SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络（Software-Defined Networks,SDN）提出了全新的架构思想,但控制器易受分布式拒绝服务（Distributed Denial of Service,DDoS）的攻击导致资源耗尽. 针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM). 首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能. 在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F₁值.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

SDN中DDoS攻击的高效联合检测和防御机制

为解决软件定义网络(SDN,software-defined networking)控制器所面临的DDoS攻击问题,本文提出一个高效率的联合检测和防御机制.联合检测部分采用改进自组织映射(SOM,self-organizing mapping)算法和多维条件熵算法相结合,通过对自组织映射算法的改进,与多维条件熵算法相互提供反馈信息,达到高效联合检测目的.联合防御部分采用常规防御模块与快速防御模块相结合,通过调整优先级的方式针对不同的检测结果采取不同的防御策略.大量实验表明,本文的联合检测机制可以达到95.2%的检测率;与单独的防御机制相比,联合防御机制中控制器的响应时间可以平均降低0.11s.     

软件定义网络中基于深度神经网络的DDoS攻击检测

针对分布式拒绝服务（Distributed Denial of Service,DDoS）攻击在软件定义网络（Software-Define Networking,SDN）环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%～3.66%,CPU利用率降低了5%.     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

SDN环境下基于PCA-DNN的扫描攻击检测模型研究

随着互联网技术的飞速发展,网络安全问题凸显。攻击者通常使用网络扫描来获取相关信息,为下一步入侵所使用。通过扫描检测来抵御和阻止相关攻击至关重要。软件定义网络(software define network,SDN)的可编程性和控制器的全局视图能力能够快速响应网络中的问题。深度学习在垃圾邮件过滤、智能防火墙、入侵检测和网络管理等方面取得了长足的进步。本文提出了一种SDN中基于主成分分析-深度神经网络(principal component analysis-deep neural networks, PCA-DNN)的扫描攻击检测模型,模拟地址解析协议(address resolution protocol,ARP)、传输控制协议(transmission control protocol,TCP)、用户数据包协议(user datagram protocol,UDP)和因特网控制报文协议(internet control message protocol,ICMP)等4种类型的扫描流量来评估模型。实验表明,该模型节省了计算时间,确保了检测精度,对4种扫描流量的精确率和召回率均达到98%。     

基于LSTM流量预测的DDoS攻击检测方法

提出一种基于长短时记忆(LSTM)神经网络流量预测的分布式拒绝服务(DDoS)攻击检测方法.首先定义了IP数据包统计特征(IPDCF)来表征网络流特征,然后采用LSTM神经网络模型对IPDCF时间序列进行建模,且使用网格搜索和超参数最优法确定Dropout的值以缓解该模型的过拟合现象,最后建立基于IPDCF时间序列的LSTM模型来识别DDoS攻击.实验结果表明:该模型能够准确地预测正常网络流量变化趋势,识别DDoS攻击引起的异常;与同类方法相比,该方法能较早地检测DDoS攻击且漏报率和误报率更低.     

SDN环境下基于Renyi熵的低速率分布式拒绝攻击的检测

针对现在对低速率分布式拒绝攻击的研究不足,提出了一种在软件定义网络(SDN)环境下,利用Renyi熵来检测L-DDoS的方法.该方法首先在控制器上收集PACKET_IN数据包,然后基于目的 IP来计算Renyi熵,最后通过设定一定的阈值来检测异常流量.实验结果表明:相比于利用香农熵的检测方法,该方法通过调整一定目的 IP熵的阶数可以检测L-DDoS攻击流量从而降低误警率.     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

基于组合分类器的DDoS攻击流量分布式检测模型

针对传统攻击流量的集中式检测模型中可扩展性差,检测效率低以及误报率高等问题,设计了针对DDoS攻击流量的随机森林分布式检测模型,该模型包括数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块.将该模型与基于Adaboost算法的分布式检测方法进行比较,并通过实验研究验证了模型的有效性.结果表明:基于随机森林的组合分类器分布式检测模型具有更高的检测率、正确率、精确率以及更低的误报率,并且该模型部署灵活,适用于工程实践.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

BotGuard: Lightweight real-time botnet detection in software defined networks

The distributed detection of botnets may induce heavy computation and communication costs to network devices. Each device in related scheme only has a regional view of Internet, so it is hard to detect botnet comprehensively. In this paper, we propose a lightweight real-time botnet detection framework called Bot-Guard, which uses the global landscape and flexible configurability of software defined network (SDN) to identify botnets promptly. SDN, as a new network framework, can make centralized control in botnet detection, but there are still some challenges in such detections. We give a convex lens imaging graph (CLI-graph) to depict the topology characteristics of botnet, which allows SDN controller to locate attacks separately and mitigate the burden of network devices. The theoretical and experimental results prove that our scheme is capable of timely botnet detecting in SDNs with the accuracy higher than 90% and the delay less than 56 ms.     

基于F分布的无线传感器网络攻击检测方法

针对汇聚函数的输入值易受敌方攻击的问题,提出一种基于F分布的无线传感器网络攻击检测方法。该方法在分布式数据汇聚模型的基础上构造服从F分布的统计量,在虚警率恒定的情况下,可根据统计量的统计特性确定攻击检测的门限阈值,放宽了对节点感知数据先验信息的要求。计算机仿真结果表明新方法的攻击检测率较高,且对噪声干扰的稳健性较强。     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.