程大学 | 用于调整交换机流表项的方法、装置和计算机可读介质 |
| CN114448728B (zh) * | 2022-04-07 | 2022-07-01 | 中国人民解放军战略支援部队航天工程大学 | 用于调整交换机流表项的方法、装置和计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110225022A (zh) | 一种SDN流表驱动的DDoS攻击检测方案 | |
| CN106572107B (zh) | 一种面向软件定义网络的DDoS攻击防御系统与方法 | |
| CN109981691A (zh) | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 | |
| CN110400220A (zh) | 一种基于半监督图神经网络的智能可疑交易监测方法 | |
| CN108683682A (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| CN104052612B (zh) | 一种电信业务的故障识别与定位的方法及系统 | |
| CN105871832A (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
| CN106657107A (zh) | 一种SDN中基于信任值的自适应启动的ddos防御方法和系统 | |
| CN110336830A (zh) | 一种基于软件定义网络的DDoS攻击检测系统 | |
| CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN113364748B (zh) | 一种基于交易子图网络的以太坊钓鱼节点检测方法及系统 | |
| CN110336789A (zh) | 基于混合学习的Domain-flux僵尸网络检测方法 | |
| CN105763449A (zh) | 基于存储资源自适应调整的单包溯源方法 | |
| CN110493262A (zh) | 一种改进分类的网络攻击检测方法及系统 | |
| CN110096013A (zh) | 一种工业控制系统的入侵检测方法及装置 | |
| Nugraha et al. | Detecting adversarial DDoS attacks in software-defined networking using deep learning techniques and adversarial training | |
| CN106899978A (zh) | 一种无线网络攻击定位方法 | |
| CN108880909A (zh) | 一种基于强化学习的网络节能方法及装置 | |
| Wang et al. | SDN traffic anomaly detection method based on convolutional autoencoder and federated learning | |
| Dimitropoulos et al. | Modeling autonomous-system relationships | |
| Na et al. | Fake data injection attack detection in AMI system using a hybrid method | |
| CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
| CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 | |
| CN109450876A (zh) | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 | |
| CN116170237B (zh) | 一种融合gnn和acgan的入侵检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190910 |