SDN网络中基于流特征值的DDoS攻击检测方法

DDo S攻击对互联网信息安全构成严重威胁,是网络空间安全领域研究的重要热点。通过对比传统网络环境及软件定义网络环境的攻击检测研究,提出基于软件定义网络的流特征值的DDo S攻击检测判断研究。利用SDN控制器的集中控制特性,提取流表中的与DDo S相关的六元组特征值信息,进行DDo S攻击检测判断研究。     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

WEB日志中基于KNN算法的注入式攻击行为检测方法研究

阐述了注入式攻击及KNN算法的相关概念并探讨了注入式攻击行为检测与文本分类技术的关系.结合KNN算法的优点及注入式攻击行为检测与文本分类的相似性,提出了Web日志中基于KNN算法的注入式攻击检测方法,给出了其计算模型,并进行了检测对此.结果表明,该方法具有良好的检测准确度.     

一种保护代理的移动目标防御方法

DDo S攻击对关键基础设施和互联网服务构成重大威胁.在客户和应用服务器之间引入代理作为中间层的防御架构,恶意客户端能在发起DDo S攻击之前收集大量代理信息.为阻止系统受到来自内部人员发起的DDo S攻击、防止代理信息泄露,提出一种保护代理的移动目标防御架构PPMTD:提出代理隐藏算法,通过在身份验证服务器与应用服务器之间构造虚拟代理地址,实现对真实代理地址的隐藏;给出代理动态演化过程;将代理保护方案与代理地址转换算法结合,可有效减轻整个系统被攻击的概率、达到主动防御的目的.仿真实验验证了提出的隐藏算法可有效的降低代理被发现、系统被攻击的概率.     

软件定义网络中基于深度神经网络的DDoS攻击检测

针对分布式拒绝服务（Distributed Denial of Service,DDoS）攻击在软件定义网络（Software-Define Networking,SDN）环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%～3.66%,CPU利用率降低了5%.     

基于CUSUM算法的LDoS攻击检测方法

低速率拒绝服务LDoS攻击具有流量发送速率低、隐蔽性强、具有突发性以及造成危害大的特点,融入正常流量中难以被传统的DoS攻击检测机制发现.针对该攻击方式突发性特点,分析路由器受到LDoS攻击时流量特征的统计异常,将路由器入口流量的均值与正常阈值相比较,提出了基于累积和CUSUM算法的检测方法.该方法基于突变假设检验,对到达流量分析变点前后流量的累积和特征,通过将分析得到的累积和与设定的门限值比较来实现LDoS攻击的检测.实验通过调整算法参数来优化检测性能,通过基于NS-2搭建的仿真实验平台表明,该方法具有较好的检测性能.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络(Software-Defined Networks,SDN)提出了全新的架构思想,但控制器易受分布式拒绝服务(Distributed Denial of Service,DDoS)的攻击导致资源耗尽.针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM).首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能.在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F1值.     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.