CN112995202A - 一种基于SDN的DDoS攻击检测方法 - Google Patents
一种基于SDN的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN112995202A CN112995202A CN202110377525.7A CN202110377525A CN112995202A CN 112995202 A CN112995202 A CN 112995202A CN 202110377525 A CN202110377525 A CN 202110377525A CN 112995202 A CN112995202 A CN 112995202A
- Authority
- CN
- China
- Prior art keywords
- flow
- model
- sdn
- destination
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 36
- 238000003066 decision tree Methods 0.000 claims abstract description 7
- 238000007477 logistic regression Methods 0.000 claims abstract description 7
- 238000007637 random forest analysis Methods 0.000 claims abstract description 7
- 238000012706 support-vector machine Methods 0.000 claims abstract description 7
- 238000013499 data model Methods 0.000 claims abstract description 4
- 230000006870 function Effects 0.000 claims abstract description 4
- 238000010801 machine learning Methods 0.000 claims description 21
- 238000000034 method Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000002790 cross-validation Methods 0.000 claims description 4
- 238000013502 data validation Methods 0.000 claims description 4
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims 1
- 230000007123 defense Effects 0.000 abstract description 3
- 238000007619 statistical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 235000013372 meat Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于SDN的DDoS攻击检测方法,属于软件定义网络领域。在SDN中搜集正常以及攻击流表,再对这些流表进行处理,运用逻辑回归、支持向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树分别对收集的流表进行训练,将所有最优超参数的模型放在一起,调用函数计算各项指标值,将各项值放入到数据模型中,选择最优的参数模型当做基模型,把最优模型的预测结果集成起来当做一个模型,对收集的流表再进行训练,再进行预测,最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。最后把训练的集成模型放入控制器中,就可以有效的检测DDoS的攻击检测,从而在攻击到来的时候进行有效的防御。
Description
技术领域
本发明涉及一种基于SDN的DDoS攻击检测方法,属于软件定义网络领域。
背景技术
软件定义网络(software define networking,SDN)是美国斯坦福大学提出的一种新型的网络架构,和传统网络相比,就是SDN实现了数据层和控制层的分离。分布式拒绝服务攻击(distributed denial of service attacks,DDoS)一直是互联网安全的主要威胁之一。多台傀儡主机被攻击者控制后向受害主机发送大量攻击数据包,消耗目标主机的资源,使目标主机无法正常地为合法用户提供服务。DDoS攻击发起简单、危害性大,难以被精准快速检测和防御。
由于SDN网络的特点,当发生DDoS攻击时不仅危害被攻击主机,还会引发交换机流表项大量增长,产生大量消息发送到控制器。在这个过程中,控制器、被攻击的主机及其所连接的交换机都会受到极大的影响。所以DDoS攻击对于SDN架构的网络的危害是巨大的。如何快速准确地检测DDoS攻击是SDN网络安全的重点和难点问题之一。
基于SDN的DDoS检测的方法主要包括两种:基于统计分析和基于机器学习的。基于机器学习的DDoS攻击检测:准确率高,但是大多数的基于机器学习的只是简单的其中一种机器学习进行训练。基于统计分析的DDoS攻击检测:获取网络流量数据做统计分布处理,只是对ip地址进行分布,但是DDoS很多进行伪装的IP地址,而且数量庞大,很难做到很精确。
发明内容
本发明要解决的技术问题是提供一种基于SDN的DDoS攻击检测方法,本专利采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练,再选取其中2-4最优模型作为基模型,再对基模型集成一个训练模型,可以更加准确的分类出是否为DDoS攻击。
本发明采用的技术方案是:
一种基于SDN的DDoS攻击检测方法,包括如下步骤:
1)统计SDN中的流表项并预处理。
2)特征提取。
3)初步模型的训练。
4)选取3-4个最优模型作为基模型,再进行训练。
5)攻击检测判定。
具体地,所述步骤1)包括如下步骤:
统计流表项中的匹配域和计数器信息,protocol,srcIP,dstIP,srcPort,dstPort,pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数。设以周期T对OpenFlow交换机进行流表项提取,得到不同流表项总数为N,集合为flowSet={(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount,i=l,2,...N},DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。
具体地,所述步骤2)包括如下步骤:
step2.1流包速率(PPS)
式中PacketsNumi是在T时间内i流中数据包的数目,发生攻击时,该值会上升。
step2.2流表项速率(FER)
FER=N/T (2)
发生DDoS攻击时,网络中针对受害主机的流请求迅速增加,所以有关受害主机的流表项生成速度会上升。
step2.3流包数均值(APPF)
step2.4单流表项比例(SFP)
SFP=NS/N (4)
其中NS是单流表项的条数。
step2.5运用协议熵描述DDoS攻击特性,定义协议熵如下:
其中,M为采用周期内数据包总数,数组pro[k](k=l,2...L)为每种协议的数据包个数。
step2.6 H(srcIPldstIP),H(srcIPldstPort),H(dstPortldstIP)三个条件熵
现以源IP关于目的IP的多对一关系的特征计算为例。对流表项集合flowSet进行统计,可以得到源IP集合为srcIP={slili=l,2...,P},目的IP集合dstIP={dIjlj=I,2...Q},其中A[j](j=l,2,...Q)表示目的IP为dIj的数据包总数,B[i][j](i=1,2,...P;j=l,2....Q)表示源IP为sIi,目的IP为dIj的数据包总数。需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系,其计算公式如下:
H(dIj)=-∑Pijlog(Pij),j=1,2,...,Q (6)
其中Pij表示源地址为sIi,目的地址为dIj的权重,Pij=B[i][j]/A[i]。随机变量Y关于随机X的条件熵用H(YIX)表示,定义为如下式。
H(Y|X)=-∑jP(xj)∑iP(yi|xj)log(P(yi|xj)) (7)
把数据包个数M和集合A、B代入上式,可以得到H(srcIPldstIP)的具体计算方法。
同理可以计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系,以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。
具体地,所述步骤3)包括如下步骤:
利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练,将所有最优超参数的模型放在一起,调用函数计算各项指标值,将各项值放入到数据模型中。
Step3.1采用网格搜索的方法获取最优超参数,而对于每一种机器学习方法的流表训练采用五折交叉验证,即把处理好的数据集分成五份,其中四份进行训练,一份进行验证,最后选择各分类器对数据验证的准确率。
Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数,Nf代表的是检测到的攻击流表数。
具体地,所述步骤4)包括如下步骤:
根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型,把以上最优模型的预测结果集成起来当做一个模型,对收集的流表再进行训练,再进行预测,最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。
具体地,所述步骤5)包括如下步骤:
把训练的集成模型放入控制器中,就可以有效的检测DDoS的攻击检测。对于攻击的流量产生报警,从而在攻击到来的时候进行有效的防御,以防DDoS攻击对电脑产生损坏。
附图说明
图1为本发明的结构示意图;
图2为本发明检测工作流程图;
图3为本发明的SDN中DDoS攻击示意图;
图4为本发明的流表匹配过程图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步的描述。
实施例1:一种基于SDN的DDoS攻击检测方法,包括如下步骤:
1)统计SDN中的流表项并预处理。
2)特征提取。
3)初步模型的训练。
4)选取3-4个最优模型作为基模型,再进行训练。
5)攻击检测判定。
进一步地,所述步骤1)包括如下步骤:
统计流表项中的匹配域和计数器信息,protocol,srcIP,dstIP,srcPort,dstPort,pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数。设以周期T对OpenFlow交换机进行流表项提取,得到不同流表项总数为N,集合为flowSet={(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount,i=l,2,...N},DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。
进一步地,所述步骤2)包括如下步骤:
step2.1流包速率(PPS)
式中PacketsNumi是在T时间内i流中数据包的数目,发生攻击时,该值会上升。
step2.2流表项速率(FER)
FER=N/T (2)
发生DDoS攻击时,网络中针对受害主机的流请求迅速增加,所以有关受害主机的流表项生成速度会上升。
step2.3流包数均值(APPF)
step2.4单流表项比例(SFP)
SFP=NS/N (4)
其中NS是单流表项的条数。
step2.5运用协议熵描述DDoS攻击特性,定义协议熵如下:
其中,M为采用周期内数据包总数,数组pro[k](k=l,2...L)为每种协议的数据包个数。
step2.6 H(srcIPldstIP),H(srcIPldstPort),H(dstPortldstIP)三个条件熵
现以源IP关于目的IP的多对一关系的特征计算为例。对流表项集合flowSet进行统计,可以得到源IP集合为srcIP={slili=l,2...,P},目的IP集合dstIP={dIjlj=I,2...Q},其中A[j](j=l,2,...Q)表示目的IP为dIj的数据包总数,B[i][j](i=1,2,...P;j=l,2....Q)表示源IP为sIi,目的IP为dIj的数据包总数。需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系,其计算公式如下:
H(dIj)=-∑Pijlog(Pij),j=1,2,...,Q (6)
其中Pij表示源地址为sIi,目的地址为dIj的权重,Pij=B[i][j]/A[i]。随机变量Y关于随机X的条件熵用H(YIX)表示,定义为如下式。
H(Y|X)=-∑jP(xj)∑iP(yi|xj)log(P(yi|xj)) (7)
把数据包个数M和集合A、B代入上式,可以得到H(srcIPldstIP)的具体计算方法。
同理可以计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系,以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。
进一步地,所述步骤3)包括如下步骤:
利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练,将所有最优超参数的模型放在一起,调用函数计算各项指标值,将各项值放入到数据模型中。
Step3.1采用网格搜索的方法获取最优超参数,而对于每一种机器学习方法的流表训练采用五折交叉验证,即把处理好的数据集分成五份,其中四份进行训练,一份进行验证,最后选择各分类器对数据验证的准确率。
Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数,Nf代表的是检测到的攻击流表数。
进一步地,所述步骤4)包括如下步骤:
根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型,把以上最优模型的预测结果集成起来当做一个模型,对收集的流表再进行训练,再进行预测,最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。
进一步地,所述步骤5)包括如下步骤:
把训练的集成模型放入控制器中,就可以有效的检测DDoS的攻击检测。对于攻击的流量产生报警,从而在攻击到来的时候进行有效的防御,以防DDoS攻击对电脑产生损坏。
本发明属于软件定义网络领域,主要是一种面向SDN网络的DDoS攻击检测方法。
目前SDN网络中的DDoS攻击检测方法主要包括两种:基于统计分析和基于机器学习的。基于机器学习的DDoS攻击检测:准确率高,但是大多数的基于机器学习的只是简单的其中一种机器学习进行训练。基于统计分析的DDoS攻击检测:获取网络流量数据做统计分布处理,只是对ip地址进行分布,但是DDoS很多进行伪装的IP地址,而且数量庞大,很难做到很精确。本专利采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练,再选取其中2-4最优模型作为基模型,再对基模型集成一个训练模型,可以更加准确的分类出是否为DDoS攻击。
本发明能够及时并且有效地检测出SDN网络DDoS攻击,同时,相对于实时统计50个数据包的目的IP信息嫡或者源IP信息嫡的检测方法,提高了灵活性。而且,相对于基于目的IP信息嫡的检测方法或者是基于源IP信息嫡的检测方法更具有适用性,提高了SDN网络中DDoS攻击的检测率。
下面结合附图举例对本发明做详细的描述:
1.数据不平衡的解决
DDoS基本的工作原理是:利用TCP/IP协议族的漏洞,操作僵尸网络中的大量“肉机”来耗尽目标机器的系统资源或其所在链路的带宽,使得用户的服务请求被无理由拒绝,故在收集流表项的时候会出现攻击数据与正常数据比例差距大的情况,需要采用SMOTE技术来处理数据不平衡问题,SMOTE(Synthetic Minority Over-sampling Technique),即:合成少数样本过采样技术。
(1)从少数类样本中,随机选择一个样本A;
(2)确定k值(通常是k=5),找到该样本A最近的k个样本;
(3)从该k个近邻样本中随机选择一个样本B;
(4)生成的新样本为:样本A与样本B中间的一个随机点。
2.训练流表的方法
采用网格搜索的方法获取最优超参数,而对于每一种机器学习方法的流表训练采用五折交叉验证,即把处理好的数据集分成五份,其中四份进行训练,一份进行验证,最后选择各分类器对数据验证的准确率。
3.评估指标
每种方法的优良采用准确率(A)进行判断,其中Na代表实际的攻击流表数,Nf代表的是检测到的攻击流表数。
本发明采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练,再选取其中2-4最优模型作为基模型,再对基模型集成一个训练模型,可以更加准确的分类出是否为DDoS攻击。
Claims (6)
1.一种基于SDN的DDoS攻击检测方法,其特征在于:包括如下步骤:
1)统计SDN中的流表项并预处理;
2)特征提取;
3)初步模型的训练;
4)选取3-4个最优模型作为基模型,再进行训练;
5)攻击检测判定。
2.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法,其特征在于:所述步骤1)包括如下步骤:
统计流表项中的匹配域和计数器信息,protocol,srcIP,dstIP,srcPort,dstPort,pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数,设以周期T对OpenFlow交换机进行流表项提取,得到不同流表项总数为N,集合为flowSet={(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount,i=l,2,...N},DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。
3.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法,其特征在于:所述步骤2)包括如下步骤:
step2.1流包速率PPS
式中PacketsNumi是在T时间内i流中数据包的数目,发生攻击时,该值会上升;
step2.2流表项速率FER
FER=N/T (2)
发生DDoS攻击时,网络中针对受害主机的流请求迅速增加,所以有关受害主机的流表项生成速度会上升;
step2.3流包数均值APPF
step2.4单流表项比例SFP
SFP=NS/N (4)
其中NS是单流表项的条数;
step2.5运用协议熵描述DDoS攻击特性,定义协议熵如下:
其中,M为采用周期内数据包总数,数组pro[k](k=l,2...L)为每种协议的数据包个数;
step2.6 H(srcIPldstIP),H(srcIPldstPort),H(dstPortldstIP)三个条件熵
以源IP关于目的IP的多对一关系的特征计算为例,对流表项集合flowSet进行统计,得到源IP集合为srcIP={slili=l,2...,P},目的IP集合dstIP={dIjlj=I,2...Q},其中A[j](j=l,2,...Q)表示目的IP为dIj的数据包总数,B[i][j](i=1,2,...P;j=l,2....Q)表示源IP为sIi,目的IP为dIj的数据包总数,需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系,其计算公式如下:
H(dIj)=-∑Pijlog(Pij),j=1,2,...,Q (6)
其中Pij表示源地址为sIi,目的地址为dIj的权重,Pij=B[i][j]/A[i],随机变量Y关于随机X的条件熵用H(YIX)表示,定义为如下式:
H(Y|X)=-∑jP(xj)∑iP(yi|xj)log(P(yi|xj)) (7)
把数据包个数M和集合A、B代入上式,得到H(srcIPldstIP)的具体计算方法:
同理计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系,以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。
4.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法,其特征在于:所述步骤3)包括如下步骤:
利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练,将所有最优超参数的模型放在一起,调用函数计算各项指标值,将各项值放入到数据模型中;
Step3.1采用网格搜索的方法获取最优超参数,而对于每一种机器学习方法的流表训练采用五折交叉验证,即把处理好的数据集分成五份,其中四份进行训练,一份进行验证,最后选择各分类器对数据验证的准确率;
Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数,Nf代表的是检测到的攻击流表数:
5.根据权利要求4所述的一种基于SDN的DDoS攻击检测方法,其特征在于:所述步骤4)包括如下步骤:
根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型,把以上最优模型的预测结果集成起来当做一个集成模型,对收集的流表再进行训练,再进行预测。
6.根据权利要求5所述的一种基于SDN的DDoS攻击检测方法,其特征在于:所述步骤5)包括如下步骤:
把训练的集成模型放入控制器中,检测DDoS的攻击检测,对于攻击的流量产生报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110377525.7A CN112995202A (zh) | 2021-04-08 | 2021-04-08 | 一种基于SDN的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110377525.7A CN112995202A (zh) | 2021-04-08 | 2021-04-08 | 一种基于SDN的DDoS攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112995202A true CN112995202A (zh) | 2021-06-18 |
Family
ID=76339452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110377525.7A Pending CN112995202A (zh) | 2021-04-08 | 2021-04-08 | 一种基于SDN的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112995202A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
CN113691503A (zh) * | 2021-08-03 | 2021-11-23 | 西北大学 | 一种基于机器学习的DDoS攻击检测方法 |
CN113923041A (zh) * | 2021-10-20 | 2022-01-11 | 广东工业大学 | 一种SDN网络下DDoS攻击流量识别检测方法 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
CN114745194A (zh) * | 2022-04-25 | 2022-07-12 | 东北林业大学 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103365997A (zh) * | 2013-07-12 | 2013-10-23 | 华东师范大学 | 一种基于集成学习的观点挖掘方法 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN108848095A (zh) * | 2018-06-22 | 2018-11-20 | 安徽大学 | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 |
CN109784561A (zh) * | 2019-01-15 | 2019-05-21 | 北京科技大学 | 一种基于集成学习的浓密机底流浓度预测方法 |
CN112395168A (zh) * | 2020-11-30 | 2021-02-23 | 中国科学院沈阳自动化研究所 | 一种基于Stacking的边缘侧业务行为识别方法 |
CN112598134A (zh) * | 2020-12-23 | 2021-04-02 | 南京三眼精灵信息技术有限公司 | 融合人工经验和集成学习策略的机器学习方法及装置 |
-
2021
- 2021-04-08 CN CN202110377525.7A patent/CN112995202A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103365997A (zh) * | 2013-07-12 | 2013-10-23 | 华东师范大学 | 一种基于集成学习的观点挖掘方法 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN108848095A (zh) * | 2018-06-22 | 2018-11-20 | 安徽大学 | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 |
CN109784561A (zh) * | 2019-01-15 | 2019-05-21 | 北京科技大学 | 一种基于集成学习的浓密机底流浓度预测方法 |
CN112395168A (zh) * | 2020-11-30 | 2021-02-23 | 中国科学院沈阳自动化研究所 | 一种基于Stacking的边缘侧业务行为识别方法 |
CN112598134A (zh) * | 2020-12-23 | 2021-04-02 | 南京三眼精灵信息技术有限公司 | 融合人工经验和集成学习策略的机器学习方法及装置 |
Non-Patent Citations (4)
Title |
---|
万凡: "SDN环境下的DDoS攻击检测技术与防护机制研究", 《中国优秀硕士毕业论文数据库》 * |
朱婧等: "SDN环境下基于DBN的DDoS攻击检测", 《计算机工程》 * |
杨荣新等: "基于Stacking模型融合的光伏发电功率预测", 《计算机系统应用》 * |
王垚等: "GBDT与LR融合模型在加密流量识别中的应用", 《计算机与现代化》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
CN113645182B (zh) * | 2021-06-21 | 2023-07-14 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
CN113691503A (zh) * | 2021-08-03 | 2021-11-23 | 西北大学 | 一种基于机器学习的DDoS攻击检测方法 |
CN113923041A (zh) * | 2021-10-20 | 2022-01-11 | 广东工业大学 | 一种SDN网络下DDoS攻击流量识别检测方法 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
CN114050928B (zh) * | 2021-11-10 | 2023-02-03 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
CN114745194A (zh) * | 2022-04-25 | 2022-07-12 | 东北林业大学 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112995202A (zh) | 一种基于SDN的DDoS攻击检测方法 | |
CN109120630B (zh) | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 | |
CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
Loukas et al. | Likelihood ratios and recurrent random neural networks in detection of denial of service attacks | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN111817982B (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
CN101729389B (zh) | 基于流量预测和可信网络地址学习的流量控制装置和方法 | |
Vijayasarathy et al. | A system approach to network modeling for DDoS detection using a Naive Bayesian classifier | |
CN108696543B (zh) | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN110011983B (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
CN101640666A (zh) | 一种面向目标网络的流量控制装置及方法 | |
CN1889573A (zh) | 一种主动诱骗方法与系统 | |
CN105956473B (zh) | 基于sdn网络的恶意代码检测方法 | |
Khashab et al. | DDoS attack detection and mitigation in SDN using machine learning | |
CN111600876B (zh) | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 | |
Zhang et al. | A real-time DDoS attack detection and prevention system based on per-IP traffic behavioral analysis | |
CN110177115A (zh) | 基于多特征融合的LDoS攻击检测方法 | |
Song et al. | Flow-based statistical aggregation schemes for network anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210618 |