CN113268735B - 分布式拒绝服务攻击检测方法、装置、设备和存储介质 - Google Patents

分布式拒绝服务攻击检测方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN113268735B
CN113268735B CN202110483846.5A CN202110483846A CN113268735B CN 113268735 B CN113268735 B CN 113268735B CN 202110483846 A CN202110483846 A CN 202110483846A CN 113268735 B CN113268735 B CN 113268735B
Authority
CN
China
Prior art keywords
flow
flow table
data
service attack
distributed denial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110483846.5A
Other languages
English (en)
Other versions
CN113268735A (zh
Inventor
张磊
纪春华
陈明
李毅超
崔俊彬
刘玮
刘辛彤
蔡硕
刘红艳
李保罡
赵伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
North China Electric Power University
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
North China Electric Power University
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, North China Electric Power University, Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202110483846.5A priority Critical patent/CN113268735B/zh
Publication of CN113268735A publication Critical patent/CN113268735A/zh
Application granted granted Critical
Publication of CN113268735B publication Critical patent/CN113268735B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/06Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
    • G06N3/061Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using biological neurons, e.g. biological neurons connected to an integrated circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Neurology (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于网络攻击防御技术领域,提供了一种分布式拒绝服务攻击检测方法、装置、设备和存储介质。其中,分布式拒绝服务攻击检测方法包括:每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;提取流表信息中的流表特征;流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器;基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。采用本发明可以降低分布式拒绝服务攻击检测的误报率。

Description

分布式拒绝服务攻击检测方法、装置、设备和存储介质
技术领域
本发明涉及网络攻击防御技术领域,具体涉及一种分布式拒绝服务攻击检测方法、装置、设备和存储介质。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)是指攻击者向被攻击的主机发送大量的虚假报文,最终导致被攻击的主机系统崩溃,无法正常提供服务。
目前,通常利用OpenFlow交换机的流表信息检测DDoS攻击。OpenFlow协议是目前最广泛使用的接口协议,OpenFlow交换机使用的流表信息中隐含了交换机的网络流量状况,正常情况和发生攻击时流表信息会有不同程度的区别。可以利用OpenFlow交换机的流表信息中的特征信息计算出熵值,然后将该熵值与定义的阈值相比较,当该熵值小于阈值时,认为受到了DDoS攻击。
然而,上述利用OpenFlow交换机的流表信息检测DDoS攻击的方法,存在误报率高的问题。
发明内容
因此,本发明要解决的技术问题是提供一种分布式拒绝服务攻击检测方法、装置、设备和存储介质。以解决现有技术中分布式拒绝服务攻击检测误报率高的问题。
本发明实施例的第一方面提供了一种分布式拒绝服务攻击检测方法,包括:每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取流表信息中的流表特征;流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器;
基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。
可选的,提取流表信息中的流表特征,包括:
将预设周期内所有流表信息中总的数据包数除以总的数据流数,得到每数据流的平均数据包数;
将预设周期内所有流表信息中总的字节数除以总的数据流数,得到每数据流的平均字节数;
将预设周期内所有流表信息中匹配成功的数据流数除以总的数据流数,得到数据流匹配成功率;
将预设周期内所有流表信息中不同目的端口的增长速率,确定为端口增长速率;
将预设周期内所有流表信息中目的IP地址的增长速率,确定为目的IP地址的增长速率;
根据预设周期内所有流表信息中的源IP地址、目的IP地址、流入交换机的编号和流出交换机的编号,确定最大交换机流入数交换机。
可选的,在提取流表信息中的流表特征之后,方法还包括:
对流表特征进行降维处理,得到降维后的流表特征;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,包括:
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有降维后的流表特征,对预设分类器进行训练。
可选的,所述预设分类器的输入端连接有反向传播神经网络的输出层;其中,反向传播神经网络的输入层由六个神经元组成;反向传播神经网络的输出层由一个神经元组成;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器,包括:
基于预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对反向传播神经网络和预设分类器进行训练;
根据训练完成的反向传播神经网络和预设分类器对流表特征进行检测,并将流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征;
基于被标记的正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征对反向传播神经网络和预设分类器再次进行训练,得到检测分类器。
可选的,反向传播神经网络的隐含层的激活函数为线性整流函数,反向传播神经网络的输出层的激活函数为S形函数。
可选的,预设分类器为支持向量机分类器。
可选的,在基于检测分类器对交换机的分布式拒绝服务攻击进行检测之后,方法还包括:
显示分布式拒绝服务攻击协同检测结果。
本发明实施例的第二方面提供了一种分布式拒绝服务攻击协同检测装置,包括:
获取模块,用于每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取模块,用于提取流表信息中的流表特征;流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
训练模块,用于根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器;
检测模块,用于基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。
可选的,提取模块还用于:
将预设周期内所有流表信息中总的数据包数除以总的数据流数,得到每数据流的平均数据包数;
将预设周期内所有流表信息中总的字节数除以总的数据流数,得到每数据流的平均字节数;
将预设周期内所有流表信息中匹配成功的数据流数除以总的数据流数,得到数据流匹配成功率;
将预设周期内所有流表信息中不同目的端口的增长速率,确定为端口增长速率;
将预设周期内所有流表信息中目的IP地址的增长速率,确定为目的IP地址的增长速率;
根据预设周期内所有流表信息中源IP地址、目的IP地址、流入交换机的编号和流出交换机的编号,确定最大交换机流入数交换机。
可选的,提取模块还用于:
对流表特征进行降维处理,得到降维后的流表特征;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,包括:
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有降维后的流表特征,对预设分类器进行训练。
可选的,训练模块还用于:
预设分类器的输入端连接有反向传播神经网络的输出层;其中,反向传播神经网络的输入层由六个神经元组成;反向传播神经网络的输出层由一个神经元组成;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器,包括:
基于预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对反向传播神经网络和预设分类器进行训练;
根据训练完成的反向传播神经网络和预设分类器对流表特征进行检测,并将流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征;
基于被标记的正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征对反向传播神经网络和预设分类器再次进行训练,得到检测分类器。
相应的,反向传播神经网络的隐含层的激活函数为线性整流函数,反向传播神经网络的输出层的激活函数为S形函数。
可选的,训练模块中的分类器为支持向量机分类器。
可选的,检测模块还用于:
显示分布式拒绝服务攻击协同检测结果。
本发明实施例的第三方面提供了一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:
在本发明实施例中,由于采用熵值与阈值比较来判断是否受到DDoS攻击,误报率较高,而通过OpenFlow交换机中的流表信息中的关联信息可以准确的对交换机进行检测,因此,首先每隔预设周期内,获取覆盖范围内的所有交换机的流表信息,之后,提取流表信息中的流表特征,然后根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器。最后,基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。如此,可以无需设定阈值,只需要在流表信息中提取相关流表特征,并将提取的流表特征输入到检测分类器中,即可对交换机的分布式拒绝服务攻击进行检测,从而提高了分布式拒绝服务攻击检测的准确率,降低了分布式拒绝服务攻击的误报率。
此外,上述流表特征不仅可以表征单台交换机的工作状况,还可以表征覆盖范围内的所有交换机之间的关系,可以检测多台交换机之间是否在同一攻击路径上,不仅可以对多台交换机进行协同检测,而且可以进一步地提高检测的准确率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种分布式拒绝服务攻击检测方法的步骤流程图;
图2是本发明实施例提供的一种分布式拒绝服务攻击检测方法的应用场景的示意图;
图3为本发明实施例提供的一种分布式拒绝服务攻击检测装置的示意图;
图4为本发明实施例提供的一种电子设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
目前,利用OpenFlow交换机的流表信息检测DDoS攻击的方法,需要先根据不同的DDoS攻击,建立相应的规则,其中,阈值的设定对于规则来说至关重要,合适的阈值可以准确区分攻击流量和正常流量。然而,由于网络流量总是存在着随机性和动态波动性,正常流量和攻击流量在数值上没有明确的分界线,难以找到准确区分两种情况的阈值,因此,存在误报率较高的问题。
此外,由于建立的规则数量比较多,需要避免规则之间的相互干扰,这给规则的维护和更新带来很多的困难。
为了解决现有技术问题,本发明实施例提供了一种分布式拒绝服务攻击检测方法、装置、设备和存储介质。下面首先对本发明实施例所提供的分布式拒绝服务攻击协同检测方法进行介绍。
分布式拒绝服务攻击协同检测方法的执行主体,可以是分布式拒绝服务攻击协同检测装置,该分布式拒绝服务攻击协同检测装置可以是具有处理器和存储器的电子设备,例如软件定义网络(Software Defined Network,SDN),软件定义网络作为新一代的网络体系架构,可以与机器学习算法相结合,使得软件定义网络自适应地应对各种攻击,从而解决软件定义网络中的安全问题。
如图1所示,本发明实施例提供的分布式拒绝服务攻击协同检测方法可以包括以下步骤:
步骤S110、每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息。
目前DDoS攻击可以分为三种,IP欺骗攻击、慢速连接攻击和泛洪攻击。IP欺骗作为一种广泛使用的DDoS攻击手段,被多种攻击方式所采用,例如SYNFlood攻击、ICMP Flood攻击、UDPFlood攻击、放大攻击、反射攻击。IP欺骗攻击原理为攻击者向受害者发送IP数据包时,改变了数据包的源IP字段。从而一方面使防火墙误以为来自攻击者的数据包为来自受信任源,另一方面隐藏了攻击者的真实地址,使受害者难以查找攻击者的真正位置。IP欺骗还有一种功能,即把数据包的源IP设置为受害者IP,通过公共DNS和NTP等服务实现反射攻击和放大攻击。
慢速连接攻击属于应用层攻击,Http慢速连接攻击是一种典型的慢速连接攻击。发生Http慢速连接攻击时,攻击者会把一个Http包分割成多个部分发往受害者,每个部分都很小,而且之间的时间间隔比较大。
泛洪攻击是常见的DDoS攻击手段,网络层有UDP Flood、SYN Flood攻击等,应用层也有HTTP Flood攻击,其最显著特征为攻击者向受害者发送大量的数据包,造成的攻击流量大,而且网络层的泛洪攻击往往也伴随着IP欺骗。
因此,OpenFlow交换机中的流表信息中可以反映交换机是否受到攻击。经过研究发现,当分布式拒绝服务攻击协同检测方法的执行主体覆盖范围内设有多台交换机时,且每个交换机又需要连接多个主机时,在攻击检测中,如果只考虑单台交换机的流表信息,误报率也会较高,影响检测效果。
步骤S120、提取流表信息中的流表特征。
流表信息包括:流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机。
在一些实施例中,提取流表特征的方法为:
将预设周期内所有流表信息中总的数据包数除以总的数据流数,得到每数据流的平均数据包数。DDoS攻击的一个主要特征是源IP欺骗,这使得跟踪攻击源的任务非常困难。源IP欺骗的一个副作用是产生带有少量数据包的数据流,即每个数据流大约有3个数据包。考虑到正常通信通常涉及到更多的数据包,因此,此处计算每数据流的平均数据包数。
将预设周期内所有流表信息中总的字节数除以总的数据流数,得到每数据流的平均字节数。DDoS攻击的另一个特点是数据包的有效负载大小,为了提高这类攻击的效率,字节数通常非常小。
将预设周期内所有流表信息中匹配成功的数据流数除以总的数据流数,得到数据流匹配成功率。数据包到达交换机时,都会进行匹配操作,当发生攻击时,会有大量无法匹配的数据包,导致匹配成功率大大降低。
将预设周期内所有流表信息中不同目的端口的增长速率,确定为端口增长速率。当发生DDoS攻击时,攻击者会随机生成大量的端口,导致端口增长速率增大。
将预设周期内所有流表信息中目的IP地址的增长速率,确定为目的IP地址的增长速率。当发生DDoS攻击时,攻击者会伪造大量目的IP地址,导致目的IP增长很快。
根据预设周期内所有流表信息中源IP地址、目的IP地址、流入交换机的编号和流出交换机的编号,确定最大交换机流入数交换机。当发生DDoS攻击时,大多是通过一个交换机对其他交换机进行攻击,此时这个交换机便会发送大量的数据流。根据源IP地址和目的IP地址,即可找到相应的源交换机和目的交换机的编号,从而确定最大交换机流入数交换机。例如:在预设周期内,假设交换机S1为在t时间间隔内数据包的最大流入方,如果S1的主要流入数据包来自相邻的交换机S2,那么可以认为交换机S1和交换机S2之间有一些特殊关系,比如在同一攻击路径上。
步骤S130、根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器。
在一些实施例中,在提取流表信息中的流表特征之后,需要对流标特征采用降维处理,得到降维后的流表特征。具体的,可以采用主成分分析算法(KernelPrincipalcomponents analysis,KPCA),一方面降低了原有提取的流表特征的维数,另一方面同时减少了训练时间。KPCA将高维输入的流表特征映射到一个新的低维流表特征空间。此外,它还可以从训练数据集中提取主要特征,用于对攻击进行分类。根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有降维后的流表特征,对预设分类器进行训练。
随着网络的持续运行,流表特征的数据量规模将不断增大。依靠人工统计方式寻找规律、设定阈值、维护更新规则,不仅耗时,而且工作量巨大,无法实时检测。
在一些实施例中,预设分类器的输入端连接有反向传播神经网络的输出层。DDoS攻击的检测识别本质上是二分类问题,对于提取的一组OpenFlow流表特征数据,需要通过深度学习模型判断这组流表特征属于“正常”还是“异常”。在机器学习领域中,对于二分类问题通常会输出一个[0,1]之间的连续概率值,表示输出属于某一类别的概率。“正常”情况对应值“0”,“异常”情况对应值“1”。
具体的,反向传播神经网络的输入层由六个神经元组成,分别对应流表特征:每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机。反向传播神经网络的输出层由一个神经元组成,输出层的输出端连接预设分类器的输入端。其中预设分类器的输入端的输入值为经过KPCA降维后的流表特征。
然后,采用预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对反向传播神经网络和预设分类器进行训练。之后,采用训练完成的反向传播神经网络和预设分类器对流表特征进行检测,并将流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征。最后,基于被标记的正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征对反向传播神经网络和预设分类器再次进行训练,得到检测分类器。此处的检测分类器是由反向传播神经网络和预设分类器组成。
具体的,为了提高DDoS检测的精度,减少因为深度学习而逐渐降低的梯度,反向传播神经网络的隐含层为线性整流函数(ReLU)作为激活函数。由于预设分类器最终需要输出值介于[0,1]之间,从而表示当前OpenFlow交换机遭受DDoS攻击的概率,因此反向传播神经网络的输出层不能继续使用ReLU作为激活函数,可以使用Sigmoid作为输出层的激活函数。Sigmoid激活函数的输出位于(0,1)区间内,考虑到0和1都可以用无限接近的小数代替,因此Sigmoid激活函数可以满足反向传播神经网络输出的要求。
可选的,预设分类器可以为支持向量机分类器(SVM),用来区分正常流量和异常流量。检测分类器即由反向传播神经网络和支持向量机分类器组成。在支持向量机分类器算法中,最终需要得到的是在能百分百区分正负类的前提下,得到一条拥有最大Margin的直线。Margin的值就是其中一条边缘到决策边界的距离。SVM是large-margin算法,旨在找到一条能够完全区分训练集而且拥有最大margin值的直线。SVM的前提就是把训练集无错误的分开。在反向传播神经网络和预设分类器的训练过程中使用径向基函数会产生大量的超平面,需要较长的时间来训练模型。为了解决这一问题,将支持向量机分类器和KPCA的核主成分分析相结合,降低了特征的维数,同时减少了训练时间。
步骤S140、基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。
检测时,通过获取到的预设覆盖范围内的所有交换机的流表信息后,提取所有流表信息的流表特征后,将提取到的流表特征输入到训练完成的由反向传播神经网络和预设分类器组成的检测分类器中,即可进行检测。
如图2所示,示出的一种分布式拒绝服务攻击检测方法的应用场景,其中,分布式拒绝服务攻击协同检测方法的执行主体为SDN控制器,SDN控制器下设有三个交换机S1、S2和S3,每个交换机分别控制2台主机,分别为h1、h2、h3、h4、h5、h6。将训练完成的检测分类器,利用生成的UDP洪泛攻击流量和正常流量来模拟DDOS攻击检测。在UDP泛洪攻击中,攻击流量以随机的源IP地址发送到受攻击的主机。Scapy是用python编程语言编写的包生成工具。Scapy可以处理交互式数据包操纵程序和一些任务,如伪造、跟踪路由、扫描、单元测试、网络发现和生成攻击。在该系统中,Scapy用于生成正常和攻击流量。使用python中的scapy创建数据包后,必须将其发送到目标IP地址。
利用脚本发送正常流量和攻击流量后,SDN控制器获取交换机S1、S2和S3的流表信息,并对收集到的流表信息提取其流表特征,将提取到的流表特征输入到由反向传播神经网络和支持向量机分类器组成的检测分类器中,检测分类器进行检测。在该系统中,实验结果可以通过检测率(Ac)和误报率(Fa)进行衡量。
Figure BDA0003049524120000121
Figure BDA0003049524120000122
其中,TP表示被正确分类为攻击流量的攻击流量总数,FN表示被错误分类为正常流量的攻击流量总数。FP表示被错误分类为攻击流量的正常流量总数,TN表示被正确分类为正常流量的总数。
在一些实施例中,对交换机的分布式拒绝服务攻击进行检测后,还包括显示分布式拒绝服务攻击检测结果。
具体的,基于Telegraf、influx DB和Grafana的轻量级实时检测模块来监控网络的状态。使用Telegraf、Influx DB和Grafana搭建了一个简易的实时监控模块。Telegraf负责从受监控的主机上采集流表数据,Influx DB负责流表数据的存储,另一个Telegraf的数据库用来存储数据流信息。Grafana是一个纯html/js的web应用,只要配置好数据源后,即可展示检测结果。
首先,使用Telegraf、influx DB来进行流表数据的收集。Telegraf实例运行在主机上,负责收集所在主机的流表数据,其输出被存储为本地的一个文件Telegraf_data.out,同时在SDN网络中部署运行第二个Telegraf实例,其输入即为上面输出的文件Telegraf_data.out,输出到SDN控制器中Influx DB的数据库中。然后,从Influx DB上收集数据后,最后,将检测数据送到Grafana上进行流量数据的展示。即可实现实时对分布式拒绝服务攻击检测结果的显示。
在本发明实施例中,由于采用熵值与阈值比较来判断是否受到DDoS攻击,误报率较高,而通过OpenFlow交换机中的流表信息中的关联信息可以准确的对交换机进行检测,因此,首先每隔预设周期内,获取覆盖范围内的所有交换机的流表信息,之后提取流表信息中的流表特征,然后根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器。最后,基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。由于阈值在不同的情况下会有较大的区别,如此,可以无需设定阈值,只需要在流表信息中提取相关流表特征,并将提取的流表特征输入到检测分类器中,即可对交换机的分布式拒绝服务攻击进行检测,从而提高了分布式拒绝服务攻击检测的准确率,降低了分布式拒绝服务攻击的误报率。
此外,上述流表特征不仅可以表征单台交换机的工作状况,还可以表征覆盖范围内的所有交换机之间的关系,可以检测多台交换机之间是否在同一攻击路径上,从而进一步地提供了检测的准确率。
此外,本发明实施例提供的分布式拒绝服务攻击检测方法,还可以与其它分布式拒绝服务攻击检测防御手段结合使用,进一步提升检测效果。
基于上述实施例提供的分布式拒绝服务攻击检测方法,相应地,本发明还提供了应用于该分布式拒绝服务攻击检测方法的分布式拒绝服务攻击检测装置的具体实现方式。请参见以下实施例。
如图3所示,提供了一种分布式拒绝服务攻击检测装置300,该装置包括:
获取模块310,用于每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取模块320,用于提取流表信息中的流表特征;流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
训练模块330,用于根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器;
检测模块340,用于基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。
可选的,提取模块320还用于:
将预设周期内所有流表信息中总的数据包数除以总的数据流数,得到每数据流的平均数据包数;
将预设周期内所有流表信息中总的字节数除以总的数据流数,得到每数据流的平均字节数;
将预设周期内所有流表信息中匹配成功的数据流数除以总的数据流数,得到数据流匹配成功率;
将预设周期内所有流表信息中不同目的端口的增长速率,确定为端口增长速率;
将预设周期内所有流表信息中目的IP地址的增长速率,确定为目的IP地址的增长速率;
根据预设周期内所有流表信息中源IP地址、目的IP地址、流入交换机的编号和流出交换机的编号,确定最大交换机流入数交换机。
可选的,提取模块320还用于:
对流表特征进行降维处理,得到降维后的流表特征;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,包括:
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有降维后的流表特征,对预设分类器进行训练。
可选的,训练模块330还用于:
预设分类器的输入端连接有反向传播神经网络的输出层;其中,反向传播神经网络的输入层由六个神经元组成;反向传播神经网络的输出层由一个神经元组成;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器,包括:
基于预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对反向传播神经网络和预设分类器进行训练;
根据训练完成的反向传播神经网络和预设分类器对流表特征进行检测,并将流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征;
基于被标记的正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征对反向传播神经网络和预设分类器再次进行训练,得到检测分类器。相应的,反向传播神经网络的隐含层的激活函数为线性整流函数,反向传播神经网络的输出层的激活函数为S形函数。
可选的,训练模块330中的分类器为支持向量机分类器。
可选的,检测模块340还用于:
显示分布式拒绝服务攻击协同检测结果。
图4是本发明一实施例提供的电子设备的示意图。如图4所示,该实施例的电子设备4包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述分布式拒绝服务攻击检测方法实施例中的步骤。或者,所述处理器40执行所述计算机程序42时实现上述各装置实施例中各模块/单元的功能。
示例性的,所述计算机程序42可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器41中,并由所述处理器40执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序42在所述电子设备4中的执行过程。例如,所述计算机程序42可以被分割成获取模块310、提取模块320、训练模块330和检测模块340,各模块具体功能如下:
获取模块310,用于每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取模块320,用于提取流表信息中的流表特征;流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
训练模块330,用于根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有流表特征,对预设分类器进行训练,得到检测分类器;
检测模块340,用于基于检测分类器,对交换机的分布式拒绝服务攻击进行检测。
所述电子设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述电子设备可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是电子设备4的示例,并不构成对电子设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述电子设备4的内部存储单元,例如电子设备4的硬盘或内存。所述存储器41也可以是所述电子设备4的外部存储设备,例如所述电子设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述电子设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述电子设备所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/电子设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/电子设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。

Claims (10)

1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取所述流表信息中的流表特征;所述流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有所述流表特征,对预设分类器进行训练,得到检测分类器;所述预设分类器的输入端连接有反向传播神经网络的输出层;具体为:基于预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对所述反向传播神经网络和预设分类器进行训练;根据训练完成的反向传播神经网络和预设分类器对所述流表特征进行检测,并将所述流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征;基于被标记的所述正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征,对所述反向传播神经网络和预设分类器再次进行训练,得到所述检测分类器;
基于所述检测分类器,对交换机的分布式拒绝服务攻击进行检测。
2.如权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述提取所述流表信息中的流表特征,包括:
将预设周期内所有所述流表信息中总的数据包数除以总的数据流数,得到所述每数据流的平均数据包数;
将预设周期内所有所述流表信息中总的字节数除以总的数据流数,得到所述每数据流的平均字节数;
将预设周期内所有所述流表信息中匹配成功的数据流数除以总的数据流数,得到所述数据流匹配成功率;
将预设周期内所有所述流表信息中不同目的端口的增长速率,确定为所述端口增长速率;
将预设周期内所有所述流表信息中目的IP地址的增长速率,确定为所述目的IP地址的增长速率;
根据预设周期内所有所述流表信息中源IP地址、目的IP地址、流入交换机的编号和流出交换机的编号,确定所述最大交换机流入数交换机。
3.如权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,在所述提取所述流表信息中的流表特征之后,所述方法还包括:
对所述流表特征进行降维处理,得到降维后的流表特征;
所述根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有所述流表特征,对预设分类器进行训练,包括:
根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有所述降维后的流表特征,对预设分类器进行训练。
4.如权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述反向传播神经网络的输入层由六个神经元组成;所述反向传播神经网络的输出层由一个神经元组成。
5.如权利要求4所述的分布式拒绝服务攻击检测方法,其特征在于,所述反向传播神经网络的隐含层的激活函数为线性整流函数,所述反向传播神经网络的输出层的激活函数为S形函数。
6.如权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述预设分类器为支持向量机分类器。
7.如权利要求1-6任一项所述的分布式拒绝服务攻击检测方法,其特征在于,在所述基于所述检测分类器,对交换机的分布式拒绝服务攻击进行检测之后,所述方法还包括:
显示所述分布式拒绝服务攻击检测结果。
8.一种分布式拒绝服务攻击检测装置,其特征在于,包括:
获取模块,用于每隔预设周期,获取预设覆盖范围内的所有交换机的流表信息;
提取模块,用于提取所述流表信息中的流表特征;所述流表特征包括每数据流的平均数据包数、每数据流的平均字节数、数据流匹配成功率、端口增长速率、目的IP地址的增长速率和最大交换机流入数交换机;
训练模块,用于根据预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,以及所有所述流表特征,对预设分类器进行训练,得到检测分类器;所述预设分类器的输入端连接有反向传播神经网络的输出层;具体用于:基于预先获取的交换机的正常流量数据和分布式拒绝服务攻击流量数据,对所述反向传播神经网络和预设分类器进行训练;根据训练完成的反向传播神经网络和预设分类器对所述流表特征进行检测,并将所述流表特征标记为正常流量数据的流表特征或分布式拒绝服务攻击流量数据的流表特征;基于被标记的所述正常流量数据的流表特征和分布式拒绝服务攻击流量数据的流表特征,对所述反向传播神经网络和预设分类器再次进行训练,得到所述检测分类器;
检测模块,用于基于所述检测分类器,对交换机的分布式拒绝服务攻击进行检测。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
CN202110483846.5A 2021-04-30 2021-04-30 分布式拒绝服务攻击检测方法、装置、设备和存储介质 Active CN113268735B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110483846.5A CN113268735B (zh) 2021-04-30 2021-04-30 分布式拒绝服务攻击检测方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110483846.5A CN113268735B (zh) 2021-04-30 2021-04-30 分布式拒绝服务攻击检测方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN113268735A CN113268735A (zh) 2021-08-17
CN113268735B true CN113268735B (zh) 2022-10-14

Family

ID=77229837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110483846.5A Active CN113268735B (zh) 2021-04-30 2021-04-30 分布式拒绝服务攻击检测方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN113268735B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115250193B (zh) * 2021-12-22 2024-02-23 长沙理工大学 一种面向SDN网络的DoS攻击检测方法、装置及介质
CN114866279B (zh) * 2022-03-24 2023-07-25 中国科学院信息工程研究所 基于http请求有效负载的漏洞攻击流量检测方法和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108123931A (zh) * 2017-11-29 2018-06-05 浙江工商大学 一种软件定义网络中的DDoS攻击防御装置及方法
CN108718297A (zh) * 2018-04-27 2018-10-30 广州西麦科技股份有限公司 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质
CN109450957A (zh) * 2019-01-03 2019-03-08 湖南大学 一种基于云模型的低速拒绝服务攻击检测方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统
CN111740950A (zh) * 2020-05-13 2020-10-02 南京邮电大学 一种SDN环境DDoS攻击检测防御方法
CN111756719A (zh) * 2020-06-17 2020-10-09 哈尔滨工业大学 SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN112367303A (zh) * 2020-10-21 2021-02-12 中国电子科技集团公司第二十八研究所 分布式自学习异常流量协同检测方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104158800A (zh) * 2014-07-21 2014-11-19 南京邮电大学 一种面向软件定义网络的分布式拒绝服务攻击检测方法
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
CN106657107B (zh) * 2016-12-30 2020-05-12 南京邮电大学 一种SDN中基于信任值的自适应启动的ddos防御方法和系统
CN107483512B (zh) * 2017-10-11 2019-12-10 安徽大学 基于时间特征的SDN控制器DDoS检测与防御方法
CN110011983B (zh) * 2019-03-19 2021-02-19 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法
CN110225022A (zh) * 2019-06-05 2019-09-10 东南大学 一种SDN流表驱动的DDoS攻击检测方案
CN111510433B (zh) * 2020-03-18 2021-01-15 山东大学 一种基于雾计算平台的物联网恶意流量检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108123931A (zh) * 2017-11-29 2018-06-05 浙江工商大学 一种软件定义网络中的DDoS攻击防御装置及方法
CN108718297A (zh) * 2018-04-27 2018-10-30 广州西麦科技股份有限公司 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质
CN109450957A (zh) * 2019-01-03 2019-03-08 湖南大学 一种基于云模型的低速拒绝服务攻击检测方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统
CN111740950A (zh) * 2020-05-13 2020-10-02 南京邮电大学 一种SDN环境DDoS攻击检测防御方法
CN111756719A (zh) * 2020-06-17 2020-10-09 哈尔滨工业大学 SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN112367303A (zh) * 2020-10-21 2021-02-12 中国电子科技集团公司第二十八研究所 分布式自学习异常流量协同检测方法及系统

Also Published As

Publication number Publication date
CN113268735A (zh) 2021-08-17

Similar Documents

Publication Publication Date Title
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
KR102135024B1 (ko) IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치
He et al. Software-defined-networking-enabled traffic anomaly detection and mitigation
Jalili et al. Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks
CN113268735B (zh) 分布式拒绝服务攻击检测方法、装置、设备和存储介质
Buragohain et al. Anomaly based DDoS attack detection
Landress A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection
Janabi et al. Convolutional neural network based algorithm for early warning proactive system security in software defined networks
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
Kong et al. Identification of abnormal network traffic using support vector machine
Alzahrani et al. ML‐IDSDN: Machine learning based intrusion detection system for software‐defined network
CN111107077A (zh) 一种基于svm的攻击流量分类方法
CN113904795A (zh) 一种基于网络安全探针的流量快速精确检测方法
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
Tang et al. SVM based intrusion detection using nonlinear scaling scheme
Škrjanc et al. Evolving cauchy possibilistic clustering and its application to large-scale cyberattack monitoring
Sivaprasad et al. Machine learning based traffic classification using statistical analysis
Khosroshahi et al. Detection of sources being used in ddos attacks
Daneshgadeh et al. A hybrid approach to detect DDoS attacks using KOAD and the Mahalanobis distance
Puranik et al. A Two-level DDoS attack detection using entropy and machine learning in SDN
Tien et al. Automatic device identification and anomaly detection with machine learning techniques in smart factories
KR20140014784A (ko) 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법
Ichino et al. Evaluating header information features for malware infection detection
Belej et al. Development of a network attack detection system based on hybrid neuro-fuzzy algorithms.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant