共查询到20条相似文献,搜索用时 46 毫秒
1.
针对分布式拒绝服务(Distributed Denial of Service,DDoS)攻击在软件定义网络(Software-Define Networking,SDN)环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%~3.66%,CPU利用率降低了5%. 相似文献
2.
《西南师范大学学报(自然科学版)》2017,(3)
针对软件定义网络(SDN)的监控效果问题,提出了一种可对网络应用屏蔽底层细节的软件定义网络监控框架及一种自适应的的网络监控算法.该算法通过可变频率流量统计策略动态调整监控采样周期,从而在监控准确率和网络负载之间维持平衡.监控框架通过应用程序接口为上层应用提供监控算法接口,并与底层网络进行数据交互,从而实现了屏蔽底层网络复杂性的监控.实验结果表明,该框架与算法具有较小的监控误差和较低的流量负载,是一种理想的SDN监控方法. 相似文献
3.
针对软件定义网络(SDN)的监控效果问题,提出了一种可对网络应用屏蔽底层细节的软件定义网络监控框架及一种自适应的的网络监控算法.该算法通过可变频率流量统计策略动态调整监控采样周期,从而在监控准确率和网络负载之间维持平衡.监控框架通过应用程序接口为上层应用提供监控算法接口,并与底层网络进行数据交互,从而实现了屏蔽底层网络复杂性的监控.实验结果表明,该框架与算法具有较小的监控误差和较低的流量负载,是一种理想的SDN监控方法. 相似文献
4.
《中南民族大学学报(自然科学版)》2017,(3):131-136
针对现在对低速率分布式拒绝攻击的研究不足,提出了一种在软件定义网络(SDN)环境下,利用Renyi熵来检测L-DDoS的方法.该方法首先在控制器上收集PACKET_IN数据包,然后基于目的 IP来计算Renyi熵,最后通过设定一定的阈值来检测异常流量.实验结果表明:相比于利用香农熵的检测方法,该方法通过调整一定目的 IP熵的阶数可以检测L-DDoS攻击流量从而降低误警率. 相似文献
5.
现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性. 相似文献
6.
《清华大学学报(自然科学版)》2015,(8)
软件定义网络(SDN)是未来互联网研究领域中的重要课题。该文首先测量和分析SDN中现有的移动性管理方案所面临的问题,包括用户移动过程中数据包时延大和网络控制开销大等;并以减少时延和降低控制开销为目标,设计一种快速移动性管理方案,该方案采用隧道和流表转发相结合的方式来实现移动性管理,减少数据平面与控制平面的交互。模拟实验表明:与SDN中现有的移动性管理方案相比,快速移动性管理方案使得终端移动过程中的数据包往返时延减少了10倍左右,SDN为移动用户而产生的控制开销降低了一半以上。 相似文献
7.
针对现有技术对某些特定分布式拒绝服务(Distributed Denial of Service, DDoS)攻击检测精度不够的问题,提出了一种防御软件定义网络(Software Defined Network, SDN)中路由欺骗(Route Spoofing, RS)攻击的轻量级解决方案.该方案通过分析路由欺骗产生的原因,在数据平面OpenFlow交换机上设计了选择性阻塞扩展模块,一旦检测器发现RS攻击,交换机将生成的报警包发送给控制器,控制器通过发送转发规则阻止攻击者节点恶意使用其他用户的活动通信路由.仿真结果表明,本文方法可以有效地检测出SDN中的DDoS攻击,相关指标也充分显示了解决方案的可行性和正确性. 相似文献
8.
《江苏大学学报(自然科学版)》2016,(2)
为创建防范攻击和流监测功能为一体的网络安全环境,基于软件定义网络(SDN)分离网络数据平面和控制平面的天然特性,利用Open Flow协议以流集中管控网络的方式综合接入控制和网络审计2种网络安全技术,提出了一种基于SDN的流接入安全系统(SDN-FASS).设计了SDNFASS体系结构,讨论了它提供接入控制和审计功能的工作过程,并研究了接入控制的安全策略及网络审计的流日志提取与分析几个关键技术.为测试SDN-FASS的接入控制和网络安全审计特性,搭建了一个原型系统,并进行了多维控制和流日志回溯分析的试验.结果表明,该系统具有灵活定义网络接入控制安全策略;在线高效获取流记录以及以毫秒级速度快速搜索海量流日志;不仅能够用于防范网络外部的攻击,而且能够用于监测网络内部的非法操作. 相似文献
9.
软件定义网络(software defined networking,SDN)的网络拓扑中,链路故障恢复目标是保证故障恢复时延在可容忍范围内、减少数据包丢失和节约交换机存储资源.现有研究方法对链路故障恢复考虑了恢复时延、数据包丢失率、网络吞吐量等因素,没有考虑数据流对网络带宽的要求及运营商/用户的一些特殊限制.为了解决以上问题,同时满足故障恢复时延要求和运营商/用户定制化需求,提出了基于流类型的SDN数据平面故障恢复算法(failure recovery algorithm based on flow type in SDN data plane,FR-FT).该方法根据服务质量要求将数据流分为3类,将运营商/客户的定制化需求绑定到不同数据流上,根据对应约束条件对不同类型数据流制定不同故障恢复策略.仿真结果表明,该方法可以减少交换机流表项消耗、故障恢复时延、数据包丢失率. 相似文献
10.
11.
DDo S攻击是当前互联网面临的主要威胁之一,如何快速准确地检测DDo S攻击是网络安全领域研究的热点问题。文中提出了一种在SDN环境下基于KNN算法的模块化DDo S攻击检测方法,该方法选取SDN网络的5个关键流量特征,采用优化的KNN算法对选取的流量特征进行流量异常检测,最后基于NOX控制器和Net FPGA交换机进行了实验验证。实验结果表明:相对其他的分类检测算法,所提的检测方案具有更高的识别率和更低的误报率。 相似文献
12.
针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数. 相似文献
13.
《天津理工大学学报》2020,(4)
在软件定义网络(Software-Define Networking,SDN)环境下,分布式拒绝服务攻击(Distributed Denial of Service Attacks,DDoS)产生时,交换机中流表项大量增长,同时产生大量的PACKET_IN消息发往控制器,导致控制器阻塞,从而影响了整个SDN网络.因此,本文提出了一种基于目的 IP地址的信息熵检测与易损评判机制相结合的模型,通过统计窗口内目的 IP地址的信息熵变化,检测SDN网络是否受到DDoS攻击,对于检测出的异常流量,进行目的 IP地址的易损评判,判断其是否易受到DDoS攻击.仿真实验表明,熵值检测模块在25%的攻击速率下检测率达到98%,误警率为2%.易损机制判断模块能在攻击发生初期迅速发现攻击并及时关闭端口,丢包率下降至3.6%,降低了攻击对SDN网络的影响. 相似文献
14.
分布式拒绝服务(DDoS)攻击是一种资源占用型的攻击行为,通过发出海量数据包,造成设备负载过高,最终导致网络带宽或设备资源耗尽。当用户系统受到DDoS攻击时,将用户流量牵引到异常流量清洗设备进行清洗,并将清洗后的正常流量回注给用户,用户接收到的是正常的访问流量,从而实现DDoS攻击防护。 相似文献
15.
针对Crossfire分布式拒绝服务(distributed denial of service,DDoS)攻击,该文提出一种基于软件定义网络(software defined network,SDN)的攻击防御机制。在对Crossfire攻击分析基础上,设计一个SDN流量层级的集中监测及分流控制模型并部署到防御机制中,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。利用SDN的移动目标防御(mobile target defense,MTD)机制动态调整网络配置和网络行为并诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率。实验结果表明:该机制可以有效防御Crossfire攻击且SDN的防御机制和重路由策略不会造成显著开销。 相似文献
16.
软件定义网络(software defined network,SDN)作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击(distributed denial of service,DDoS)是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。 相似文献
17.
分布式拒绝服务(distributed denial of service,DDoS)攻击能够在短时间内产生巨量的数据包耗尽目标主机或网络的资源,经过研究发现这些伪造的数据包在一个特定的时间内有着合法数据包所不具备的函数特点。因此,本文提出了行为分布的模型,一旦有可疑流流入服务器,则开始计算这些可疑流的行为分布差异,如果该差异小于一个设定的阈值,则判断有DDoS攻击发生;反之则为合法的数据访问。根据NS-3的模拟实验,证明该模型能够有效的从合法访问中区分出DDoS攻击流,对提前控制DDoS攻击的发生具有重要的意义。 相似文献
18.
《天津理工大学学报》2022,(1):43-48
随着互联网技术的飞速发展,网络安全问题凸显。攻击者通常使用网络扫描来获取相关信息,为下一步入侵所使用。通过扫描检测来抵御和阻止相关攻击至关重要。软件定义网络(software define network,SDN)的可编程性和控制器的全局视图能力能够快速响应网络中的问题。深度学习在垃圾邮件过滤、智能防火墙、入侵检测和网络管理等方面取得了长足的进步。本文提出了一种SDN中基于主成分分析-深度神经网络(principal component analysis-deep neural networks, PCA-DNN)的扫描攻击检测模型,模拟地址解析协议(address resolution protocol,ARP)、传输控制协议(transmission control protocol,TCP)、用户数据包协议(user datagram protocol,UDP)和因特网控制报文协议(internet control message protocol,ICMP)等4种类型的扫描流量来评估模型。实验表明,该模型节省了计算时间,确保了检测精度,对4种扫描流量的精确率和召回率均达到98%。 相似文献
19.
为提高内容分发网络(content delivery network,CDN)分发管道的智能分配响应速度,文章提出了一种基于CDN和软件定义网络(software defined network,SDN)相结合的相关架构。该结构是将SDN的控制与转发分离架构和CDN网络结合,将CDN网络的转发平面与控制平面分离,将控制平面集中起来,并将SDN的控制平面划分区域管理,使得数据转发时的管道更加智能和迅速,区域划分则能让用户在管理上更加清晰明了,流量管道的转发上也更加透明。最后与传统CDN-SDN架构进行对比,结果表明该文所提出的架构比以往的架构在数据转发时管道智能选择以及连接方面有了一定的优化提升。 相似文献
20.
针对传感器到控制器通信信道上存在拒绝服务(DoS)攻击的信息物理系统的安全问题进行研究.首先,基于系统的定周期采样策略,设计了事件触发的通信策略,以减少通信资源的占用.同时,为降低DoS攻击给系统带来的不良影响,提出了一种基于预测控制的数据补偿方法,在控制器节点中,通过成功接收到的历史状态信息得到系统受攻击导致状态信息丢失情况下的状态预测值,并给出控制器反馈增益的表达式.随后,提出了事件触发预测控制下的系统闭环模型,分析了系统闭环稳定的充分条件.最后,通过仿真实例证明了该方法的有效性. 相似文献