CN115580480B - 基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 - Google Patents
基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 Download PDFInfo
- Publication number
- CN115580480B CN115580480B CN202211311205.2A CN202211311205A CN115580480B CN 115580480 B CN115580480 B CN 115580480B CN 202211311205 A CN202211311205 A CN 202211311205A CN 115580480 B CN115580480 B CN 115580480B
- Authority
- CN
- China
- Prior art keywords
- flow table
- attack
- fto
- switch
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000007637 random forest analysis Methods 0.000 title claims abstract description 22
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 19
- 238000001914 filtration Methods 0.000 title claims abstract description 15
- 238000012549 training Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 claims 2
- 238000012545 processing Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000011897 real-time detection Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法,属于计算机网络安全领域。其中所述的方法包括:基于滑动窗口对OpenVSwitch软件交换机采集,获取交换机流表项数,并使用卡尔曼滤波预测下一时刻的流表项数,根据阈值判定是否进行攻击检测;提取交换机流表整体特征,输入攻击检测模型进行攻击检测判定;提取交换机单条流表项特征,输入攻击缓解模型进行判定,若判定为攻击流表项则加入驱逐列表进行删除;若流表项数仍超过设定的正常值,计算每条流表项的重要性得分,基于阈值驱逐重要性得分低的流表项。本发明提出的FTO攻击检测缓解方法具有较高的准确率和较低的误报、漏报率,能够实际部署在SDN交换机上,是一种有效的FTO攻击检测缓解方法。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法。
背景技术
软件定义网络(SDN)是一种新型网络架构,不同于传统网络架构,SDN分离了网络设备中的控制平面与数据平面,使其仅支持数据转发,极大程度简化了网络协议和功能的部署与更新,控制平面协议和功能被整合为软件应用程序部署在SDN控制器上。控制平面与数据平面的分离实现了网络功能与服务的灵活管理。
开放网络基金(ONF)将SDN自顶向下分为应用平面、控制平面和数据平面。控制层提供北向接口,如REST API等,便于开发者开发网络应用程序;利用南向接口,如OpenFlow协议,与数据平面进行通信。在OpenFlow协议中,控制器与OpenFlow交换机建立连接,通过连接下发流表项来动态配置交换机的转发行为。流表项包含用于识别数据包的匹配字段,用于描述数据包处理动作的动作域字段等。当交换机收到数据包时,首先检索流表中是否存储与之匹配的流表项,若存在,则按照流表项的动作域对数据包进行处理;若不存在,交换机会生成Packet-In消息将数据包转发至控制器,控制器使用Flow-Mod消息向交换机下发转发决策。
随着SDN不断发展,其安全问题逐渐成为研究热点。由于成本原因,当前商用SDN硬件交换机消息解析和处理能力有限,并且大多数交换机使用三态内容寻址存储器(TCAM)存储流表项,但由于高成本和高功耗,TCAM仅允许较低的流表更新率和较小的流表空间,攻击者能够利用流表空间有限的脆弱性,恶意消耗SDN交换机中有限的流表资源,使得合法流表项无法安装在流表空间中,最终导致流表空间被恶意流表项占满至溢出,无法提供正常服务。
卡尔曼滤波是一种高效的递归滤波器,能够从一系列不完全及包含噪声的测量中,估计动态系统的状态,占用内存小,并且处理速度快,适用于实施问题,在技术领域有很多应用。随机森林是一个包含多个决策树的集成分类器,在分类问题上有良好表现,且拥有较好的抗过拟合能力。本发明利用卡尔曼滤波预测交换机下一时刻的流表项数目,从而判断流表是否有溢出的风险,并结合随机森林分类器判定流表是否受到流表溢出(FTO)攻击以及确定恶意流表项。
本发明提出了一种基于卡尔曼滤波和随机森林的FTO攻击检测防御方法,能够在SDN中实时检测并防御FTO攻击。该方法基于滑动窗口,以固定时间间隔轮询交换机,获取流表项数目,将其输入卡尔曼滤波获取下一时刻流表项数目预测值,结合阈值判定流表是否有溢出风险。若存在溢出风险,计算流表整体特征并输入由随机森林构建的攻击检测模型,结合判定准则以判定交换机是否受到FTO攻击。若检测到FTO攻击,则计算流表中单条流表项特征并输入由随机森林构建的攻击缓解模型,结合判定准则以确定攻击流表项,并将其加入驱逐列表进行删除。若流表项数仍超过正常值,计算单条流表项的重要性得分,结合阈值删除得分较低的流表项,实现对流表溢出的缓解。该方法能够实际部署在交换机上,实现对SDN交换机流表的实时保护,能够有效检测并防御FTO攻击,具有较高的检测率,较低的误报、漏报率,且不需额外部署硬件设备,因此该方法可用于在SDN中检测与缓解FTO攻击。
发明内容
本发明针对当前SDN交换机存在的安全问题,考虑到针对流表溢出的解决方案不能很好在攻击场景下保护交换机流表的现状,提出了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法。该攻击检测缓解方法能够实现对SDN交换机流表的实时保护,有效检测并缓解FTO攻击,具有较高的检测率,较低的误报、漏报率,且不需额外部署硬件设备,因此该方法适用于SDN中FTO攻击的实时检测防御,以维护交换机流表的可用性。
本发明为实现上述目标所采用的技术方案为:该FTO攻击检测缓解方法主要包括九个步骤:交换机流表项数获取、流表项数预测、检测特征提取、检测模型构建、攻击判定检测、缓解特征提取、缓解模型构建、攻击缓解、流表空间管理。
1.交换机流表项数获取。使用滑动窗口以相同的采样间隔对SDN交换机进行采集,实时获取交换机流表项数,形成流表项数序列。
2.流表项数预测。将实时采集的流表项数序列输入卡尔曼滤波器,获取下一时刻流表项数预测值,结合阈值判定交换机流表是否有溢出的可能,若预测值超过阈值,判定流表可能有溢出风险,需要进一步检测是否受到FTO攻击,否则判定流表负荷正常,没有溢出风险。
3.检测特征提取。若流表项数预测值超过阈值,则获取交换机流表的整体特征,包括流表匹配的总包数、总字节数、总规则数,并根据这三个特征计算平均包大小和平均包数,构成攻击检测的五元特征组。
4.检测模型构建。获取一定时间间隔内的交换机流表项数序列,计算每个采样点的检测特征,并打上标签作为训练数据来训练随机森林分类器作为检测模型,其中标签“0”表示该采样点没有受到FTO攻击,标签“1”表示该采样点受到FTO攻击。
5.攻击判定检测。将当前流表的检测特征输入构建好的FTO攻击检测模型,获取判定值,根据判定准则判断流表是否受到FTO攻击。
6.缓解特征提取。当攻击检测模型判定流表受到FTO攻击,提取流表中的每条流表项,计算器缓解特征,包括其持续时长、匹配的包数、字节数、源端口号、目的端口号、源IP,以及目的IP,并基于持续时长、包数,和字节数计算平均包到达间隔和平均包大小,构成攻击缓解的九元特征组。
7.缓解模型构建。获取一定时间间隔内的交换机流表项序列,计算每条流表项的缓解特征,并打上标签作为训练数据来训练随机森林分类器作为缓解模型,其中标签“0”表示该流表项是合法流表项,标签“1”表示该流表项是FTO攻击流表项。
8.攻击缓解。遍历流表的流表项,计算当前流表项的缓解特征并输入构建好的FTO攻击缓解模型,获取判定值,利用判定准则判断当前流表项是否为FTO攻击流表项,若是,则将其加入驱逐列表进行驱逐。
9.流表空间管理。若流表项数目超过设定的阈值,遍历流表项,计算每条流表项的重要性得分,结合设定的得分阈值,为低于阈值的流表项设定较短的硬超时,驱逐超过硬超时仍无数据包匹配的流表项。
有益效果
该FTO攻击检测缓解方法能够部署在SDN交换机上,实现FTO攻击的实时检测和缓解。该方法采用卡尔曼滤波预测下一时刻交换机流表项数,提前预知流表是否有溢出的风险,结合随机森林分类器实现了攻击的精准检测和快速防御,并定义了重要性得分实现不重要流表项的智能驱逐。在Mininet和Ryu控制器搭建的SDN网络中进行了相关实验,该方法检测率高达98.66%,误报率低至1.18%,漏报率低至2.35%,流表溢出次数降低80%以上。因此,该FTO攻击检测缓解方法适用于SDN中FTO攻击的实时检测和缓解。
附图说明
图1为卡尔曼滤波预测示意图。获取一定时间间隔内的流表项数形成序列,输入卡尔曼滤波,得到预测序列。
图2为SDN中FTO攻击的攻击模型。该攻击包含三个参数:攻击周期(P)、攻击步长(S)和最大攻击强度(MS),其中P是攻击者发送攻击数据包的周期,S是攻击者在一个攻击周期内发送的数据包总数,MS是攻击者在攻击期间拥有的攻击规则总数。
图3为流表项重要性得分分布示意图。
图4为基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图4所示,该FTO攻击检测缓解方法主要包括九个步骤:交换机流表项数获取、流表项数预测、检测特征提取、检测模型构建、攻击判定检测、缓解特征提取、缓解模型构建、攻击缓解、流表空间管理。
1.交换机流表项数获取。SDN网络由Mininet网络仿真器和Ryu控制器搭建,OpenFlow协议版本为OpenFlow v1.3,使用的交换机为OpenvSwitch软件交换机。利用OpenvSwitch交换机ovs-ofctl指令对交换机流表进行采样,获取流表项数,使用滑动窗口进行存储,获取流表项数序列x(n),其中n为窗口长度。
2.流表项数预测。将流表项数序列x(n)输入卡尔曼滤波器,获取下一时刻流表项数的预测值。如图2所示,卡尔曼滤波器具有较好的预测效果。
2.1.首先使用当前时间点的流表项数预测值来计算下一时刻的流表项数预测值,公式如下所示:
x'predicted=A·x't+B·μt,
其中,x'predicted为下一时刻的流表项数预测值,x't为当前流表项数预测值,A为转换矩阵,B为偏移量,μt为时刻t的系统控制向量。
2.2.根据t时刻的误差协方差和预测t+1时刻的误差协方差,公式如下:
Ppredicted=A·Pt·AT+Q,
其中,Ppredicted为下一时刻的误差协方差,Pt为t时刻的误差协方差,Q为过程噪声。
2.3.计算卡尔曼增益K,公式如下:
其中,H为观察矩阵,R为预测误差。
2.4.更新t+1时刻的预测值,公式如下:
x't+1=x'predicted+K(yt+1-H·x'predicted),
其中,yt+1为t+1时刻的实际观测值,若缺失可以设为隐码。
2.5.基于对t+1时刻的误差协方差进行校正更新,公式如下:
Pt+1=(1-K·H)Ppredicted。
2.6.若t+1时刻流表项数预测值超过设定的阈值,则判定交换机流表有溢出风险,需要检测是否受到FTO攻击,否则判定交换机负荷正常。
3.检测特征提取。若流表项数预测步骤判定流表有溢出风险,使用ovs-ofctl命令获取流表整体特征,包括交换机匹配的总包数、字节数、规则数,并计算平均包大小和平均包数,计算公式如下所示:
其中,Pkt_sizeavg是平均包大小,Pktavg是平均包数,Pkt是总包数,Byte是总字节数,xt为当前流表项数。
4.检测模型构建。采集一定时间间隔内的流表项数及流表特征,计算每个采集点的检测特征并打上标签作为训练数据,其中标签“0”表示当前采集点未受到FTO攻击,标签“1”表示当前采集点受到FTO攻击。将训练数据输入随机森林,得到构建好的攻击检测模型。
5.攻击判定检测。将当前流表检测特征输入构建好的检测模型,利用输出的判定值来判定流表是否受到FTO攻击。若判定值为“0”,则表示当前流表未受到FTO攻击;若判定值为“1”,则表示当前流表受到FTO攻击。
6.缓解特征提取。当检测模型判定流表受到FTO攻击时,提取所有流表项的特征,包括流表项持续时长、包数、字节数、源端口、目的端口、源IP、目的IP,并根据持续时长和包数计算平均包到达间隔,根据包数和字节数计算平均包大小,一起构成流表项的九元特征组。
7.缓解模型构建。采集一定时间间隔内的流表项,计算每条流表项的缓解特征并打上标签作为训练数据,其中标签“0”表示当前流表项为合法流表项,标签“1”表示当前流表项为FTO攻击流表项。将训练数据输入随机森林,得到构建好的攻击缓解模型。
8.攻击缓解。将当前流表项缓解特征输入构建好的缓解模型,利用输出的判定值来判定当前流表项是否为攻击流表项。若判定值为“0”,则表示当前流表项为合法流表项;若判定值为“1”,则表示当前流表项为FTO攻击流表项,将其加入驱逐列表进行驱逐。
9.流表空间管理。若完成以上步骤后,流表项数仍超过设定的阈值,计算所有流表项的重要性得分,为得分低于阈值的流表项设置较短的硬超时,使超过硬超时仍无数据包匹配的流表项被驱逐。计算流表项重要性得分的公式如下:
其中,scorei为当前流表项重要性得分,α为流表项匹配包数的协方差,n为当前流表项数,xi为流表项的包数,yi为流表项的字节数。
匹配更多的包数和字节数的流表项承担较重的数据传输任务,如图3所示,匹配的包数、字节数越多的流表项重要性得分越高,越不可能被驱逐。
Claims (3)
1.基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法,其特征在于,FTO攻击即流表溢出攻击,是一种针对SDN交换机流表空间的拒绝服务攻击,所述攻击检测缓解方法包括以下几个步骤:
步骤1、交换机流表项数获取:使用滑动窗口以相同的采样间隔对SDN交换机进行采集,实时获取其流表中流表项数目,交换机为软件交换机OpenVSwitch,采样间隔为预先设定的流表项软超时,滑动窗口长度为4,步长为1;
步骤2、流表项数预测:将步骤1中得到的窗口序列输入卡尔曼滤波器,获取下一时刻流表项数目的预测值,若预测值大于预先设定的阈值,则判定需要检测该交换机是否受到流表溢出攻击,否则判定交换机流表负荷正常;
步骤3、检测特征提取:若步骤2判定需要进行攻击检测,则获取交换机流表的整体特征,包括交换机匹配的总包数、总字节数、总规则数,并计算平均包大小和平均包数,构成攻击检测的五元特征组;
步骤4、检测模型构建:利用随机森林算法构建流表溢出攻击检测模型,以步骤3中提取的攻击检测五元特征组作为训练数据进行构建,实现基于卡尔曼滤波和随机森林的FTO攻击检测;
步骤5、攻击判定检测:根据建立的FTO攻击检测模型,对交换机流表进行判定检测,输入交换机流表的攻击检测五元特征组获得判定值,使用判定准则判断是否受到FTO攻击;
步骤6、缓解特征提取:当步骤5判定交换机受到FTO攻击时,提取交换机流表的每条流表项特征,包括每条流表项的持续时长、匹配的包数、字节数、源/目的端口号、源/目的IP,并计算平均包到达间隔和平均包大小,构成单条流表项的九元特征组;
步骤7、缓解模型构建:利用随机森林算法构建流表溢出攻击缓解模型,以步骤6中提取的单条流表项的九元特征组作为训练数据进行构建,得到FTO攻击缓解模型;
步骤8、攻击缓解:遍历交换机流表中的每条流表项,将其对应的九元特征组输入步骤7构建的缓解模型获得判定值,利用判定准则判定当前流表项是否为攻击流表项,并将其驱逐;
步骤9、流表空间管理:若交换机流表项数目超过步骤2设定的阈值,遍历当前交换机中的流表项,计算每条流表项的重要性得分,为得分低于阈值的流表项设置较短的硬超时,驱逐超过硬超时仍无数据包匹配的流表项;重要性得分依据字节数和包数计算,字节数和包数越大,重要性得分越高,流表项越不容易被删除。
2.根据权利要求1中所述的FTO攻击检测缓解方法,其特征在于,步骤2中设定的阈值为流表容量的80%,若卡尔曼滤波器对下一时刻交换机的流表项数预测值超过该阈值,则判定流表空间有溢出的危险,可能受到溢出攻击,需要进一步措施。
3.根据权利要求1中所述的FTO攻击检测缓解方法,其特征在于,步骤5中所述的判定准则为:若判定值为“1”则表示随机森林分类器判定当前交换机流表受到FTO攻击,若判定值为“0”则表示随机森林分类器判定当前交换机流表未受到FTO攻击;步骤8中所述的判定准则为:若判定值为“0”则表示分类器认为当前流表项为正常流表项,若判定值为“1”则表示分类器认为当前流表项为FTO攻击流表项,将攻击流表项加入驱逐列表进行批量删除完成缓解。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211311205.2A CN115580480B (zh) | 2022-10-25 | 2022-10-25 | 基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211311205.2A CN115580480B (zh) | 2022-10-25 | 2022-10-25 | 基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115580480A CN115580480A (zh) | 2023-01-06 |
CN115580480B true CN115580480B (zh) | 2024-04-02 |
Family
ID=84587896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211311205.2A Active CN115580480B (zh) | 2022-10-25 | 2022-10-25 | 基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115580480B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
CN112261021A (zh) * | 2020-10-15 | 2021-01-22 | 北京交通大学 | 软件定义物联网下DDoS攻击检测方法 |
CN112788058A (zh) * | 2021-01-28 | 2021-05-11 | 湖南大学 | 一种基于SDN控制器的LDoS攻击检测与缓解方案 |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108289104B (zh) * | 2018-02-05 | 2020-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
-
2022
- 2022-10-25 CN CN202211311205.2A patent/CN115580480B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
CN112261021A (zh) * | 2020-10-15 | 2021-01-22 | 北京交通大学 | 软件定义物联网下DDoS攻击检测方法 |
CN112788058A (zh) * | 2021-01-28 | 2021-05-11 | 湖南大学 | 一种基于SDN控制器的LDoS攻击检测与缓解方案 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
Non-Patent Citations (2)
Title |
---|
BA-BNN: Detect LDoS Attacks in SDN Based on Bat Algorithm and BP Neural Network;Xinmeng Li;《2021 IEEE Intl Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Computing & Communications, Social Computing & Networking (ISPA/BDCloud/SocialCom/SustainCom)》;20211222;全文 * |
基于孤立森林算法的计算机网络潜在攻击检测方法;肖峰;《河北北方学院学报(自然科学版)》;20211128;第37卷(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115580480A (zh) | 2023-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
CN109981691B (zh) | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 | |
CN107959690B (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
CN109617931B (zh) | 一种SDN控制器的DDoS攻击防御方法及防御系统 | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
Pei et al. | A DDoS attack detection method based on machine learning | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
US20080104702A1 (en) | Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling | |
CN100553206C (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
CN114050928B (zh) | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 | |
CN109347853B (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
CN114513340A (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
Mohsin et al. | Performance evaluation of SDN DDoS attack detection and mitigation based random forest and K-nearest neighbors machine learning algorithms | |
Gharvirian et al. | Neural network based protection of software defined network controller against distributed denial of service attacks | |
Singh et al. | Detecting different attack instances of DDoS vulnerabilities on edge network of fog computing using gaussian naive bayesian classifier | |
Tang et al. | SFTO-Guard: Real-time detection and mitigation system for slow-rate flow table overflow attacks | |
CN113162939A (zh) | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统 | |
CN115580480B (zh) | 基于卡尔曼滤波和随机森林的fto攻击检测缓解方法 | |
CN113765896A (zh) | 基于人工智能的物联网实现系统及方法 | |
Tang et al. | FTODefender: An efficient flow table overflow attacks defending system in SDN | |
CN112702347A (zh) | 一种基于sdn入侵检测技术 | |
CN109831428B (zh) | Sdn网络攻击检测及防御的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |