CN112910889A - SDN中基于FGD-FM的LDoS攻击检测与缓解方案 - Google Patents

SDN中基于FGD-FM的LDoS攻击检测与缓解方案 Download PDF

Info

Publication number
CN112910889A
CN112910889A CN202110129267.0A CN202110129267A CN112910889A CN 112910889 A CN112910889 A CN 112910889A CN 202110129267 A CN202110129267 A CN 202110129267A CN 112910889 A CN112910889 A CN 112910889A
Authority
CN
China
Prior art keywords
attack
port
ldos
traffic
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110129267.0A
Other languages
English (en)
Other versions
CN112910889B (zh
Inventor
汤澹
王曦茵
张斯琦
施玮
陈静文
王小彩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110129267.0A priority Critical patent/CN112910889B/zh
Publication of CN112910889A publication Critical patent/CN112910889A/zh
Application granted granted Critical
Publication of CN112910889B publication Critical patent/CN112910889B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方案,属于计算机网络安全领域。该方案调用SDN控制平面的API获取交换机的流量序列,使用FGD方法检测LDoS攻击,并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合,精确检测每一次攻击突发。FM方法分析端口流量序列,通过计算每个端口的可疑分数来定位受到攻击的端口,并在交换机上安装流规则,丢弃来自攻击者的攻击流量。本发明公开的方案能够实现细粒度的LDoS攻击检测,有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性,并能够有效地过滤掉攻击流量,保证良性流量的传输。

Description

SDN中基于FGD-FM的LDoS攻击检测与缓解方案
技术领域
本发明属于计算机网络安全领域,具体涉及SDN中基于FGD-FM的LDoS攻击检测与缓解方案。
背景技术
随着互联网的快速发展,互联网面临的安全问题也变得越来越复杂和严重。DoS(Denial ofService,拒绝服务)攻击是最常见的安全威胁之一,它阻止目标服务器向合法用户提供正常服务,对网络性能损害巨大。
LDoS(Low-rate Denial ofService,低速率拒绝服务)攻击是Kuzmanovic和Knightly在2003年的SIGCOMM会议上提出的一种DoS攻击的变种。它利用TCP(TransmissionControl Protocol,传输控制协议)的拥塞控制机制,周期性地发送短时高速突发,调整攻击周期反复触发RTO(Retransmission Timeout,超时重传)机制,达到攻击效果。这种攻击模式有效地限制了TCP流量的传输,同时以足够低的平均速率避免被检测。
对于传统网络来说,实际部署在线方案来检测和缓解LDoS攻击是一项艰巨的任务。传统网络将网络设备上的逻辑控制和数据转发功能紧密耦合,降低了设备的灵活性和可扩展性。具体来说,如果设备需要添加新功能,则必须重新设计新的协议或规则。因此,本发明使用SDN(Software DefinedNetwork,软件定义网络)来实现LDoS攻击实时检测和缓解。SDN采用OpenFlow协议解耦逻辑控制功能和数据转发功能,提高了网络的开放性和可编程性,实现了网络的可扩展性。开发者可以灵活地使用高级语言在上层平面设计应用和修改网络策略,无需关注底层硬件。
针对SDN中LDoS攻击的检测与缓解研究主要存在如下问题:利用SDN检测和缓解传统DoS攻击的研究很多,针对LDoS攻击的很少,而针对传统DoS攻击的方法无法有效地对LDoS攻击进行检测及缓解。
本发明根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题,提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方案。该方案调用SDN控制平面的API(ApplicationProgramming Interface,应用程序接口)获取交换机的流量序列,使用FGD(Fine GrainedDetection,细粒度检测)方法检测LDoS攻击,并基于检测结果使用FM(Fast Mitigation,快速缓解)方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合,以细粒度的方式精确检测每一次攻击突发。FM方法分析端口流量序列,通过计算每个端口的可疑分数来定位受到攻击的端口,并在交换机上安装流规则,丢弃来自攻击者的攻击流量。
发明内容
根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题,提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方案。该方案能够实现细粒度的LDoS攻击检测,有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时,该方案还可以准确地定位受攻击端口,有效地过滤掉来自受攻击端口的攻击流量,保证良性流量的传输。因此,该方案能够实时准确地识别并有效地缓解LDoS攻击。
本发明为实现上述目标所采用的技术方案为:SDN中基于FGD-FM的LDoS攻击检测与缓解方案主要分为以下步骤:数据采集、攻击检测和攻击缓解。
1.数据采集。固定采样时间TimeCW和采样间隔Δt,在采样时间内基于采样间隔周期性地调用控制平面的API,获取交换机的流量序列。
2.攻击检测。使用FGD方法实现LDoS攻击细粒度检测,步骤如下:
步骤2.1:使用Needleman-Wunsch算法对采集到的UDP(UserDatagram Protocol,用户数据报协议)流量序列A=a1,a2,…,an与基准比对矩阵中的每一个基准比对向量B=b1,b2,…,bm进行序列比对,拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期TimeDU
(1)定义相似得分S(ai,bj)和惩罚分数wk。S(ai,bj)如下式所示,若两个位点处的值相匹配,则+2分,不匹配则-2分。wk是连续出现k个空缺时的惩罚分数,它的值随着k值的增长而线性增长。
Figure BDA0002924559800000021
(2)构造并填充得分矩阵H。构造一个大小为(n+1)×(m+1)的得分矩阵,使用惩罚分数来初始化矩阵的第一列和第一行。利用如下式的得分规则来填充得分矩阵:
Figure BDA0002924559800000022
其中,位点得分Hi,j取三个相关位点得分计算后的值和0之间的最大值,Hi-1,j-1+S(ai,bj)是ai和bj匹配时的分数,Hi-1,j-wr是在ai-r后加入r个空缺后的分数,Hi,j-1-wf指在bj-l后加入f个空缺后的分数,0表示ai和bj之前没有相匹配的子段。
(3)对基准比对矩阵中的每一个基准比对向量都重复上述步骤(1)和步骤(2),选择出具有最大相似度得分的向量,该向量对应的周期即为LDoS攻击的周期TimeDU
步骤2.2:以步骤2.1中得到的攻击周期TimeDU将采集到的TCP流量序列和UDP流量序列分成若干个检测单元,基于LDoS攻击在攻击特征和攻击效果两个方面的特点,提取出检测单元的八维特征。
(1)攻击特征。在没有攻击的情况下,UDP的传输速率较低,当LDoS攻击开始,UDP传输速率就会周期性地达到峰值,波动和平均传输速率明显增加。因此,本发明选择UDP流量的平均值、方差和变异系数作为攻击特征方面的特征值。
(2)攻击效果。在没有攻击的情况下,TCP的传输速率较高且波动平稳,端口流入流出流量相对平衡。当LDoS攻击开始,UDP传输速率就会周期性地达到峰值,导致合法的TCP流量剧烈波动,传输速率显著下降,端口流入流出流量失衡。因此,本发明选择TCP流量的方差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值作为攻击效果方面的特征值。其中,TCP流量与总流量的Pearson相关系数P、小波包能量熵H和端口流量差的绝对值ΔPacks分别如下式所示:
Figure BDA0002924559800000031
Figure BDA0002924559800000032
ΔPacks=|Packsin-Packsout|
其中,cov(Ttcp,Ttotal)是TCP流量Ttcp和总流量Ttotal的协方差,D是方差,E(i)是尺度K下的小波包能量,E是总能量,并且
Figure BDA0002924559800000033
Di(t)是小波包的系数,Packsin表示流入交换机所有端口的总数据包个数,Packsout表示流出交换机所有端口的总数据包个数。
步骤2.3:基于步骤2.2获得的八维特征,使用进行RFE(Recursive FeatureElimination,递归特征消除)算法进行特征选择,选择出最重要的六维特征,分别为UDP流量的平均值、方差和变异系数,TCP流量的变异系数、与总流量的Pearson相关系数和端口流量差的绝对值。
步骤2.4:将步骤2.3中得到的特征输入到GP(Gaussian Process,高斯过程)分类模型中进行分类,若分类结果值更靠近无攻击时的标签值0,即分类结果值小于或等于0.5,则LDoS攻击不存在,若更靠近有攻击时的标签值1,即分类结果值大于0.5,则网络中存在LDoS攻击。
3.攻击缓解。使用FM方法实现LDoS攻击缓解,步骤如下:
步骤3.1:分析端口流量序列,计算每个端口的可疑分数。可疑分数最大的端口即为受攻击端口。
(1)统计每个端口流量序列的峰值、零值和中间值的个数。根据LDoS攻击原理,攻击流量具有周期性的高速脉冲波形,在每个周期中只有一个突发,并在剩余时间内保持沉默,而良性流量没有这些特征。因此,本发明可以根据该特征来区分受攻击端口和良性端口,首先要统计端口流量序列的峰值、零值和中间值的数量。
(2)计算每个端口的可疑分数。如果该端口为受攻击端口,那么端口流量序列中的峰值数应为
Figure BDA0002924559800000041
即n个突发,而剩余的所有采样数据都应该为零值。根据这个属性,本发明定义了一个变量可疑分数SS来定量描述该端口为受攻击端口的可能性,其计算如下式所示:
SS=SSh+SSmid+SSz
其中,SSh、SSmid和SSz分别是峰值、中间值和零值的统计可疑分数,计算如下式所示:
Figure BDA0002924559800000042
SSmid=-mid×(mid+1),mid>0
Figure BDA0002924559800000043
SSh是线性分数的累积值,当峰值数h≤n时,SSh的值为2+4+...+2×h,每增加一个峰值,SSh的增加值就线性增加,这是因为当峰值数小于或等于理论突发数时,端口被攻击的概率随着峰值数的增加而成倍增加。当峰值数h>n,SSh的值为n×(n+1)-2-4-...-2×(h-n),即当峰值数大于理论值时,端口是受攻击端口的概率随着峰值数的增加而成倍减小。零值的可疑分数SSz的计算与SSh同理。根据LDoS攻击理论,不存在零值和峰值之间的中间值,因此,SSmid的减少值随着中间值mid数量的增加线性增加,即SSmid=-2-4-...-2×mid。
(3)定位受攻击端口。端口的可疑分数越大,该端口受到攻击的可能性越大。比较所有端口的可疑分数,可疑分数最大的端口即为受攻击端口。
步骤3.2:在交换机上安装一条流规则,该流规则的端口匹配字段in_port的值设置为步骤3.1定位到的受攻击端口号,动作匹配字段action的值设置为drop,以此来丢弃来自攻击者的攻击流量。
有益效果
该方案能够实现细粒度的LDoS攻击检测,有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时,该方案还可以准确地定位受攻击端口,有效地过滤掉来自受攻击端口的攻击流量,保证良性流量的传输。因此,该方案能够实时准确地识别并有效地缓解LDoS攻击。
附图说明
图1是良性流量和LDoS攻击流量的各特征归一化值的对比。其中,图1(a)表示UDP流量的平均值,图1(b)表示UDP流量的方差,图1(c)表示UDP流量的变异系数,图1(d)表示TCP流量的变异系数,图1(e)表示TCP流量的与总流量的Pearson相关系数,图1(f)表示端口流量差的绝对值。
图2是良性端口和受攻击端口的可疑分数。其中,图2(a)表示可疑分数的分布,图2(b)表示可疑分数的分布统计。
图3是LDoS攻击下的流量传输速率。其中,图3(a)表示网络中没有实现基于FGD-FM方法的LDoS攻击检测与缓解方案,图3(b)表示网络中实现了基于FGD-FM方法的LDoS攻击检测与缓解方案。
图4是SDN中基于FGD-FM的LDoS攻击检测与缓解方案的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图4是SDN中基于FGD-FM的LDoS攻击检测与缓解方案的流程图,该图表示SDN中基于FGD-FM方法的LDoS攻击检测与缓解方案主要包括以下步骤:数据采集、攻击检测和攻击缓解。
图1是良性流量和LDoS攻击流量的各特征归一化值的对比。良性流量与LDoS攻击流量的六维特征存在明显差异,表明所选特征能够有效区分LDoS攻击流量和良性流量。
图2是良性端口和受攻击端口的可疑分数。良性端口的可疑分数在-72~-6之间,其中97.5%是-72,而受攻击端口流量的可疑分数分布在较高的范围0~48,表明受攻击端口的可疑分数大于良性端口的可疑分数。
图3是LDoS攻击下的流量传输速率。其中,图3(a)表示网络中没有实现基于FGD-FM方法的LDoS攻击检测与缓解方案的情况下,网络中良性TCP流量受到LDoS攻击流量的严重影响,传输速率不断降低,在36秒后处于极低水平,同时,攻击流量由于不受限制,持续出现峰值。图3(b)表示网络中实现了基于FGD-FM方法的LDoS攻击检测与缓解方案的情况下,LDoS攻击持续4秒左右时,就会被检测到并且过滤掉,良性TCP流量很快恢复到正常水平。

Claims (9)

1.SDN中基于FGD-FM的LDoS攻击检测与缓解方案,其特征在于,FGD-FM的全称是FineGrained Detection-Fast Mitigation,即细粒度检测和快速缓解。
2.SDN中基于FGD-FM的LDoS攻击检测与缓解方案,其特征在于,所述的LDoS攻击检测与缓解方案包括以下三个步骤:
步骤1、数据采集:固定采样时间和采样间隔,在采样时间内基于采样间隔,周期性地调用SDN控制平面的API,获取交换机的流量序列;
步骤2、攻击检测:基于步骤1采集到的流量序列,使用FGD方法检测LDoS攻击,得到检测结果;
步骤3、攻击缓解:基于步骤2的检测结果和步骤1采集到的流量序列,使用FM方法缓解LDoS攻击。
3.根据权利要求2中所述的LDoS攻击检测与缓解方案,其特征在于,步骤2中基于步骤1采集到的流量序列,利用FGD方法进行攻击检测,包括以下四个步骤:
步骤2.1、使用Needleman-Wunsch算法,对采集到的UDP流量序列与基准比对矩阵进行序列比对,根据比对结果估计出LDoS攻击的周期;
步骤2.2、以步骤2.1得到的攻击周期为时间单位,将采集到的TCP流量序列和UDP流量序列分成若干个检测单元,基于LDoS攻击在攻击特征和攻击效果两个方面的特点,提取出检测单元的八维特征;
步骤2.3、使用递归特征消除算法对步骤2.2提取出来的八维特征进行特征选择;
步骤2.4、将步骤2.3得到的特征输入到高斯过程分类模型中,根据分类结果判别LDoS攻击是否存在。
4.根据权利要求3中所述的LDoS攻击检测与缓解方案,其特征在于,步骤2.1中基准比对矩阵是指根据LDoS攻击的攻击模型创建出来的矩阵,其中每个向量对应的攻击参数是不同的,使用Needleman-Wunsch算法对采集到的UDP流量序列与基准比对矩阵进行序列比对,拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期。
5.根据权利要求3中所述的LDoS攻击检测与缓解方案,其特征在于,步骤2.2中根据LDoS攻击在攻击特征和攻击效果两个方面的特点,提取出UDP流量的平均值、方差和变异系数,TCP流量的方差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值这八维特征。
6.根据权利要求3中所述的LDoS攻击检测与缓解方案,其特征在于,步骤2.3中基于步骤2.2获得的八维特征,使用递归特征消除算法进行特征选择,选择出最重要的六维特征,分别为UDP流量的平均值、方差和变异系数,TCP流量的变异系数、与总流量的Pearson相关系数和端口流量差的绝对值。
7.根据权利要求3中所述的LDoS攻击检测与缓解方案,其特征在于,步骤2.4中将步骤2.3得到的特征输入高斯过程分类模型中进行分类,若分类结果值更靠近无攻击时的标签值0,即分类结果值小于或等于0.5,则LDoS攻击不存在,若更靠近有攻击时的标签值1,即分类结果值大于0.5,则网络中存在LDoS攻击。
8.根据权利要求2中所述的LDoS攻击检测与缓解方案,其特征在于,若步骤2的检测结果为存在LDoS攻击,步骤3中基于步骤1采集到的流量序列,使用FM方法缓解LDoS攻击,包括以下两个步骤:
步骤3.1、分析端口流量序列,根据每个端口的可疑分数来定位受攻击的端口;
步骤3.2、基于步骤3.1中定位到的受攻击端口,在交换机上安装一条流规则,该流规则的端口匹配字段为受攻击端口号、动作匹配字段为丢弃,以此来丢弃来自攻击者的攻击流量。
9.根据权利要求8中所述的LDoS攻击检测与缓解方案,其特征在于,步骤3.1中统计每个端口流量序列中的峰值、零值和中间值,并根据设定的得分规则计算出每个端口的可疑分数,可疑分数越大,该端口受到攻击的可能性越大,因此,可疑分数最大的端口即为受攻击端口。
CN202110129267.0A 2021-01-29 2021-01-29 SDN中基于FGD-FM的LDoS攻击检测与缓解方法 Active CN112910889B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110129267.0A CN112910889B (zh) 2021-01-29 2021-01-29 SDN中基于FGD-FM的LDoS攻击检测与缓解方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110129267.0A CN112910889B (zh) 2021-01-29 2021-01-29 SDN中基于FGD-FM的LDoS攻击检测与缓解方法

Publications (2)

Publication Number Publication Date
CN112910889A true CN112910889A (zh) 2021-06-04
CN112910889B CN112910889B (zh) 2022-05-13

Family

ID=76121627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110129267.0A Active CN112910889B (zh) 2021-01-29 2021-01-29 SDN中基于FGD-FM的LDoS攻击检测与缓解方法

Country Status (1)

Country Link
CN (1) CN112910889B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102281295A (zh) * 2011-08-06 2011-12-14 黑龙江大学 一种缓解分布式拒绝服务攻击的方法
US20150150123A1 (en) * 2013-11-25 2015-05-28 Imperva, Inc. Coordinated detection and differentiation of denial of service attacks
CN106572107A (zh) * 2016-11-07 2017-04-19 北京科技大学 一种面向软件定义网络的DDoS攻击防御系统与方法
CN107483512A (zh) * 2017-10-11 2017-12-15 安徽大学 基于时间特征的SDN控制器DDoS检测与防御方法
CN108289104A (zh) * 2018-02-05 2018-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法
CN108881324A (zh) * 2018-09-21 2018-11-23 电子科技大学 一种SDN网络的DoS攻击分布式检测与防御方法
CN109040131A (zh) * 2018-09-20 2018-12-18 天津大学 一种SDN环境下的LDoS攻击检测方法
US20190297096A1 (en) * 2015-04-30 2019-09-26 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102281295A (zh) * 2011-08-06 2011-12-14 黑龙江大学 一种缓解分布式拒绝服务攻击的方法
US20150150123A1 (en) * 2013-11-25 2015-05-28 Imperva, Inc. Coordinated detection and differentiation of denial of service attacks
US20190297096A1 (en) * 2015-04-30 2019-09-26 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
CN106572107A (zh) * 2016-11-07 2017-04-19 北京科技大学 一种面向软件定义网络的DDoS攻击防御系统与方法
CN107483512A (zh) * 2017-10-11 2017-12-15 安徽大学 基于时间特征的SDN控制器DDoS检测与防御方法
CN108289104A (zh) * 2018-02-05 2018-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法
CN109040131A (zh) * 2018-09-20 2018-12-18 天津大学 一种SDN环境下的LDoS攻击检测方法
CN108881324A (zh) * 2018-09-21 2018-11-23 电子科技大学 一种SDN网络的DoS攻击分布式检测与防御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KARTHIK RAGHUNATH: "Towards A Secure SDN Architecture", 《2018 9TH INTERNATIONAL CONFERENCE ON COMPUTING, COMMUNICATION AND NETWORKING TECHNOLOGIES (ICCCNT). IEEE》 *
WU ZHIJUN: "Low-Rate DDoS Attack Detection Based on Factorization Machine in Software Defined Network", 《IEEE ACCESS》 *

Also Published As

Publication number Publication date
CN112910889B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
Fouladi et al. Frequency based DDoS attack detection approach using naive Bayes classification
CN110149343B (zh) 一种基于流的异常通联行为检测方法和系统
Peng et al. Proactively detecting distributed denial of service attacks using source IP address monitoring
Loukas et al. Likelihood ratios and recurrent random neural networks in detection of denial of service attacks
Dainotti et al. Nis04-1: Wavelet-based detection of dos attacks
Li An approach to reliably identifying signs of DDOS flood attacks based on LRD traffic pattern recognition
Robinson et al. Ranking of machine learning algorithms based on the performance in classifying DDoS attacks
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
US8307430B1 (en) Method and system for UDP flood attack detection
US20200153742A1 (en) Abnormal flow detection device and abnormal flow detection method thereof
Hoque et al. A novel measure for low-rate and high-rate DDoS attack detection using multivariate data analysis
Udhayan et al. Statistical segregation method to minimize the false detections during ddos attacks.
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
Devi et al. Detection of application layer DDoS attacks using information theory based metrics
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN112788058B (zh) 一种基于SDN控制器的LDoS攻击检测与缓解方案
Narang et al. Feature selection for detection of peer-to-peer botnet traffic
CN112995202A (zh) 一种基于SDN的DDoS攻击检测方法
Chen et al. Detection of network anomalies using Improved-MSPCA with sketches
Jamdagni et al. Intrusion detection using GSAD model for HTTP traffic on web services
Song et al. Flow-based statistical aggregation schemes for network anomaly detection
CN105227548B (zh) 基于办公局域网稳态模型的异常流量筛选方法
Chyssler et al. Alarm reduction and correlation in intrusion detection systems
Ban et al. Behavior analysis of long-term cyber attacks in the darknet
CN112910889B (zh) SDN中基于FGD-FM的LDoS攻击检测与缓解方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant