SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

软件定义网络中基于深度神经网络的DDoS攻击检测

针对分布式拒绝服务（Distributed Denial of Service,DDoS）攻击在软件定义网络（Software-Define Networking,SDN）环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%～3.66%,CPU利用率降低了5%.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

SDN环境下基于目的IP地址熵的DDoS攻击检测与易损机制研究

在软件定义网络(Software-Define Networking,SDN)环境下,分布式拒绝服务攻击(Distributed Denial of Service Attacks,DDoS)产生时,交换机中流表项大量增长,同时产生大量的PACKET＿IN消息发往控制器,导致控制器阻塞,从而影响了整个SDN网络.因此,本文提出了一种基于目的 IP地址的信息熵检测与易损评判机制相结合的模型,通过统计窗口内目的 IP地址的信息熵变化,检测SDN网络是否受到DDoS攻击,对于检测出的异常流量,进行目的 IP地址的易损评判,判断其是否易受到DDoS攻击.仿真实验表明,熵值检测模块在25%的攻击速率下检测率达到98%,误警率为2%.易损机制判断模块能在攻击发生初期迅速发现攻击并及时关闭端口,丢包率下降至3.6%,降低了攻击对SDN网络的影响.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络（Software-Defined Networks,SDN）提出了全新的架构思想,但控制器易受分布式拒绝服务（Distributed Denial of Service,DDoS）的攻击导致资源耗尽. 针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM). 首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能. 在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F₁值.     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

软件定义网络DDoS联合检测系统

分布式拒绝服务(distributed denial-of-service,DDoS)攻击已成为网络安全的最大威胁之一。传统的对抗方式如入侵检测、流量过滤和多重验证等,受限于静态的网络架构,存在明显的缺陷。软件定义网络(software-defined networking,SDN)作为一种新型动态网络体系,其数控分离、集中控制与动态可编程等特性颠覆了现有的网络架构,为对抗DDoS攻击提供了新的思路。现有基于SDN的DDoS防护方案处于研究的起步阶段,且存在较多问题。针对现有方案中检测周期过小将导致系统开销大的问题,该文提出由触发检测和深度检测相结合的DDoS联合检测方案,将低开销、粗粒度的触发检测算法与高精度、细粒度的深度检测算法相结合,在保障高检测精度的前提下降低了系统的复杂度;同时,在Mininet平台上实现了基于SDN的DDoS攻击检测系统,设计实验对系统进行测试和评估。实验结果表明:该系统具有开销小、检测准确率高的特性,实用价值较强。     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络(Software-Defined Networks,SDN)提出了全新的架构思想,但控制器易受分布式拒绝服务(Distributed Denial of Service,DDoS)的攻击导致资源耗尽.针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM).首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能.在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F1值.     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

R/S和小波分析法检测DDoS攻击的研究与比较

为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两种方法检测DDoS攻击的思想和算法。实验表明,对于强DDoS攻击,两种方法都具有较好的效果,对于弱攻击,R/S法难以检测到,而小波分析方法有效。     

基于网络流量自相似的DDoS攻击检测方法

分布式拒绝服务攻击(DDoS)是目前黑客经常采用并极为有效的网站攻击手段。本文在验证局域网流量具有严格自相似性的同时,介绍了常用的Hurst参数计算方法。通过大量实验研究了DDoS攻击对Hurst系数产生的定量影响,并在实验数据分析的基础上,提出了攻击发生和结束的准确判据。实验结果显示,该方法性能良好。     

用于DDoS攻击检测的自相似网络流量生成

由于DDoS攻击会破坏或者影响网络正常流量的自相似特性,据此来检测DDoS攻击是一种行之有效的方法;然而如何生成网络正常流量,是DDoS攻击检测的一个关键部分.描述了一种生成自相似网络流量的方法,并运用该方法实现了生成自相似网络流量的网络流量模拟子系统,解决了DDoS攻击检测所需的正常流量问题.     

基于NS2的DDoS入侵流模拟

根据网络流量自相似性的形成机理和DDoS攻击流的特点,综合网络中两种常见协议：TCP和UDP协议,提出了一个新的基于NS2的DDoS入侵流模拟方法,实验结果表明,使用该法得到的模拟背景流保持了真实的网络业务流自相似性特征,可用于对入侵流流量特征方面的分析研究。     

自适应参数的网络异常流量检测方法

分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.分析了参数的设置对误报警、动态调整报警阈值等的影响.实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.     

Detecting DDoS Attacks against Web Server Using Time Series Analysis

Distributed Denial of Service （DDoS） attack is a major threat to the availability of Web service. The inherent presence of self-similarity in Web traffic motivates the applicability of time series analysis in the study of the burst feature of DDoS attack. This paper presents a method of detecting DDoS attacks against Web server by analyzing the abrupt change of time series data obtained from Web traffic. Time series data are specified in reference sliding window and test sliding window, and the abrupt change is modeled using Auto-Regressive （AR） process. By comparing two adjacent nonoverlapping windows of the time series, the attack traffic could be detected at a time point. Combined with alarm correlation and location correlation, not only the presence of DDoS attack, but also its occurring time and location can be deter mined. The experimental results in a test environment are illustrated to justify our method.