CN110474883B - 一种基于重标极差法的sdn异常流量检测方法 - Google Patents

一种基于重标极差法的sdn异常流量检测方法 Download PDF

Info

Publication number
CN110474883B
CN110474883B CN201910669487.5A CN201910669487A CN110474883B CN 110474883 B CN110474883 B CN 110474883B CN 201910669487 A CN201910669487 A CN 201910669487A CN 110474883 B CN110474883 B CN 110474883B
Authority
CN
China
Prior art keywords
index
abnormal
node
normal
sdn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910669487.5A
Other languages
English (en)
Other versions
CN110474883A (zh
Inventor
兰海燕
孙建国
潘昱辰
赵国冬
李思照
关键
高迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN201910669487.5A priority Critical patent/CN110474883B/zh
Publication of CN110474883A publication Critical patent/CN110474883A/zh
Application granted granted Critical
Publication of CN110474883B publication Critical patent/CN110474883B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于重标极差法的SDN异常流量检测方法,属于计算机网络安全技术领域。该方法包括收集SDN各节点(包括控制器和各用户终端)的正常网络流量包数量,分别计算其Hurst指数;保存并作为网络正常指标,设定正常状态的阈值;收集各节点发生某种已知异常的网络流量包数量,计算各节点Hurst指数作为该异常的指标;用窗函数截取前向序列并计算其Hurst指数,若由正常指标最终变为某种异常指标,即可确定该模式的异常发生并确定发生异常时刻点。若只是指标变化偏离了正常值,但不能找到相近的异常指标,则发生了已知模式之外的异常,并能够确定异常时刻点。本发明可以实时检测流量状态,判断流量是否异常,并且能够检测异常发生时刻,有利于加强SDN网络系统的安全性。

Description

一种基于重标极差法的SDN异常流量检测方法
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种基于重标极差法的SDN异常流量检测方法。
背景技术
软件定义网络(Software Defined Network,SDN)是一种网络形式发展的新趋势,其最重要的、最有别于传统网络的特性就是数据平面和控制平面的相互分离。这一特点使得SDN拥有更强的灵活性和易维护性,解决了传统网络静态架构的分散和复杂的主要问题。数据平面和控制平面可以独立更新迭代,两层使用统一协议通信接口相互交换指令与数据。尤其在大型复杂网络拓扑结构下,免除了管理员手动重构网络配置和连接的任务,提高效率的同时也减少了人力干预,途中出现错误的可能性。
SDN控制器控制着网络全局。作为整个网络的管控中心,调度全网资源是其首要任务,收集全网信息能够帮助控制器的智能算法调整网络结构和参数。集中管理的特点也有利于发展SDN网络的可编程能力。这是SDN智能化进行网络调度,动态管理的基础。一旦控制器失效,所有与之相连的节点链路将全部失效。在这样的背景下,对网络流量是否发生异常的检测显得尤为重要,异常流量不仅可以反映潜在的网络攻击,也能预防由于漏洞或故障引起的连锁反映。尤其是涉及到SDN控制器的异常流量更需重点关注。
目前网络流量异常检测倍受学者的关注,例如Leland W E等学者采用R/S分析法和聚集方差法分别计算序列的Hurst指数从而区别正常与异常流量序列,Pharande S等学者使用R/S分析法结合分数高斯噪声分析拒绝服务(Denial of Service,DoS)攻击的自相似性,Lozhkovskyi A G利用R/S分析法计算局部R/S序列以得到分组交换网的流量自相似特征。以上研究都是针对传统网络流量而言,上述方法中,有关R/S分析法和Hurst指数的流量分析是一种计算效率较高,实现简单且可广泛应用的一种方法,但是由于网络环境的差异,对于SDN环境下的流量分析则需要专门的研究测试。对于SDN环境,有基于信息熵的深度神经网络检测法,主成分分析法等,这些方法都全面地考虑到了SDN控制器和其他设备,比较符合SDN特殊的环境,但是这些方法实现的算法较为复杂,耗费计算资源较大,对设备性能有一定要求。
将应用于传统网络的R/S分析法计算Hurst指数的方法引申至SDN环境下,除了计算从用户终端收集的流量序列特征,还要计算控制器的流量特征。但是根据实验研究发现,以100ms为采样间隔,对控制器采集样本点,样本点的值为控制器正常工作时的数据包数量,在编程计算Hurst指数时发生错误。原因在于控制器流量序列有较多长期连续0值,计算R/S序列时,由于恒值序列的极差和标准差均为0,做除法后产生无意义值影响了最终线性拟合的收敛。这个问题在流量较小的时段,对于其他用户终端甚至在传统网络中也会造成影响。
发明内容
本发明的目的在于提供一种基于重标极差法的SDN异常流量检测方法。鉴于现有技术的缺陷,本发明所要解决的技术问题是:
(1)针对SDN流量分析使用R/S分析法,简化计算方法,提高计算速度。
(2)解决在小流量时序列持续为0导致的计算错误。
(3)检测异常发生时刻。
(4)该方法应该对具体硬件环境依赖较小,针对具体网络拓扑结构有具体的参数优化。
使用该方法能够较好区分正常网络状态下的流量特征和异常状态的流量特征,并以此作为网络内部攻击发生,以及发生攻击时刻的判据。本发明的目的是这样实现的:
一种基于重标极差法的SDN异常流量检测方法,包括如下步骤:
步骤1:收集SDN各节点(包括控制器和各用户终端)的正常网络流量包数量,分别计算Hurst指数,作为正常网络状态的指标I_Normal;
步骤2:收集各节点发生某种已知异常的网络流量包数量,计算各节点Hurst指数,作为异常指标I_Abnormal;
步骤3:使用窗函数截取各节点实时产生的前向序列,并计算Hurst指数;每当序列更新一个采样点,就向后移动一次窗函数进行新一轮计算;
步骤4:根据阈值判断此时各节点的Hurst指数是否偏离I_Normal,如果偏离,则继续执行步骤5;如果没有偏离,则重复步骤3;
步骤5:当Hurst指数趋于稳定时,判断此时的流量指标是否符合步骤2中得到的已知异常指标I_Abnormal,如果是,则此时发生了相对应模式的异常;如果不是,则此时发生了一种新的未知异常;
所述步骤5中趋于稳定的判断方法为异常发生后一段时间T_Total内,当各节点Hurst指数在异常发生后一定时间T_Check内都保持在I_Abnormal的阈值内,则判定此时异常模式为I_Abnormal对应模式;在T_Total内无法做出判断,则一律归为未知异常。
所述T_Total和T_Check由具体的异常模式而定,多种异常的组合时,取所需的最大值。
所述步骤1中Hurst指数的计算方法为:
步骤1.1:以长度A均分一个序列Rt,A=2q,q=1,2,...,λ-1,该序列被均分为n段,设子区间为Ia,a=1,2,...,n,Ia中的元素记为Nk,m,k=1,2,...,n,m=1,2,...,A,计算Ia的平均值ea
Figure BDA0002141195540000021
步骤1.2:对于每个Ia,计算其均值差累积序列Xk,a
Figure BDA0002141195540000031
步骤1.3:计算每个Ia的极差后加一个微小量ξ作为极差结果
Figure BDA0002141195540000032
步骤1.4:计算每个Ia的标准差后加一个微小量δ作为标准差结果
Figure BDA0002141195540000033
步骤1.5:计算(R/S)n
Figure BDA0002141195540000034
步骤1.6:取A=2q,q=1,2,...,λ-1,重复上述计算;将log2(R/S)作为log2(n)的函数进行线性拟合,其斜率为Hurst指数值。
所述步骤1中的I_Normal为各节点以及相应的Hurst指数在正常网络环境下形成的对应表。
所述步骤2中I_Abnormal为各节点以及相应的Hurst指数在异常网络环境下形成的对应表,I_Abnormal需要设定阈值,根据正常网络流量进行多次采集流量并计算Hurst指数,通过统计方法确定阈值范围。
所述的统计方法为使用箱型图的上边缘和下边缘作为I_Normal和I_Abnormal的上、下阈值。
本发明有益效果在于:
(1)计算流量特征的Hurst指数算法实现简单,多种编程语言均可以实现,各类操作系统都可以部署该算法,不依赖特定的开发环境;
(2)对于不同的网络有不同的参数设定,如窗函数长度W_Length,正常状态指标I_Normal的阈值范围等,这使该方法能最佳配合网络拓扑结构,发挥最佳效用;
(3)在检测异常时刻中延迟较低,根据SYN泛洪实验测试得到延迟普遍小于2s;
(4)只要流量情况与正常状态不一样时就能做出反应,不仅限于检测网络攻击,尤其对于SDN环境下,对于潜在的资源耗尽,漏洞检测等常见网络问题,也能够协助管理员做出判断与防范。
附图说明
图1为一种基于重标极差法的SDN异常流量检测方法流程示意图。
具体实施方式
下面结合附图,对本发明的技术方案作进一步的详细描述。
本发明涉及一种软件定义网络的异常流量检测算法。鉴于现有技术的缺陷,本发明所要解决的技术问题是:
针对SDN流量分析使用R/S分析法,简化计算方法,提高计算速度。
解决在小流量时序列持续为0导致的计算错误。
检测异常发生时刻。
该方法应该对具体硬件环境依赖较小,针对具体网络拓扑结构有具体的参数优化。
为了上述目的,本发明提供了一种网络流量分析方法,使用该方法能够较好区分正常网络状态下的流量特征和异常状态的流量特征,并以此作为网络内部攻击发生,以及发生攻击时刻的判据。
该方法步骤如下:
S1.收集SDN各节点(包括控制器和各用户终端)的正常网络流量包数量,分别计算Hurst指数,作为正常网络状态的指标I_Normal。
I_Normal具体为,各节点以及相应的Hurst指数在正常网络环境下形成的对应表。
该步骤I_Normal需要设定阈值,具体阈值应针对具体网络进行测试而定。一般根据正常网络流量进行多次采集流量并计算Hurst指数,通过统计方法例如箱型图的上边缘和下边缘确定好各节点Hurst指数的阈值范围。
S2.收集各节点发生某种已知异常的网络流量包数量,计算各节点Hurst指数,作为异常指标I_Abnormal。
I_Abnormal具体为,各节点以及相应的Hurst指数在异常网络环境下形成的对应表。
I_Abnormal需要设定阈值,具体阈值应针对具体网络进行测试而定。一般根据该异常下的网络流量进行多次采集流量并计算Hurst指数,通过统计方法例如箱型图的上边缘和下边缘确定各节点阈值范围。
S3.使用窗函数截取各节点实时产生的前向序列,并计算Hurst指数。每当序列更新一个采样点,就向后移动一次窗函数进行新一轮计算。
此处窗函数长度W_Length过短会造成较大误差,过长会加重计算负担,且过长的窗会使开始捕捉流量到开始运行检测之间延时较长(窗长度为1024即意味着需要从序列头部往后1024个点开始才能作为第一个窗的截取序列。)建议W_Length为1024,该长度可根据具体采样间隔和实验效果而定。
S4.根据阈值判断此时各节点的Hurst指数是否偏离I_Normal,如果偏离,则继续;如果没有偏离,则重复S3.
S5.当Hurst指数趋于稳定时,判断此时的流量指标是否符合S2中得到的已知异常指标I_Abnormal,如果是,则此时发生了相对应模式的异常;如果不是,则此时发生了一种新的未知异常。
其中,趋于稳定的判断方法是,异常发生后一段时间T_Total内,当各节点Hurst指数在异常发生后一定时间T_Check内都保持在I_Abnormal的阈值内,则判定此时异常模式为I_Abnormal对应模式。T_Total和T_Check由具体的异常模式而定,多种异常的组合时,取所需的最大值。
在T_Total内无法做出判断,则一律归为未知异常。
在步骤S1,S2,S3内:
采集网络流量的时间间隔建议取值为100ms,具体间隔可根据实际情况实验效果而定。
采集网络流量序列后,如果长度不等于某个2的整数次幂,则根据序列所含最大2的整数次幂进行裁剪。
计算Hurst指数的算法如下,
(1)以长度A均分一个序列Rt,A=2q,q=1,2,...,λ-1,该序列被均分为n段,设子区间为Ia,a=1,2,...,n,Ia中的元素记为Nk,m,k=1,2,...,n,m=1,2,...,A,计算Ia的平均值ea
Figure BDA0002141195540000051
(2)对于每个Ia,计算其均值差累积序列Xk,a
Figure BDA0002141195540000052
(3)计算每个Ia的极差后加一个微小量ξ作为极差结果,此处ξ建议取值10-5或更小。
Figure BDA0002141195540000053
(4)计算每个Ia的标准差后加一个微小量δ作为标准差结果,此处δ取值10-5且数量级接近于ξ
Figure BDA0002141195540000054
(5)计算(R/S)n
Figure BDA0002141195540000055
(6)取A=2q,q=1,2,...,λ-1,重复上述计算。将log2(R/S)作为log2(n)的函数进行线性拟合,
log2(R/S)n=C+Hlog2(n)
斜率即为Hurst指数值。
以mininet为仿真环境建立一个虚拟SDN拓扑网络,以Ryu作为SDN控制器,设置网络连接带宽均为10Mbps。网络拓扑结构为简单的控制器c0连接一个交换机,交换机下连接h1和h2两个用户终端。
进入节点h1的终端,调用SYN泛洪(SYN flood)攻击脚本向h2发起攻击。利用Wireshark工具获取控制器c0、攻击节点h1、目标节点h2的流量信息,采样间隔为100ms,采样1024个数据点。分别获取网络正常运行时的信息和发动攻击时的流量信息。
对正常状态下的网络和存在SYN泛洪流量的网络各节点分别进行20次流量捕获与计算,做出各节点流量序列Hurst指数的箱型图。
根据箱型图,得出正常网络模式I_Normal为,c0:0.55,h1:0.95,h2:0.98。SYN泛洪模式I_Abnormal为,c0:0.80,h1:0.92,h2:0.95。
设定该网络I_Normal阈值为c0:0.52-0.59,h1:0.91-0.99,h2:0.94-0.99
该网络I_Abnormal的阈值为c0:0.75-0.85,h1:0.90-0.95,h2:0.90-0.95
运行网络,使节点间产生正常通信,使用Wireshark工具开始捕获各节点流量包数量,仍以100ms为采样周期,在采集1024个数据点之后,以1024为W_Length,从目前采样点向前截取长度为1024的序列,计算Hurst指数。
每采集一次数据包数量,从当前位置向前截取长度为1024的序列,计算Hurst指数,并对每次得到的Hurst指数进行判断。
本例中,实际发起SYN泛洪的时间为141.0s,c0首先超出了I_Normal阈值,超出时间为141.5s,这一时刻为判定的异常发生时刻,较真实时刻延迟为0.5s。最终各节点趋于稳定,以c0的Hurst指数在异常发生后5s内有1s保持在0.75-0.85时视为趋于稳定,各节点的Hurst指数平均值为c0:0.85,h1:0.92,h2:0.94,在I_Abnormal阈值内。说明在141.5s时刻发生的是SYN泛洪。
本例通过另外一种死亡ping攻击,使网络产生未知的异常,以检测异常开始时间。进入节点h1的终端,在网络正常运行中途调用死亡ping攻击脚本向h2发起攻击,调用脚本时间为125.0s。h2的Hurst值首先超出I_Normal阈值,达到1.00,识别时间为126.3s。较真实时刻有1.3s的延迟。但在异常后的5s内,h1和h2的指数始终在1.00左右,c0的指数平均在0.54,不符合SYN泛洪的特征。
本发明还包括以下特点:
1.对于S1,S2,S3步骤Hurst指数计算中,参数取值此处ξ建议取值10-5或更小,δ取值10-5且数量级接近于ξ。
2.对于S1,S2,S3步骤采集网络流量的时间间隔建议取值为100ms,具体间隔可根据实际情况实验效果而定。
3.对于S1,S2,S3步骤采集网络流量序列后,如果长度不等于某个2的整数次幂,则根据序列所含最大2的整数次幂进行裁剪。
4.I_Normal具体为,各节点以及相应的Hurst指数在正常网络环境下形成的对应表。
5.S2中,I_Abnormal具体为,各节点以及相应的Hurst指数在异常网络环境下形成的对应表。
6.设定阈值,根据正常网络流量进行多次采集流量并计算Hurst指数,通过统计方法确定阈值范围。统计方法使用箱型图的上边缘和下边缘作为I_Normal和I_Abnormal的上、下阈值。
7.S3中,使用窗函数截取网络实时产生的前向序列,并计算Hurst指数。建议W_Length为1024,W_Length可根据具体采样间隔和实验效果而定。
8.每增加新采样点,窗函数都进行移动截取新的序列。
9.S5中趋于稳定的判断方法是,异常发生后一段时间T_Total内,当各节点Hurst指数在异常发生后一定时间T_Check内都保持在I_Abnormal的阈值内,则判断为此时异常模式为I_Abnormal对应模式。T_Total和T_Check由具体的异常模式而定。多种异常的组合则取所需的最大值。
本发明涉及一种计算机网络安全领域,尤其涉及一种软件定义网络(SDN)的异常流量检测算法。该方法包括:收集SDN各节点(包括控制器和各用户终端)的正常网络流量包数量,分别计算其Hurst指数。保存并作为网络正常指标,设定正常状态的阈值。收集各节点发生某种已知异常的网络流量包数量,计算各节点Hurst指数作为该异常的指标。用窗函数截取前向序列并计算其Hurst指数,若由正常指标最终变为某种异常指标,即可确定该模式的异常发生并确定发生异常时刻点。若只是指标变化偏离了正常值,但不能找到相近的异常指标,则发生了已知模式之外的异常,并能够确定异常时刻点。本发明可以实时检测流量状态,判断流量是否异常,并且能够检测异常发生时刻,有利于加强SDN网络系统的安全性。

Claims (5)

1.一种基于重标极差法的SDN异常流量检测方法,其特征在于,包括:
步骤一、收集SDN各节点的正常网络流量包数量,分别计算Hurst指数,作为正常网络状态的指标I_Normal;
所述的Hurst指数的计算方法为:
步骤1.1、以长度A均分一个序列Rt,A=2q,q=1,2,...,λ-1,该序列被均分为n段,设子区间为Ia,a=1,2,...,n,Ia中的元素记为Nk,m,k=1,2,...,n,m=1,2,...,A,计算Ia的平均值ea
Figure FDA0003344579350000011
步骤1.2、对于每个Ia,计算其均值差累积序列Xk,a
Figure FDA0003344579350000012
步骤1.3、计算每个Ia的极差后加一个微小量ξ作为极差结果;
Figure FDA0003344579350000013
步骤1.4、计算每个Ia的标准差后加一个微小量δ作为标准差结果;
Figure FDA0003344579350000014
步骤1.5、计算(R/S)n
Figure FDA0003344579350000015
步骤1.6、取A=2q,q=1,2,...,λ-1,重复上述计算;将log2(R/S)作为log2(n)的函数进行线性拟合,其斜率为Hurst指数值;
步骤二、收集各节点发生某种已知异常的网络流量包数量,计算各节点Hurst指数,作为异常指标I_Abnormal;
步骤三、使用窗函数截取各节点实时产生的前向序列,并计算Hurst指数;每当序列更新一个采样点,就向后移动一次窗函数进行新一轮计算;
步骤四、根据阈值判断此时各节点的Hurst指数是否偏离I_Normal,若偏离,则继续执行步骤五;若没有偏离,则重复步骤三;
步骤五、当Hurst指数趋于稳定时,判断此时的流量指标是否符合步骤二中得到的已知异常指标I_Abnormal,若是,则此时发生了对应模式的异常;若不是,则此时发生了一种新的未知异常。
2.根据权利要求1所述的一种基于重标极差法的SDN异常流量检测方法,其特征在于:
所述的步骤一中I_Normal需要设定阈值,具体阈值应针对具体网络进行测试而定,根据正常网络流量进行多次采集流量并计算Hurst指数,通过统计方法确定好各节点Hurst指数的阈值范围;
所述的步骤二中I_Abnormal需要设定阈值,具体阈值应针对具体网络进行测试而定,根据该异常下的网络流量进行多次采集流量并计算Hurst指数,通过统计方法确定各节点Hurst指数的阈值范围。
3.根据权利要求2所述的一种基于重标极差法的SDN异常流量检测方法,其特征在于:所述的统计方法为使用箱型图的上边缘和下边缘作为I_Normal和I_Abnormal的上、下阈值。
4.根据权利要求1所述的一种基于重标极差法的SDN异常流量检测方法,其特征在于:所述的步骤五中趋于稳定的判断方法为异常发生后一段时间T_Total内,当各节点Hurst指数在异常发生后时间T_Check内都保持在I_Abnormal的阈值内,则判定此时异常模式为I_Abnormal对应模式;在T_Total内无法做出判断,则一律归为未知异常。
5.根据权利要求4所述的一种基于重标极差法的SDN异常流量检测方法,其特征在于:所述的T_Total和T_Check由具体的异常模式而定,多种异常的组合时,取所需的最大值。
CN201910669487.5A 2019-07-24 2019-07-24 一种基于重标极差法的sdn异常流量检测方法 Active CN110474883B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910669487.5A CN110474883B (zh) 2019-07-24 2019-07-24 一种基于重标极差法的sdn异常流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910669487.5A CN110474883B (zh) 2019-07-24 2019-07-24 一种基于重标极差法的sdn异常流量检测方法

Publications (2)

Publication Number Publication Date
CN110474883A CN110474883A (zh) 2019-11-19
CN110474883B true CN110474883B (zh) 2022-01-07

Family

ID=68508972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910669487.5A Active CN110474883B (zh) 2019-07-24 2019-07-24 一种基于重标极差法的sdn异常流量检测方法

Country Status (1)

Country Link
CN (1) CN110474883B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541791A (zh) * 2020-03-16 2020-08-14 武汉猎鹰网安科技有限公司 网络安全中平台的流量压力测试系统
CN111294362B (zh) * 2020-03-16 2021-07-27 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN114172706A (zh) * 2021-11-29 2022-03-11 广州大学 智能音箱网络流量异常的检测方法、系统、设备和介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104796301A (zh) * 2015-03-31 2015-07-22 北京奇艺世纪科技有限公司 网络流量异常判断方法和装置
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
WO2017154012A1 (en) * 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
CN108667856A (zh) * 2018-08-10 2018-10-16 广东电网有限责任公司 一种网络异常检测方法、装置、设备及存储介质
CN109587104A (zh) * 2018-02-26 2019-04-05 新华三信息安全技术有限公司 一种异常流量检测方法、装置和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104796301A (zh) * 2015-03-31 2015-07-22 北京奇艺世纪科技有限公司 网络流量异常判断方法和装置
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
WO2017154012A1 (en) * 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
CN109587104A (zh) * 2018-02-26 2019-04-05 新华三信息安全技术有限公司 一种异常流量检测方法、装置和设备
CN108667856A (zh) * 2018-08-10 2018-10-16 广东电网有限责任公司 一种网络异常检测方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SDN环境下的DDoS攻击检测与路径回溯算法研究;解晗;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20190115(第01期);全文 *
基于SDN网络流量异常检测模型设计和实现;张玉杰;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20170315(第03期);全文 *

Also Published As

Publication number Publication date
CN110474883A (zh) 2019-11-19

Similar Documents

Publication Publication Date Title
CN110474883B (zh) 一种基于重标极差法的sdn异常流量检测方法
Tartakovsky et al. A novel approach to detection of intrusions in computer networks via adaptive sequential and batch-sequential change-point detection methods
Loukas et al. Likelihood ratios and recurrent random neural networks in detection of denial of service attacks
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
Bilge et al. Disclosure: detecting botnet command and control servers through large-scale netflow analysis
CN103023725B (zh) 一种基于网络流量分析的异常检测方法
Barthakur et al. A framework for P2P botnet detection using SVM
US20040257999A1 (en) Method and system for detecting and disabling sources of network packet flooding
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
Pekár et al. Adaptive aggregation of flow records
Özçelik et al. Cusum-entropy: an efficient method for DDoS attack detection
Barthakur et al. An efficient machine learning based classification scheme for detecting distributed command & control traffic of P2P botnets
CN115549965A (zh) 一种基于拟真网络的网络安全训练方法
Zhao Network intrusion detection system model based on data mining
De Assis et al. A novel anomaly detection system based on seven-dimensional flow analysis
CN117155629A (zh) 一种基于人工智能的电力信息系统网络主动防御方法及系统
Androulidakis et al. Understanding and evaluating the impact of sampling on anomaly detection techniques
Tartakovsky et al. A nonparametric multichart CUSUM test for rapid intrusion detection
Li et al. Detecting saturation attacks in software-defined networks
CN115396163B (zh) 一种恶意周期行为检测方法
Lotfalizadeh et al. Investigating real-time entropy features of DDoS attack based on categorized partial-flows
Kang et al. Accurate detection of peer-to-peer botnet using multi-stream fused scheme
CN111835750B (zh) SDN中基于ARIMA模型的DDoS攻击防御方法
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
CN108833310B (zh) 具备人工智能分析的交换机

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant