CN115664752B - 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 - Google Patents
基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 Download PDFInfo
- Publication number
- CN115664752B CN115664752B CN202211276177.5A CN202211276177A CN115664752B CN 115664752 B CN115664752 B CN 115664752B CN 202211276177 A CN202211276177 A CN 202211276177A CN 115664752 B CN115664752 B CN 115664752B
- Authority
- CN
- China
- Prior art keywords
- flow table
- detection
- overflow attack
- rule
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000000116 mitigating effect Effects 0.000 title claims description 7
- YHXISWVBGDMDLQ-UHFFFAOYSA-N moclobemide Chemical compound C1=CC(Cl)=CC=C1C(=O)NCCN1CCOCC1 YHXISWVBGDMDLQ-UHFFFAOYSA-N 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000003066 decision tree Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 2
- 229920006395 saturated elastomer Polymers 0.000 abstract description 6
- 230000000977 initiatory effect Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 238000009434 installation Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 101150073654 dapB gene Proteins 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 210000003734 kidney Anatomy 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患,公开了一种基于ARIMAGini‑DT的慢速流表溢出攻击检测与缓解方法,属于计算机网络安全领域。本发明所述的方法通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中,并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量,再利用不同级的DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则,在缩短识别分类时间的同时也提高了其识别的精度,达到保护交换机有限流表空间的目的。该方法能够在慢速流表溢出攻击还在发起阶段,交换机流表还未饱和时就能将其检测,同时采取缓解策略,持续性地对流表进行监控与保护。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。
背景技术
软件定义网络(SDN),其优势例如控制层与数据层的分离、集中控制、可编程性、良好的易管理性为其赢得了广大运营商和服务商的关注,被认为是传统网络局限性的解决思路之一。由于其本身的强架构性,这种网络已经被广泛应用在云环境和物联网中。但是一方面,在SDN独特的优势为互联网的管理带来了新思路的同时,它由于本身的特点也成为更多攻击的潜在目标。其中,对于数据层而言,由于仍具有传统网络的一些特征,它就不仅可能遭到例如针对传统网络的拒绝服务攻击,还可能被一些新型攻击作为目标例如流表溢出攻击。
SDN中的交换机为了更好的实现对数据流的管理,采用了支持OpenFlow协议的Ternary Content Addressable Memory(TCAM)来对流表项进行储存。TCAM会储存为每一条流生成的对应的流表项,也被称为流规则,当有流流入时,会先在TCAM中搜索是否有与其匹配的规则,若有则进行相应的操作例如转发、丢弃等。如果没有匹配的规则,就会与控制器沟通并生成一条新规则进行安装处理。为了保证网络的正常通信,伴随着不断有新流进入网络,大量的数据流在交换机之间被转发,同时,交换机的TCAM中的流规则也不断被更新安装。但是由于TCAM是一种价格昂贵且消耗高的部件,交换机中的TCAM通常容量有限。一旦流表饱和,大量的消息将会被转发到控制器,加重控制层与数据层的负载,甚至导致控制器过载瘫痪,网络性能降低。因此,SDN中流表溢出的问题以及如何应对是被关注的一个关键问题。
其中,相较于泛洪式的攻击,慢速流表溢出攻击通常能够以更低的平均攻击速率缓慢达到目的,在同样造成伤害的同时其隐蔽性更高更不易被察觉,在早期更难以及时检测。现有的研究已经表明,攻击者可以提前探测到流表参数例如容量、敏感头部、超时等信息,从而轻易的发起精准的慢速流表溢出攻击来影响网络的性能。而大部分的现有工作都只是在检测到流表溢出后才采取策略进行缓解,但此时流表已经饱和造成了损失。
发明内容
本发明针对SDN中交换机所面临的慢速流表溢出攻击安全隐患,提出了一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。
本发明旨在慢速流表溢出攻击还在发起阶段,交换机流表还未饱和时就能将其检测,同时采取缓解策略,持续性地对流表进行保护。
本发明所提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息,并对流规则进行移除,其检测对象为SDN中的慢速流表溢出攻击,其中的ARIMA是指差分整合移动平均自回归模型,Gini是指基尼系数,DT是指决策树分类。
这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程,具体包括如下步骤:
交换机流表空间监控过程:
S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率,如果占用率超过了设置的占用率阈值,则发送正信号到检测模块进行慢速流表溢出攻击检测,否则发送负信号并持续轮询监控;
慢速流表溢出攻击检测过程:
S2.接收到步骤S1发送的正信号后,检测模块通过使用SDN交换机的读取命令获得其流表,将流表划分为多个检测片并对每一个检测片进行检测,提取每一条流规则的持续时间、包数目、包字节数,并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征:持续时间,包数目,包字节数,平均包字节数,平均包间隔时间;
S3.基于由步骤S2得到的五元原始特征,对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值,得到一个三元特征;
S4.基于由步骤S2得到的五元原始特征,提取检测片内的每一条流规则的平均包字节数和平均包间隔时间,得到两个一元特征组;
S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值;
S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值;
S7.把预测值和基尼系数值与设置的对应阈值进行比较,判断是否发生攻击,具体为:如果预测值小于设置的预测值阈值,并且基尼系数值大于设置的基尼系数值阈值,则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则,此时SDN交换机内已经发生了慢速流表溢出攻击;
S8.如果步骤S7检测到交换机内慢速流表溢出攻击已经发生,则发送正信号到缓解模块,缓解模块开始工作,否则发送负信号到缓解模块,缓解模块保持静默;
慢速流表溢出攻击缓解过程:
S9.接收到步骤S8发送的正信号后,缓解模块开始对当前检测片内的每一条流规则进行识别,调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征,选择其中的包数目、包字节数和平均包字节数,作为缓解模块采用的对每一条流规则进行识别的一个三元特征;
S10.根据每一条流规则的持续时间,使用对应的训练好的DT对其三元特征进行分类识别,输出识别结果;
S11.如果步骤S10中输出的识别结果为正,即认为此条流规则为慢速流表溢出攻击类型的流规则,则缓解模块通过SDN交换机的删除命令将此条流规则移除,识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后,缓解模块进入静默,并监听检测模块下一次发送的信号;
检测模块在接收到一次步骤S1发送的正信号后,检测模块将重复步骤S3~S8直到确保所有的检测片都完成检测;
步骤S10所述的本发明采用的DT是指基于分类回归树(CART)算法的决策树分类;
步骤S10所述的DT具体为,不同持续时间的流规则对应不同级的DT,对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练,对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。
有益效果
本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中,并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量,再利用DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则,达到保护交换机的有限流表空间的目的。该方法使用的多级DT不仅降低了每一个DT模型的训练开销和时间复杂度,还提高了分类时的识别精度。该方法能够在慢速流表溢出攻击还在发起阶段,交换机流表还未饱和时就能将其检测,同时采取缓解策略,持续性地对流表进行监控与保护。
附图说明
图1为本发明方法的流程示意图。
图2为正常流规则与属于慢速流表溢出攻击类型的流规则的包数目、包字节数和平均包字节数的特征示意图。
图3为含有正常流规则与属于慢速流表溢出攻击类型的流规则的检测片的包字节数的平均值、平均包字节数的标准差值和平均包间隔时间的变异系数值的特征示意图。
图4为正常流规则与属于慢速流表溢出攻击类型的流规则被ARIMA和Gini处理后的区分示意图。
图5为本发明使用的不同级的DT的示意图。
图6为应用了本发明方法后,交换机流表空间占用率的示意图。
具体实施方式
下面结合附图对本发明方法进一步说明。
如图1所示为本发明方法的流程示意图:本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程,具体包括如下步骤:
交换机流表空间监控过程:
S1.基于OpenFlow协议,监控模块按照设置的时间间隔,通过使用OVS命令周期性地读取SDN交换机当前流表空间的占用率,检查当前流表空间的占用率是否超过了设置的占用率阈值,如果占用率超过了设置的占用率阈值,则发送正信号到检测模块进行慢速流表溢出攻击检测,否则发送负信号并持续轮询读取监控;
慢速流表溢出攻击检测过程:
S2.接收到步骤S1发送的正信号后,检测模块通过使用SDN交换机的OVS读取命令获得交换机中的流表,将流表划分为多个检测片并对每一个检测片进行检测;
对每一个检测片,提取该检测片对应的流规则的信息,每一条流规则内包含很多信息,本发明方法仅提取每一条流规则的持续时间、包数目、包字节数,计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征:持续时间,包数目,包字节数,平均包字节数,平均包间隔时间;
S3.基于由步骤S2得到的五元原始特征,对检测片内的所有流规则计算包字节数的平均值、平均包字节数的标准差值和平均包间隔时间的变异系数值,得到一个三元特征;
检测片内的所有流规则的包字节数的平均值AB的计算公式为:
其中,N是检测片内流规则总条数,bytesi是第i条流规则的包字节数;
检测片内的所有流规则的平均包字节数的标准差值DAPB的计算公式为:
其中,N是检测片内流规则总条数,bytesi是第i条流规则的包字节数,packetsi是第i条流规则的包数目,apb是平均包字节数的平均值;
检测片内的所有流规则的平均包间隔时间的变异系数值VAPI的计算公式为:
其中,N是检测片内流规则总条数,durationi是第i条流规则的持续时间,packetsi是第i条流规则的包数目,api是平均包间隔时间的平均值;
如图3所示,对于正常流规则的检测片与含有慢速流表溢出攻击的流规则的检测片,步骤S3得到的三个特征值具有区分度,能够体现它们的差异;
S4.基于由步骤S2得到的五元原始特征,提取检测片内的每一条流规则的平均包字节数和平均包间隔时间,得到两个一元特征组;
S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值;
本发明方法使用的ARIMA的计算公式为:
其中,y是以10为底由步骤S3得到的三元特征的乘积的对数,e是白噪声,α和β是权重,μ是常量;
如图4所示,在步骤S5使用ARIMA对三元特征进行处理后,在慢速流表溢出攻击被发起后,ARIMA计算得到的预测值呈现出与正常情况下的差异性;
S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值;
本发明方法使用的Gini的计算公式为:
其中,N是检测片内流规则总条数,M是特征数,Aij表示检测片内第i条流规则的第j个特征,Asum表示检测片内所有特征之和;
如图4所示,在步骤S6使用Gini对特征进行处理后,正常流规则对应的基尼系数值与属于慢速流表溢出攻击类型的流规则的基尼系数值呈现区分性;
S7.把预测值和基尼系数值与设置的对应阈值进行比较,判断是否发生攻击,具体为:
如果预测值小于设置的预测值阈值,并且基尼系数值大于设置的基尼系数值阈值,只有当二者同时满足,才认为当前检测片内已经含有了属于慢速流表溢出攻击类型的流规则,此时交换机内已经发生了慢速流表溢出攻击;
S8.如果步骤S7检测到交换机内慢速流表溢出攻击已经发生,则发送正信号到缓解模块,缓解模块开始工作,否则发送负信号到缓解模块,缓解模块保持静默;
检测模块在接收到一次步骤S1发送到正信号后,其将重复步骤S3~S8直至确保所有的检测片都完成检测;
慢速流表溢出攻击缓解过程:
S9.接收到步骤S8发送的正信号后,缓解模块开始对当前检测片内的每一条流规则进行识别;
缓解模块将首先调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征,但仅选择其中的包数目、包字节数和平均包字节数,作为缓解模块采用的对每一条流规则进行识别的一个三元特征;
如图2所示,正常流规则与属于慢速流表溢出攻击类型的流规则在包数目、包字节数和平均包字节数均呈现出差异;
S10.根据每一条流规则的持续时间,使用对应的训练好的DT对其三元特征进行分类识别,输出识别结果;
步骤S10所述的DT是指基于分类回归树(CART)算法的决策树分类;
步骤S10所述的DT具体为,不同持续时间的流规则对应不同级的DT,对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练,对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练;
如图5所示,根据流规则持续时间的长短,不同持续时间的流规则将被送到由对应同级持续时间预先训练好的DT进行分类识别;
训练不同级的DT对流规则进行识别的优势在于,相较于仅使用一个DT来进行训练和识别,不同级的每一个DT的训练数据量更小,在缩短识别分类时间的同时也提高了其识别的精度;
S11.如果步骤S10中输出的识别结果为正,即认为此条流规则为慢速流表溢出攻击类型的流规则,则缓解模块通过交换机的OVS删除命令将此条流规则从交换机中移除;
识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后,缓解模块进入静默,并监听检测模块下一次发送的信号;
如图6所示,相较于没有使用本方法的交换机流表,在应用了本发明方法对SDN交换机流表进行保护之后,流表空间内绝大部分都是正常流规则,优先保证了正常流规则的安装,而没有使用本方法的交换机流表空间已经由大量的属于慢速流表溢出攻击类型的流规则恶意占据。
本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中,并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量,再利用DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则,达到保护交换机的有限流表空间的目的。同时,该方法使用的多级DT降低了每一个DT模型的训练开销和时间复杂度,并提高了分类时的识别精度。该方法能够在慢速流表溢出攻击还在发起阶段,交换机流表还未饱和时就能将其检测,同时采取缓解策略,持续性地对流表进行监控与保护。
Claims (4)
1.基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,该方法基于OpenFlow协议和OVS命令语句获取 OpenvSwitch类型的SDN交换机信息并对流规则进行移除,其检测对象为SDN中的慢速流表溢出攻击,其中ARIMA是指差分整合移动平均自回归模型,Gini是指基尼系数,DT是指决策树分类,方法包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程,具体包括如下步骤:
交换机流表空间监控过程:
S1. 监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率,如果占用率超过了设置的占用率阈值,则发送正信号到检测模块进行慢速流表溢出攻击检测,否则发送负信号并持续轮询监控;
慢速流表溢出攻击检测过程:
S2. 接收到步骤S1发送的正信号后,检测模块通过使用SDN交换机的读取命令获得其流表,将流表划分为多个检测片并对每一个检测片进行检测,提取每一条流规则的持续时间、包数目、包字节数,并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征:持续时间,包数目,包字节数,平均包字节数,平均包间隔时间;
S3. 基于由步骤S2得到的五元原始特征,对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值,得到一个三元特征;
S4. 基于由步骤S2得到的五元原始特征,提取检测片内的每一条流规则的平均包字节数和平均包间隔时间,得到两个一元特征组;
S5. 使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值,计算公式为:其中,/>是以10为底由步骤S3得到的三元特征的乘积的对数,/>是白噪声,/>和/>是权重,/>是常量;
S6. 使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值,计算公式为:其中,/>是检测片内流规则总条数,/>是特征数,表示检测片内第/>条流规则的第/>个特征,/>表示检测片内所有特征之和;S7. 把预测值和基尼系数值与设置的对应阈值进行比较,判断是否发生攻击,具体为:如果预测值小于设置的预测值阈值,并且基尼系数值大于设置的基尼系数值阈值,则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则,此时SDN交换机内已经发生了慢速流表溢出攻击;
S8. 如果步骤S7检测到SDN交换机内慢速流表溢出攻击已经发生,则发送正信号到缓解模块,缓解模块开始工作,否则发送负信号到缓解模块,缓解模块保持静默;
慢速流表溢出攻击缓解过程:
S9. 接收到步骤S8发送的正信号后,缓解模块开始对当前检测片内的每一条流规则进行识别,调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征,选择其中的包数目、包字节数和平均包字节数,作为缓解模块采用的对每一条流规则进行识别的一个三元特征;
S10. 根据每一条流规则的持续时间,使用对应的训练好的DT对其三元特征进行分类识别,输出识别结果;
S11. 如果步骤S10中输出的识别结果为正,即认为此条流规则为慢速流表溢出攻击类型的流规则,则缓解模块通过SDN交换机的删除命令将此条流规则移除,识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后,缓解模块进入静默,并监听检测模块下一次发送的信号。
2.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,其特征在于检测模块在接收到一次步骤S1发送的正信号后,检测模块将重复步骤S3~S8直到确保所有的检测片都完成检测。
3.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,其特征在于步骤S10所述的DT是指基于分类回归树算法的决策树分类。
4.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法,其特征在于步骤S10所述的DT具体为,不同持续时间的流规则对应不同级的DT,对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练,对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211276177.5A CN115664752B (zh) | 2022-10-19 | 2022-10-19 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211276177.5A CN115664752B (zh) | 2022-10-19 | 2022-10-19 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115664752A CN115664752A (zh) | 2023-01-31 |
CN115664752B true CN115664752B (zh) | 2024-04-19 |
Family
ID=84989181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211276177.5A Active CN115664752B (zh) | 2022-10-19 | 2022-10-19 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115664752B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020181740A1 (zh) * | 2018-12-29 | 2020-09-17 | 长沙理工大学 | 一种高性能的openflow虚拟流表查找方法 |
CN111835750A (zh) * | 2020-07-09 | 2020-10-27 | 中国民航大学 | SDN中基于ARIMA模型的DDoS攻击防御方法 |
CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
CN113824700A (zh) * | 2021-08-31 | 2021-12-21 | 浙江大学 | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
KR102387102B1 (ko) * | 2020-11-13 | 2022-04-14 | 숭실대학교 산학협력단 | Sdn을 위한 플로우 테이블 오버플로우 공격 방어 시스템 및 방법 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL275018A (en) * | 2020-05-31 | 2021-12-01 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ | A system and method for predicting and handling short-term data overflow |
-
2022
- 2022-10-19 CN CN202211276177.5A patent/CN115664752B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020181740A1 (zh) * | 2018-12-29 | 2020-09-17 | 长沙理工大学 | 一种高性能的openflow虚拟流表查找方法 |
CN111835750A (zh) * | 2020-07-09 | 2020-10-27 | 中国民航大学 | SDN中基于ARIMA模型的DDoS攻击防御方法 |
CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
KR102387102B1 (ko) * | 2020-11-13 | 2022-04-14 | 숭실대학교 산학협력단 | Sdn을 위한 플로우 테이블 오버플로우 공격 방어 시스템 및 방법 |
CN113824700A (zh) * | 2021-08-31 | 2021-12-21 | 浙江大学 | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 |
CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
Non-Patent Citations (3)
Title |
---|
OpenFlow交换机流表溢出问题的缓解机制;乔思;胡成臣;李昊;管晓宏;邹建华;;计算机学报;20170924(09);全文 * |
Performance and Features: Mitigating the Low-Rate TCP-Targeted DoS Attack via SDN;Dan Tang;《IEEE Journal on Selected Areas in Communications》;20211108;全文 * |
软件定义网络流表溢出脆弱性分析及防御方法;周亚东;陈凯悦;冷俊园;胡成臣;;西安交通大学学报;20171031(10);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115664752A (zh) | 2023-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101621019B1 (ko) | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 | |
CN110505179B (zh) | 一种网络异常流量的检测方法及系统 | |
KR101623071B1 (ko) | 공격의심 이상징후 탐지 시스템 | |
CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及系统 | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN111817982B (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
EP2241072B1 (en) | Method of detecting anomalies in a communication system using numerical packet features | |
CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
CN114021135B (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
US20060119486A1 (en) | Apparatus and method of detecting network attack situation | |
TWI583152B (zh) | 適用於異質網路架構的異常預測方法及系統 | |
CN109726553B (zh) | 一种基于snn-lof算法的慢速拒绝服务攻击检测方法 | |
CN113037567B (zh) | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 | |
CN110719270A (zh) | 一种基于fcm算法的慢速拒绝服务攻击检测方法 | |
CN112738107A (zh) | 一种网络安全的评价方法、装置、设备及存储介质 | |
Chen | A New Detection Method for Distributed Denial-of-Service Attack Traffic based on Statistical Test. | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
WO2016095440A1 (zh) | 报文的发送处理方法、装置及一种网络设备 | |
CN113824700B (zh) | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 | |
CN115664752B (zh) | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 | |
CN110650124A (zh) | 一种基于多层回声状态网络的网络流量异常检测方法 | |
CN113162939A (zh) | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统 | |
CN116846591A (zh) | 基于二次熵和支持向量机的DDoS攻击分类检测方法 | |
CN102111302B (zh) | 一种蠕虫检测方法 | |
CN111092861A (zh) | 一种通信网络安全预测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |