CN111800383A - 一种基于SDN的DDos流量检测方法及装置 - Google Patents
一种基于SDN的DDos流量检测方法及装置 Download PDFInfo
- Publication number
- CN111800383A CN111800383A CN202010487742.7A CN202010487742A CN111800383A CN 111800383 A CN111800383 A CN 111800383A CN 202010487742 A CN202010487742 A CN 202010487742A CN 111800383 A CN111800383 A CN 111800383A
- Authority
- CN
- China
- Prior art keywords
- stream
- flow
- packet
- flow table
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 238000001914 filtration Methods 0.000 claims abstract description 15
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000000034 method Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于SDN的DDOS流量检测方法及装置,其中,基于SDN的DDOS流量检测方法包括:步骤S1,对接收到的Packet‑in消息进行解析,过滤冗余Packet‑in消息;步骤S2,采用基于窗口的方式进行Packet‑in速率检测;步骤S3,基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。本发明提供基于Packet‑in速率值与流表统计数据的两阶段轻量级检测方法,第一阶段可以利用Packet‑in速率对是否存在攻击进行快速的检测,后续再利用交换机流表中的相关统计信息进行第二阶段的检测,在提高检测精度的同时定位到攻击源,而且对于网络平台性能影响较小,部署运行也是比较方便。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种基于SDN的DDOS流量检测方法及装置。
背景技术
软件定义网络(Software Defined Networks,简称SDN)是一种新型的网络架构,通过解耦控制层面和数据层面,提供了对于网络的集中性控制。OpenFlow是最有代表性的SDN技术,OpenFlow协议虽然具有很多优点,同时也面临了很多严峻的挑战,例如所有网络依赖于单一控制器,造成了极大的可扩展性问题、可用性问题和安全问题。其中,尤为重要的是单点失效问题,它可能成为分布式拒绝服务攻击(Distributed Denial of ServiceAttack,简称DDoS)的攻击点。传统WLAN存在诸多安全问题,比如DDoS攻击、伪AP(FakeAccess Point)等,在基于SDN的WLAN中仍然存在;另一方面,SDN自身的安全问题也尚未得到解决,比如控制层面和数据层面的资源耗尽问题。
现有技术当中,对DDoS攻击检测和防御所依靠的软硬件应用价格昂贵难以部署,这些安全问题的攻击检测算法主要有基于统计分析和基于机器学习两大类,大多是将非SDN网络的攻击检测算法应用在SDN中,未能充分利用SDN的特性;或者需要长时间的训练过程,难以适应SDN的快速重配置。重要的是,机器学习需要对检测模型进行训练,检测精确度十分依赖于训练数据,理想的训练数据下能达到较高的检测精度,同时基于机器学习的检测算法开销较大,在检测过程中会对控制平面性能造成一定的影响。
发明内容
本发明所要解决的技术问题在于,提供一种基于SDN的DDos流量检测方法及装置,以实现快速检测并在提高检测精度的同时定位到攻击源。
为了解决上述技术问题,本发明提供一种基于SDN的DDOS流量检测方法,包括:
步骤S1,对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
步骤S2,采用基于窗口的方式进行Packet-in速率检测;
步骤S3,基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。
其中,所述步骤S1具体包括:
控制器对接收到的Packet-in消息进行解析,获得流五元组信息,并利用流五元组信息唯一标识每条流;
控制器进行记录比对,若此流尚未记录在控制器中则记录此流,并设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延;当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间;若此流已经记录在控制器中则直接比较Packet-in消息的接收时间与此流的过期时间Texpire;如果接收时间小于Texpire,则直接丢弃此Packet-in消息;如果接收时间大于Texpire,则对此流按照新流进行处理,并更新此流的过期时间Texpire。
其中,所述步骤S2中,窗口值大小为N,所述采用基于窗口的方式进行Packet-in速率检测具体是在累计接收到N个Packet-in消息后计算速率。
其中,所述步骤S3中,设置对交换机流表统计信息中的流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD;当流的流表项匹配报文数小于PACKETS_NUM_THRESHOLD时,则判定该流为可疑流,否则判定该流为正常流;
设进入交换机的流的总数目为M,判定为可疑流的数目为Nsuspect,则此交换机端口受到攻击的可疑程度为Rattack,其中Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当可疑程度Rattack的数值超过阈值SUSPECT_THRESHOLD时,则判定产生了攻击;
控制器标识网络存在攻击并进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。
其中,所述步骤S2中的窗口值大小N的取值区间为40-60。
其中,所述流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD取值为50。
本发明还提供一种基于SDN的DDOS流量检测装置,包括:
过滤单元,用于对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
第一检测单元,用于采用基于窗口的方式进行Packet-in速率检测;
第二检测单元,用于基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。
其中,所述过滤单元具体用于:
对接收到的Packet-in消息进行解析,获得流五元组信息,并利用流五元组信息唯一标识每条流;
进行记录比对,若此流尚未记录在控制器中则记录此流,并设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延;当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间;若此流已经记录在控制器中则直接比较Packet-in消息的接收时间与此流的过期时间Texpire;如果接收时间小于Texpire,则直接丢弃此Packet-in消息;如果接收时间大于Texpire,则对此流按照新流进行处理,并更新此流的过期时间Texpire。
其中,所述第二检测单元具体用于:
设置对交换机流表统计信息中的流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD;当流的流表项匹配报文数小于PACKETS_NUM_THRESHOLD时,则判定该流为可疑流,否则判定该流为正常流;
设进入交换机的流的总数目为M,判定为可疑流的数目为Nsuspect,则此交换机端口受到攻击的可疑程度为Rattack,其中Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当可疑程度Rattack的数值超过阈值SUSPECT_THRESHOLD时,则判定产生了攻击;
标识网络存在攻击并进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。
其中,所述流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD取值为50。
本发明实施例的有益效果在于:提供基于Packet-in速率值与流表统计数据的两阶段轻量级检测方法,当攻击发生时会有大量的Packet-in报文发送到控制器从而导致控制器侧的Packet-in速率急剧增大;因而,第一阶段可以利用Packet-in速率对是否存在攻击进行快速的检测,后续再利用交换机流表中的相关统计信息进行第二阶段的检测,在提高检测精度的同时定位到攻击源,而且对于网络平台性能影响较小,部署运行也是比较方便。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一一种基于SDN的DDOS流量检测方法的流程示意图。
图2为冗余Packet-in消息过滤流程图。
图3为基于Packet-in速率检测流程图。
图4为基于流表统计信息的第二阶段检测流程图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
请参照图1所示,本发明实施例一提供一种基于SDN的DDOS流量检测方法,包括:
步骤S1,对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
步骤S2,采用基于窗口的方式进行Packet-in速率检测,判断是否发生攻击;
步骤S3,基于流表统计信息进行第二阶段检测,定位可疑攻击源。
以下结合图2-4对本发明实施例一做进一步说明。
步骤S1对冗余Packet-in消息进行过滤的原因在于,在测试过程中发现对于UDP高速流,其平均冗余程度达到2000%;对于TCP高速流,其平均冗余程度达到4400%;由此可见Packet-in消息确实存在一定的冗余度。当然在实际网络中Packet-in冗余程度与注入流的特性、网络链路拥塞状况以及控制器处理能力密切相关。当控制器受到攻击时,控制器负载较高时,相较于未受到攻击时下发流表项时间会更长,会造成更多的Packet-in冗余,更多的冗余Packet-in又加重了控制器的负载,因而对冗余Packet-in进行过滤具有一定的必要性。
请同时参照图2所示,控制器冗余Packet-in消息的过滤流程具体如下:
(1)控制器首先对接收到的Packet-in消息进行解析,解析出流五元组信息,并利用流五元组信息唯一标识每条流Flow=<src_ip,src_port,nw_proto,dst_ip,dst_port>。
(2)若发现此流尚未记录在控制器中则记录此流,设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延,可以通过实际测量得到此信息。此时的过期时间只是一个估计值,当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间,用于防止过滤由于流表过期重新发出的Packet-in消息,从而避免对网络中正常数据流量造成影响。
(3)若此流已经记录在控制器中,则直接比较Packet-in消息接收时间与此流的过期时间Texpire。如果接收时间小于Texpire,则可以直接过滤此Packet-in消息,如果接收时间大于Texpire,则表明此Packet-in消息为流表项过期之后重新触发的Packet-in,对此流按照新流进行处理,更新此流过期时间Texpire。
(4)过滤冗余Packet-in消息时采取直接丢弃Packet-in消息的方式。对于TCP流而言,丢包之后会有重传机制。对于UDP流而言,如果对可靠性有较高的要求,会在协议栈的应用层设置相应的重传机制,若无重传机制则说明允许一定程度的丢包。同时,由于重传会存在一定的时间间隔,此时流表项已经下发到交换机中,不会继续以Packet-in消息的形式发送到控制器。因而,丢弃冗余Packet-in消息造成的重传只会对数据平面有一定的影响,不会继续对控制平面造成影响。
步骤S2将基于Packet-in速率检测。如图3所示,采用基于窗口的方式进行计算,即累计接收到N个Packet-in后计算速率,窗口值大小设置为50。设置Packet-in阈值PACKET_IN_THRESHOLD的合理性会受到背景流量的影响,因而需针对不同流量场景分析后确定,基于mininet+OpenDaylight的测试环境,在多次仿真中发现选取40-60作为Packet-in速率阈值时效果较好,因而仿真过程中选取的PACKET_IN_THRESHOLD为50。
步骤S3为基于流表统计信息的第二阶段检测。交换机流表统计信息包括流表项持续时间(duration字段)、流表项匹配报文数(n_packets字段)、流表项匹配字节数(n_bytes字段)等信息;在步骤S3中将n_packets字段作为区分攻击流与突发流的重要依据。
参见图4,对于流入交换机端口的某条流而言,如果其流表项匹配报文数小于一定的判断阈值PACKETS_NUM_THRESHOLD(例如,取值为7),则认为该流为可疑流,即有极大可能性为攻击流,否则认为此流为正常流。
对于某个交换机端口(与可疑攻击源相连的底层交换机端口)而言,设经该端口进入交换机的总流数目为M,判定为可疑流的数目为Nsuspect,则此端口受到攻击的可疑程度为Rattack,其中Rattack的计算公式如下:
Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当存在可疑攻击源对应的底层交换机端口的可疑程度值超过判断阈值SUSPECT_THRESHOLD时,则可以认为产生了攻击,而不是由突发流引起的。此时控制器端标识网络存在攻击,进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器端下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。此外,第二阶段的检测在区分攻击与突发流时,利用可疑流所占的比例作为端口可疑程度的度量,可以更有效地排除大流对检测过程的干扰。
相应于本发明实施例一,本发明实施例二提供一种基于SDN的DDOS流量检测装置,包括:
过滤单元,用于对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
第一检测单元,用于采用基于窗口的方式进行Packet-in速率检测;
第二检测单元,用于基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。
其中,所述过滤单元具体用于:
对接收到的Packet-in消息进行解析,获得流五元组信息,并利用流五元组信息唯一标识每条流;
进行记录比对,若此流尚未记录在控制器中则记录此流,并设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延;当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间;若此流已经记录在控制器中则直接比较Packet-in消息的接收时间与此流的过期时间Texpire;如果接收时间小于Texpire,则直接丢弃此Packet-in消息;如果接收时间大于Texpire,则对此流按照新流进行处理,并更新此流的过期时间Texpire。
其中,所述第二检测单元具体用于:
设置对交换机流表统计信息中的流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD;当流的流表项匹配报文数小于PACKETS_NUM_THRESHOLD时,则判定该流为可疑流,否则判定该流为正常流;
设进入交换机的流的总数目为M,判定为可疑流的数目为Nsuspect,则此交换机端口受到攻击的可疑程度为Rattack,其中Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当可疑程度Rattack的数值超过阈值SUSPECT_THRESHOLD时,则判定产生了攻击;
标识网络存在攻击并进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。
其中,所述流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD取值为50。
所述第一检测单元采用基于窗口的方式进行Packet-in速率检测具体是在累计接收到N个Packet-in消息后计算速率。其中,窗口值大小N的取值区间为40-60,优选50。
有关本实施例的工作原理及过程,请参照本发明实施例一的说明,此处不再赘述。
通过上述说明可知,本发明实施例的有益效果在于:提供基于Packet-in速率值与流表统计数据的两阶段轻量级检测方法,当攻击发生时会有大量的Packet-in报文发送到控制器从而导致控制器侧的Packet-in速率急剧增大;因而,第一阶段可以利用Packet-in速率对是否存在攻击进行快速的检测,后续再利用交换机流表中的相关统计信息进行第二阶段的检测,在提高检测精度的同时定位到攻击源,而且对于网络平台性能影响较小,部署运行也是比较方便。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种基于SDN的DDOS流量检测方法,其特征在于,包括:
步骤S1,对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
步骤S2,采用基于窗口的方式进行Packet-in速率检测;
步骤S3,基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。
2.根据权利要求1所述的基于SDN的DDos流量检测方法,其特征在于,所述步骤S1具体包括:
控制器对接收到的Packet-in消息进行解析,获得流五元组信息,并利用流五元组信息唯一标识每条流;
控制器进行记录比对,若此流尚未记录在控制器中则记录此流,并设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延;当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间;若此流已经记录在控制器中则直接比较Packet-in消息的接收时间与此流的过期时间Texpire;如果接收时间小于Texpire,则直接丢弃此Packet-in消息;如果接收时间大于Texpire,则对此流按照新流进行处理,并更新此流的过期时间Texpire。
3.根据权利要求1所述的基于SDN的DDos流量检测方法,其特征在于,所述步骤S2中,窗口值大小为N,所述采用基于窗口的方式进行Packet-in速率检测具体是在累计接收到N个Packet-in消息后计算速率。
4.根据权利要求1所述的基于SDN的DDos流量检测方法,其特征在于,所述步骤S3中,设置对交换机流表统计信息中的流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD;当流的流表项匹配报文数小于PACKETS_NUM_THRESHOLD时,则判定该流为可疑流,否则判定该流为正常流;
设进入交换机的流的总数目为M,判定为可疑流的数目为Nsuspect,则此交换机端口受到攻击的可疑程度为Rattack,其中Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当可疑程度Rattack的数值超过阈值SUSPECT_THRESHOLD时,则判定产生了攻击;
控制器标识网络存在攻击并进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。
5.根据权利要求3所述的基于SDN的DDos流量检测方法,其特征在于,所述步骤S2中的窗口值大小N的取值区间为40-60。
6.根据权利要求4所述的基于SDN的DDos流量检测方法,其特征在于,所述流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD取值为50。
7.一种基于SDN的DDOS流量检测装置,其特征在于,包括:
过滤单元,用于对接收到的Packet-in消息进行解析,过滤冗余Packet-in消息;
第一检测单元,用于采用基于窗口的方式进行Packet-in速率检测;
第二检测单元,用于基于流表统计信息进行第二阶段检测,判断是否发生攻击并定位可疑攻击源。
8.根据权利要求1所述的基于SDN的DDos流量检测装置,其特征在于,所述过滤单元具体用于:
对接收到的Packet-in消息进行解析,获得流五元组信息,并利用流五元组信息唯一标识每条流;
进行记录比对,若此流尚未记录在控制器中则记录此流,并设置此流的过期时间Texpire=Tcurrent+δ,其中δ表示网络中流表项下发的最大时延;当流表项下发后更新此流的过期时间Texpire=Tcurrent+Ttimeout,其中Ttimeout为控制器下发流表项的过期时间;若此流已经记录在控制器中则直接比较Packet-in消息的接收时间与此流的过期时间Texpire;如果接收时间小于Texpire,则直接丢弃此Packet-in消息;如果接收时间大于Texpire,则对此流按照新流进行处理,并更新此流的过期时间Texpire。
9.根据权利要求1所述的基于SDN的DDos流量检测装置,其特征在于,所述第二检测单元具体用于:
设置对交换机流表统计信息中的流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD;当流的流表项匹配报文数小于PACKETS_NUM_THRESHOLD时,则判定该流为可疑流,否则判定该流为正常流;
设进入交换机的流的总数目为M,判定为可疑流的数目为Nsuspect,则此交换机端口受到攻击的可疑程度为Rattack,其中Rattack=Nsuspect/M;
设定可疑程度判断阈值为SUSPECT_THRESHOLD,当可疑程度Rattack的数值超过阈值SUSPECT_THRESHOLD时,则判定产生了攻击;
标识网络存在攻击并进入攻击状态,对于攻击源所在的端口进行细粒度的端口阻塞,同时调整控制器下发流表项的timeout值,选取更小的timeout值用于防止大量突发流量长时间占用交换机的流表存储空间。
10.根据权利要求9所述的基于SDN的DDos流量检测装置,其特征在于:所述流表项匹配报文数的判断阈值PACKETS_NUM_THRESHOLD取值为50。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010487742.7A CN111800383A (zh) | 2020-06-02 | 2020-06-02 | 一种基于SDN的DDos流量检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010487742.7A CN111800383A (zh) | 2020-06-02 | 2020-06-02 | 一种基于SDN的DDos流量检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111800383A true CN111800383A (zh) | 2020-10-20 |
Family
ID=72806045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010487742.7A Pending CN111800383A (zh) | 2020-06-02 | 2020-06-02 | 一种基于SDN的DDos流量检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111800383A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113452695A (zh) * | 2021-06-25 | 2021-09-28 | 中国舰船研究设计中心 | 一种SDN环境下的DDoS攻击检测和防御方法 |
CN114978967A (zh) * | 2022-05-30 | 2022-08-30 | 桂林航天工业学院 | 基于流表项有效时间的sdn大象流侦测器实现方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100195495A1 (en) * | 2009-02-05 | 2010-08-05 | Silver Spring Networks | System and method of monitoring packets in flight for optimizing packet traffic in a network |
CN104660565A (zh) * | 2013-11-22 | 2015-05-27 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
CN108282497A (zh) * | 2018-04-28 | 2018-07-13 | 电子科技大学 | 针对SDN控制平面的DDoS攻击检测方法 |
CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
CN109617931A (zh) * | 2019-02-20 | 2019-04-12 | 电子科技大学 | 一种SDN控制器的DDoS攻击防御方法及防御系统 |
-
2020
- 2020-06-02 CN CN202010487742.7A patent/CN111800383A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100195495A1 (en) * | 2009-02-05 | 2010-08-05 | Silver Spring Networks | System and method of monitoring packets in flight for optimizing packet traffic in a network |
CN104660565A (zh) * | 2013-11-22 | 2015-05-27 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
CN108667853A (zh) * | 2013-11-22 | 2018-10-16 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
CN108282497A (zh) * | 2018-04-28 | 2018-07-13 | 电子科技大学 | 针对SDN控制平面的DDoS攻击检测方法 |
CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
CN109617931A (zh) * | 2019-02-20 | 2019-04-12 | 电子科技大学 | 一种SDN控制器的DDoS攻击防御方法及防御系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113452695A (zh) * | 2021-06-25 | 2021-09-28 | 中国舰船研究设计中心 | 一种SDN环境下的DDoS攻击检测和防御方法 |
CN114978967A (zh) * | 2022-05-30 | 2022-08-30 | 桂林航天工业学院 | 基于流表项有效时间的sdn大象流侦测器实现方法 |
CN114978967B (zh) * | 2022-05-30 | 2024-02-06 | 桂林航天工业学院 | 基于流表项有效时间的sdn大象流侦测器实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
US7440409B2 (en) | Network traffic monitoring system and monitoring method | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US8732833B2 (en) | Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof | |
CN101505218B (zh) | 攻击报文的检测方法和装置 | |
US7509408B2 (en) | System analysis apparatus and method | |
US8149705B2 (en) | Packet communications unit | |
CN111817927B (zh) | 用于检测端到端数据传输质量的方法与系统 | |
WO2009135396A1 (zh) | 网络攻击处理方法、处理装置及网络分析监控中心 | |
CN112260899B (zh) | 基于mmu的网络监测方法和装置 | |
CN111800383A (zh) | 一种基于SDN的DDos流量检测方法及装置 | |
WO2011131076A1 (zh) | 建立流转发表项的方法及数据通信设备 | |
US20090245103A1 (en) | Congestion detection method, congestion detection apparatus, and recording medium storing congestion detection program recorded thereon | |
US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
CN115277103B (zh) | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 | |
CN101917732B (zh) | 无线流量判别方法 | |
JP5199224B2 (ja) | フロー通信品質推定方法と装置およびプログラム | |
Bellaiche et al. | SYN flooding attack detection based on entropy computing | |
US20050286432A1 (en) | Packet discard point probing method and device | |
JP2002164890A (ja) | ネットワークの診断装置 | |
JP2008017407A (ja) | ネットワーク品質計測装置及びその方法 | |
JP3596478B2 (ja) | トラフィック分類装置およびトラフィック分類方法 | |
JP2006148778A (ja) | パケット転送制御装置 | |
CN115225353B (zh) | 兼顾DoS/DDoS洪泛和慢速HTTP DoS的攻击检测方法 | |
Huang et al. | An efficient scheme to defend data-to-control-plane saturation attacks in software-defined networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201020 |
|
RJ01 | Rejection of invention patent application after publication |