CN114760212A - 一种基于SDN的DDoS攻击检测和缓解方法及系统 - Google Patents
一种基于SDN的DDoS攻击检测和缓解方法及系统 Download PDFInfo
- Publication number
- CN114760212A CN114760212A CN202210504478.2A CN202210504478A CN114760212A CN 114760212 A CN114760212 A CN 114760212A CN 202210504478 A CN202210504478 A CN 202210504478A CN 114760212 A CN114760212 A CN 114760212A
- Authority
- CN
- China
- Prior art keywords
- switch
- ddos attack
- detection
- flow
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 122
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000003062 neural network model Methods 0.000 claims abstract description 11
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 6
- 230000009471 action Effects 0.000 claims abstract description 4
- 238000012549 training Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 5
- 230000004083 survival effect Effects 0.000 claims description 5
- 238000010801 machine learning Methods 0.000 claims description 4
- 230000009977 dual effect Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000001960 triggered effect Effects 0.000 abstract 1
- 238000013528 artificial neural network Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Molecular Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于SDN的DDoS攻击检测和缓解方法及系统,属于网络空间安全技术领域,本发明的检测方法结合了传统的熵检测方法和具有记忆的门控循环单元方法,这两种方法都在RYU控制器上完成,有利于控制器信息的集中化处理;基于信息熵的初步检测模块对网络中的流量进行了异常初检,将疑似异常流量的流特征传输到深度检测模块中进一步检测,这样就不需要将所有的流量注入到神经网络模型中,从而提高了计算机的资源利用率;本发明的缓解方法主要基于双重检测模块的检测结果,通过Socket与P4交换机进行通信,触发交换机下发新的流表,通过自定义动作匹配表,对连接受害主机的交换机出端口进行限速,缓解DDoS攻击。
Description
技术领域
本发明涉及一种基于SDN的DDoS攻击检测和缓解方法及系统,属于网络空间安全技术领域。
背景技术
DDoS攻击是攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大流量数据,耗尽攻击目标的系统资源,导致其无法正常地响应服务请求,DDoS攻击发起简单且较难检测和防御,给网络带来了很大的危害;
目前针对DDoS攻击检测方法主要分为基于信息熵的异常流量检测方法和基于机器学习的异常流量检测方法两大类,SDN下基于信息熵的检测算法检测速度快,不需要构建较多的流量特征,但仍有一些局限性,只有当DDoS攻击流与正常流的比例较大时才能检测到DDoS攻击,当网络中的某些正常的网络行为扰乱了熵值的随机性时,此类方法存在准确率较低且误报率较高的缺点,基于机器学习的DDoS流量识别方法具有较高的准确率,但是检测过程中需要构建较多的流量特征,检测速度不及基于统计的方法,如何在软件定义网络中快速、准确地检测出DDoS攻击,并且以最大程度缓解攻击来保证正常用户的合法通信是SDN网络安全的重点和难点问题之一;
因此我们对此做出改进,提出一种基于SDN的DDoS攻击检测和缓解方法及系统。
发明内容
(一)本发明要解决的技术问题是:如何在软件定义网络中快速、准确地检测出DDoS攻击,并且以最大程度缓解攻击来保证正常用户的合法通信的问题。
(二)技术方案
为了实现上述发明目的,本发明提供了一种基于SDN的DDoS攻击检测和缓解方法,其特征在于,包括由基于信息熵的初步检测模块和基于门控循环单元的深度检测模块组成的双重检测模块;
RYU控制器周期性地从OpenFlow交换机中采集流量,并提取流特征的特征值,同时基于信息熵的初步检测模块根据获取到的特征值计算信息熵,且基于信息熵的初步检测模块对网络流量进行初步检测,在初步检测设置疑似遭到DDoS攻击的阈值,针对初步检测得到的异常数据流,RYU控制器通过训练好的神经网络模型进一步检测,确定是否发生DDoS攻击;
当RYU控制器的双重检测模块检测到DDoS攻击时,通过Socket与P4交换机进行通信,将检测结果发送给P4交换机并触发P4交换机下发流表,通过自定义动作匹配表,对连接受害主机的交换机出端口进行限速,缓解DDoS攻击。
一种基于SDN的DDoS攻击检测和缓解系统,包括一种基于SDN的DDoS攻击检测和缓解方法,还包括如下模块:
数据包预处理模块,用于对数据包进行预处理;
特征提取模块,用于提取流特征的特征值;
基于信息熵的DDoS攻击初检模块,用于DDoS攻击的初步检测;
基于门控循环单元的深度检测模块,用于DDoS攻击的深度检测;
RYU控制器与P4交换机通信模块,用于RYU控制器与P4交换机的通信;
基于P4交换机的DDoS攻击缓解模块,用于缓解DDoS攻击。
(三)有益效果
本发明所提供的一种基于SDN的DDoS攻击检测和缓解方法及系统,其有益效果是:
1.本发明结合了传统的熵检测方法和具有记忆的门控循环单元方法,这两种方法都在RYU控制器上完成,有利于RYU控制器信息的集中化处理;
2.基于信息熵的初步检测模块对网络中的流量进行了异常初检,将疑似异常流量的流特征传输到深度检测模块中进一步检测,这样就不需要将所有的流量注入到神经网络模型中,从而提高了计算机的资源利用率;
3.在处理时序相关的信息时,循环神经网络作为一种由节点定向连接成环的人工神经网络,可以利用内部的记忆处理时序信息,但是基本的RNN存在训练和检测时间较长,对长期的依赖关系不敏感等问题,而长短期记忆神经网络和门控循环单元神经网络是RNN的变体,可以较好地解决上述问题,通过研究发现GRU网络较LSTM网络在性能相近的时候对数据的处理速度较优些,在保证检测准确度的情况下,进一步提高了检测速率;
4.面对DDoS攻击时,P4交换机始终能保持高可扩展性和线速性能,同时P4交换机的可编程性可以保证用户能够灵活地部署丢包、限速等缓解DDoS攻击的机制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于SDN的DDoS攻击检测和缓解系统框架图;
图2为基于SDN的DDoS攻击检测和缓解方法流程示意图。
具体实施方式
下面结合说明书附图和实施例,对本发明的具体实施方式做进一步详细描述。以下实施例仅用于说明本发明,但不能用来限制本发明的范围。
实施例1:
如图2所示,本实施方式提出一种基于SDN的DDoS攻击检测和缓解方法,包括由基于信息熵的初步检测模块和基于门控循环单元的深度检测模块组成的双重检测模块;
RYU控制器周期性地从OpenFlow交换机中采集流量,并提取流特征的特征值,同时基于信息熵的初步检测模块根据获取到的特征值计算信息熵,且基于信息熵的初步检测模块对网络流量进行初步检测,在初步检测设置疑似遭到DDoS攻击的阈值,针对初步检测得到的异常数据流,RYU控制器通过训练好的神经网络模型进一步检测,确定是否发生DDoS攻击;
当RYU控制器的双重检测模块检测到DDoS攻击时,通过Socket与P4交换机进行通信,将检测结果发送给P4交换机并触发P4交换机下发流表,通过自定义动作匹配表,对连接受害主机的交换机出端口进行限速,缓解DDoS攻击。
作为优选的实施方式,在上述方式的基础上,进一步的,基于信息熵的初步检测模块用于对网络中的流量进行异常初检,基于信息熵的初步检测模块包括:
当正常流量到达OpenFlow交换机时,OpenFlow交换机会生成packet_in消息发送给RYU控制器,RYU控制器下发优先级为J的流表,若流表的优先级为J,则调用RYU控制器中的两个函数,一个函数用于提取流表的六个流特征,六个流特征分别是存活时间、IP协议号、源端口、目的端口、源地址以及目的地址,另一个函数计算其熵值,当OpenFlow交换机下的受害主机遭到DDoS攻击时,目的地址为受害主机的数据包会急剧增加,随机性会相应降低,同时熵值会急剧下降,其中,J=3;
熵值计算公式如下:
为计算目的IP地址的熵值,使用式(1)和(3),式(2)显示的是哈希表,其中W是窗口大小,X表示数据包中不同的目的IP地址,C表示X出现的次数,Pi是不同的目的IP地址出现在交换机中所占的比例,S表示交换机中存活的数据包的总数;
当目的IP地址的熵值低于初步检测设置的阈值时,疑似遭到DDoS攻击,下发优先级为J+1的流表,使疑似攻击标志isAttack置位,若isAttack=0,则通过OpenFlow协议中的Packet_out数据包向OpenFlow交换机下发路由规则正常转发,OpenFlow协议规范规定每个到达OpenFlow交换机的流都有一段存活时间,如果某个流处于非活动状态并超过存活时间,该流从流表中删除。
作为优选的实施方式,在上述方式的基础上,进一步的,基于门控循环单元的深度检测模块用于对疑似异常流量的流特征进一步检测,基于门控循环单元的深度检测模块包括:
在RYU控制器下发优先级为J+1的流表并触发疑似攻击标志isAttack置位后,需要及时调用深度检测对可疑流量进一步检测,通过机器学习算法对网络攻击进行检测,对特定的数据流量特征进行训练,用DDoS攻击数据集去训练模型,选择最优超参数的模型,调用函数计算各项指标值,并通过准确率判断神经网络模型对训练样本的学习情况,实现对攻击流量的高效预测;
准确率的计算公式如下:
其中N表示测试样本中所有标签为DDoS攻击的流表数,M为实际预测出来为DDoS攻击的流表数。
实施例2:
如图1所示,本实施方式提出一种基于SDN的DDoS攻击检测和缓解系统,包括一种基于SDN的DDoS攻击检测和缓解方法,还包括如下模块:
数据包预处理模块,用于对数据包进行预处理;
特征提取模块,用于提取流特征的特征值;
基于信息熵的DDoS攻击初检模块,用于DDoS攻击的初步检测;
基于门控循环单元的深度检测模块,用于DDoS攻击的深度检测;
RYU控制器与P4交换机通信模块,用于RYU控制器与P4交换机的通信;
基于P4交换机的DDoS攻击缓解模块,用于缓解DDoS攻击。
作为优选的实施方式,在上述方式的基础上,进一步的,数据包预处理模块包括:
OpenFlow交换机接收到终端设备发送的数据流后,首先会与OpenFlow交换机中流表项进行匹配,匹配成功的数据流会按路由规则进行正常转发,若未匹配成功,OpenFlow交换机会将流封装成Packet_In消息发送给RYU控制器;
RYU控制器接受到OpenFlow交换机发送的Packet_In消息后,会下发优先级为J的流表并周期性地从OpenFlow交换机中采集流量,提取流特征。
作为优选的实施方式,在上述方式的基础上,进一步的,基于信息熵的DDoS攻击初检模块包括:
以计算目的IP地址的熵值为例,当OpenFlow交换机下的受害主机遭到DDoS攻击时,目的IP地址为受害主机的数据包会急剧增多,随机性会相应降低,同时熵值会急剧下降,按提取的流特征和窗口大小,分别统计不同目的IP地址的数据包数量和OpenFlow交换机中存活的数据包总数,当目的IP地址的熵值低于初步检测模块设置的阈值时,疑似遭到DDoS攻击,RYU控制器下发优先级为J+1的流表,使疑似攻击标志isAttack置位,若isAttack=0,则通过OpenFlow协议中的Packet_out数据包向OpenFlow交换机下发路由规则正常转发,其中J=3。
作为优选的实施方式,在上述方式的基础上,进一步的,基于门控循环单元的深度检测模块包括:
将基于门控循环单元的深度检测模块应用于该系统之前,需用公开的DDoS攻击数据集去训练神经网络模型,选择最优超参数的模型,调用函数计算各项指标值,并通过准确率判断神经网络模型对训练样本的学习情况,实现对DDoS攻击的高效检测,当RYU控制器下发优先级为J+1的流表,疑似攻击标志isAttack被置位,此时会调用训练好的基于GRU的深度检测模块对疑似异常流的流特征进一步检测,判断是否发生DDoS攻击。
作为优选的实施方式,在上述方式的基础上,进一步的,RYU控制器与P4交换机通信模块包括:
P4交换机为Socket的服务器端,RYU控制器为Socket的客户端,P4交换机一直处于监听状态,当双重检测模块检测到DDoS攻击时,RYU控制器会通过P4交换机的IP地址和端口号与P4交换机建立连接,并将检测结果发送给P4交换机,触发P4交换机下发新的流表信息;
作为优选的实施方式,在上述方式的基础上,进一步的,基于P4交换机的DDoS攻击缓解模块包括:
将缓解DDoS攻击的程序提前部署在P4交换机上,当RYU控制器将检测结果发送给P4交换机时,P4交换机会下发新的流表,对连接受害主机的出端口进行限速或直接丢包操作。
作为优选的实施方式,在上述方式的基础上,进一步的,还包括提醒模块,提醒模块用于接收P4交换机的RYU控制器消息,且向受害主机发送弹窗提醒。
具体的,本基于SDN的DDoS攻击检测和缓解方法及系统在工作时/使用时:采用三台主机h1,h2,h3,一台OpenFlow交换机,一台P4交换机和一台装有RYU控制器的服务器,主机h1和h2连接OpenFlow交换机,主机h3连接P4交换机,模拟对P4交换机下的单个受害主机进行SYN泛洪攻击,测试本系统检测攻击和缓解攻击的效果。
当Python程序模拟正常发包情况时,OpenFlow交换机会匹配流表项决定是正常转发还是封装成Packet_In消息发送给RYU控制器,RYU控制器会每10秒周期性地提取流特征,此时计算出目的IP地址的熵值约为1.56,熵值大于我们设定的阈值0.5,当主机h2通过Python程序对P4交换机下的主机h3模拟发动SYN泛洪攻击时,熵值会急剧下降,从1.56降至0.7,下一周期降至0.28,随着交换机中攻击包与正常数据包比例越来越大,熵值将降低至0.099左右,低于我们所设定的阈值0.5,疑似遭到DDoS攻击,RYU控制器会下发优先级为J+1的流表,疑似攻击标志isAttack被置位,此时会调用训练好地深度检测模块对疑似异常流的流特征进一步检测,检测结果为发生DDoS攻击。
RYU控制器会通过Socket将检测结果发送给P4交换机,P4交换机会下发新流表对连接受害主机的出端口进行限速和丢包操作,当P4交换机每秒接收到2000个数据包时,根据RFC2698定义的双速双桶算法,自定义参数来控制转发和丢包操作,最终受害主机收到约270个数据包。
综上,本系统可以有效的实现对DDoS攻击的检测和缓解DDoS攻击。
以上实施方式仅用于说明本发明,而非对本发明的限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行各种组合、修改或者等同替换,都不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于SDN的DDoS攻击检测和缓解方法,其特征在于,包括由基于信息熵的初步检测模块和基于门控循环单元的深度检测模块组成的双重检测模块;
RYU控制器周期性地从OpenFlow交换机中采集流量,并提取流特征的特征值,同时基于信息熵的初步检测模块根据获取到的特征值计算信息熵,且基于信息熵的初步检测模块对网络流量进行初步检测,在初步检测设置疑似遭到DDoS攻击的阈值,针对初步检测得到的异常数据流,RYU控制器通过训练好的神经网络模型进一步检测,确定是否发生DDoS攻击;
当RYU控制器的双重检测模块检测到DDoS攻击时,通过Socket与P4交换机进行通信,将检测结果发送给P4交换机并触发P4交换机下发流表,通过自定义动作匹配表,对连接受害主机的交换机出端口进行限速,缓解DDoS攻击。
2.根据权利要求1所述的一种基于SDN的DDoS攻击检测和缓解方法,其特征在于,所述基于信息熵的初步检测模块用于对网络中的流量进行异常初检,基于信息熵的初步检测模块包括:
当正常流量到达OpenFlow交换机时,OpenFlow交换机会生成packet_in消息发送给RYU控制器,RYU控制器下发优先级为J的流表,若流表的优先级为J,则调用RYU控制器中的函数,用于提取流表的流特征以及计算其熵值,当OpenFlow交换机下的受害主机遭到DDoS攻击时,目的地址为受害主机的数据包会急剧增加,随机性会相应降低,同时熵值会急剧下降;
当目的IP地址的熵值低于初步检测设置的阈值时,疑似遭到DDoS攻击,下发优先级为J+1的流表,使疑似攻击标志isAttack置位,若isAttack=0,则通过OpenFlow协议中的Packet_out数据包向OpenFlow交换机下发路由规则正常转发,OpenFlow协议规范规定每个到达OpenFlow交换机的流都有一段存活时间,如果某个流处于非活动状态并超过存活时间,该流从流表中删除。
3.根据权利要求2所述的一种基于SDN的DDoS攻击检测和缓解方法,其特征在于,基于门控循环单元的深度检测模块用于对疑似异常流量的流特征进一步检测,基于门控循环单元的深度检测模块包括:
在RYU控制器下发优先级为J+1的流表并触发疑似攻击标志isAttack置位后,需要及时调用深度检测对可疑流量进一步检测,通过机器学习算法对网络攻击进行检测,对特定的数据流量特征进行训练,用DDoS攻击数据集去训练模型,选择最优超参数的模型,调用函数计算各项指标值,并通过准确率判断神经网络模型对训练样本的学习情况,实现对攻击流量的高效预测。
4.一种基于SDN的DDoS攻击检测和缓解系统,包括如权利要求3所述一种基于SDN的DDoS攻击检测和缓解方法,其特征在于,还包括如下模块:
数据包预处理模块,用于对数据包进行预处理;
特征提取模块,用于提取流特征的特征值;
基于信息熵的DDoS攻击初检模块,用于DDoS攻击的初步检测;
基于门控循环单元的深度检测模块,用于DDoS攻击的深度检测;
RYU控制器与P4交换机通信模块,用于RYU控制器与P4交换机的通信;
基于P4交换机的DDoS攻击缓解模块,用于缓解DDoS攻击。
5.根据权利要求4所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,所述数据包预处理模块包括:
OpenFlow交换机接收到终端设备发送的数据流后,首先会与OpenFlow交换机中流表项进行匹配,匹配成功的数据流会按路由规则进行正常转发,若未匹配成功,OpenFlow交换机会将流封装成Packet_In消息发送给RYU控制器;
RYU控制器接受到OpenFlow交换机发送的Packet_In消息后,会下发优先级为J的流表并周期性地从OpenFlow交换机中采集流量,提取流特征。
6.根据权利要求5所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,所述基于信息熵的DDoS攻击初检模块包括:
以计算目的IP地址的熵值为例,当OpenFlow交换机下的受害主机遭到DDoS攻击时,目的IP地址为受害主机的数据包会急剧增多,随机性会相应降低,同时熵值会急剧下降,按提取的流特征和窗口大小,分别统计不同目的IP地址的数据包数量和OpenFlow交换机中存活的数据包总数,当目的IP地址的熵值低于初步检测模块设置的阈值时,疑似遭到DDoS攻击,RYU控制器下发优先级为J+1的流表,使疑似攻击标志isAttack置位,若isAttack=0,则通过OpenFlow协议中的Packet_out数据包向OpenFlow交换机下发路由规则正常转发。
7.根据权利要求6所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,所述基于门控循环单元的深度检测模块包括:
将基于门控循环单元的深度检测模块应用于该系统之前,需用公开的DDoS攻击数据集去训练神经网络模型,选择最优超参数的模型,调用函数计算各项指标值,并通过准确率判断神经网络模型对训练样本的学习情况,实现对DDoS攻击的高效检测,当RYU控制器下发优先级为J+1的流表,疑似攻击标志isAttack被置位,此时会调用训练好的基于GRU的深度检测模块对疑似异常流的流特征进一步检测,判断是否发生DDoS攻击。
8.根据权利要求7所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,所述RYU控制器与P4交换机通信模块包括:
P4交换机为Socket的服务器端,RYU控制器为Socket的客户端,P4交换机一直处于监听状态,当双重检测模块检测到DDoS攻击时,RYU控制器会通过P4交换机的IP地址和端口号与P4交换机建立连接,并将检测结果发送给P4交换机,触发P4交换机下发新的流表信息。
9.根据权利要求8所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,所述基于P4交换机的DDoS攻击缓解模块包括:
将缓解DDoS攻击的程序提前部署在P4交换机上,当RYU控制器将检测结果发送给P4交换机时,P4交换机会下发新的流表,对连接受害主机的出端口进行限速或直接丢包操作。
10.根据权利要求9所述的一种基于SDN的DDoS攻击检测和缓解系统,其特征在于,还包括提醒模块,所述提醒模块用于接收P4交换机的RYU控制器消息,且向受害主机发送弹窗提醒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210504478.2A CN114760212A (zh) | 2022-05-10 | 2022-05-10 | 一种基于SDN的DDoS攻击检测和缓解方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210504478.2A CN114760212A (zh) | 2022-05-10 | 2022-05-10 | 一种基于SDN的DDoS攻击检测和缓解方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114760212A true CN114760212A (zh) | 2022-07-15 |
Family
ID=82334464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210504478.2A Pending CN114760212A (zh) | 2022-05-10 | 2022-05-10 | 一种基于SDN的DDoS攻击检测和缓解方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114760212A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220053018A1 (en) * | 2020-08-11 | 2022-02-17 | Flipkart Internet Private Limited | System and method for detection and mitigation of a dos/ddos attack |
CN115801473A (zh) * | 2023-02-13 | 2023-03-14 | 广东电网有限责任公司江门供电局 | 基于知识图谱的电力监控系统恶意流量识别方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
CN110661781A (zh) * | 2019-08-22 | 2020-01-07 | 中科创达软件股份有限公司 | 一种DDoS攻击检测方法、装置、电子设备和存储介质 |
CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
CN112422584A (zh) * | 2020-12-04 | 2021-02-26 | 中国石油大学(华东) | 一种基于深度学习的DDoS攻击回溯抵御方法 |
-
2022
- 2022-05-10 CN CN202210504478.2A patent/CN114760212A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
CN110661781A (zh) * | 2019-08-22 | 2020-01-07 | 中科创达软件股份有限公司 | 一种DDoS攻击检测方法、装置、电子设备和存储介质 |
CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
CN112422584A (zh) * | 2020-12-04 | 2021-02-26 | 中国石油大学(华东) | 一种基于深度学习的DDoS攻击回溯抵御方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220053018A1 (en) * | 2020-08-11 | 2022-02-17 | Flipkart Internet Private Limited | System and method for detection and mitigation of a dos/ddos attack |
CN115801473A (zh) * | 2023-02-13 | 2023-03-14 | 广东电网有限责任公司江门供电局 | 基于知识图谱的电力监控系统恶意流量识别方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tan et al. | A new framework for DDoS attack detection and defense in SDN environment | |
Hu et al. | FADM: DDoS flooding attack detection and mitigation system in software-defined networking | |
US11038906B1 (en) | Network threat validation and monitoring | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
Wang et al. | A DDoS attack detection method based on information entropy and deep learning in SDN | |
Chen et al. | Defending against TCP SYN flooding attacks under different types of IP spoofing | |
CN114760212A (zh) | 一种基于SDN的DDoS攻击检测和缓解方法及系统 | |
Igbe et al. | Deterministic dendritic cell algorithm application to smart grid cyber-attack detection | |
CN101589595A (zh) | 用于潜在被污染端系统的牵制机制 | |
Tang et al. | Performance and features: Mitigating the low-rate TCP-targeted DoS attack via SDN | |
Aiello et al. | Basic classifiers for DNS tunneling detection | |
CN112134894A (zh) | 一种DDoS攻击的移动目标防御方法 | |
KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
Li et al. | Early detection of DDoS based on $\varphi $-entropy in SDN networks | |
CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
Ahuja et al. | Ascertain the efficient machine learning approach to detect different ARP attacks | |
Xiao et al. | Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model | |
Mohsin et al. | Performance evaluation of SDN DDoS attack detection and mitigation based random forest and K-nearest neighbors machine learning algorithms | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
CN112953910B (zh) | 基于软件定义网络的DDoS攻击检测方法 | |
Gao et al. | Defense against software-defined network topology poisoning attacks | |
Abdelkhalek et al. | Ml-based anomaly detection system for der dnp3 communication in smart grid | |
Zhai et al. | Distributed denial of service defense in software defined network using openflow | |
Bhati et al. | Deep learning based identification of DDoS attacks in industrial application | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220715 |
|
RJ01 | Rejection of invention patent application after publication |