SDN环境下基于目的IP地址熵的DDoS攻击检测与易损机制研究

在软件定义网络(Software-Define Networking,SDN)环境下,分布式拒绝服务攻击(Distributed Denial of Service Attacks,DDoS)产生时,交换机中流表项大量增长,同时产生大量的PACKET＿IN消息发往控制器,导致控制器阻塞,从而影响了整个SDN网络.因此,本文提出了一种基于目的 IP地址的信息熵检测与易损评判机制相结合的模型,通过统计窗口内目的 IP地址的信息熵变化,检测SDN网络是否受到DDoS攻击,对于检测出的异常流量,进行目的 IP地址的易损评判,判断其是否易受到DDoS攻击.仿真实验表明,熵值检测模块在25%的攻击速率下检测率达到98%,误警率为2%.易损机制判断模块能在攻击发生初期迅速发现攻击并及时关闭端口,丢包率下降至3.6%,降低了攻击对SDN网络的影响.     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络（Software-Defined Networks,SDN）提出了全新的架构思想,但控制器易受分布式拒绝服务（Distributed Denial of Service,DDoS）的攻击导致资源耗尽. 针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM). 首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能. 在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F₁值.     

SDN环境下基于Renyi熵的低速率分布式拒绝攻击的检测

针对现在对低速率分布式拒绝攻击的研究不足,提出了一种在软件定义网络(SDN)环境下,利用Renyi熵来检测L-DDoS的方法.该方法首先在控制器上收集PACKET_IN数据包,然后基于目的 IP来计算Renyi熵,最后通过设定一定的阈值来检测异常流量.实验结果表明:相比于利用香农熵的检测方法,该方法通过调整一定目的 IP熵的阶数可以检测L-DDoS攻击流量从而降低误警率.     

一种基于熵的DDoS攻击实时检测算法

提出一种轻量级的DDoS(distributed denial of service)攻击检测的有效方法.首先基于滑动窗口技术的熵算法实时检测网络数据包中目的IP地址出现的随机性,然后使用VTP(variance-time plot)方法进行异常检测.实验结果表明,该方法能够实时检测出各种DDoS攻击的存在,特别是能够发现大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

SDN环境下基于KNN的DDoS攻击检测方法

DDo S攻击是当前互联网面临的主要威胁之一,如何快速准确地检测DDo S攻击是网络安全领域研究的热点问题。文中提出了一种在SDN环境下基于KNN算法的模块化DDo S攻击检测方法,该方法选取SDN网络的5个关键流量特征,采用优化的KNN算法对选取的流量特征进行流量异常检测,最后基于NOX控制器和Net FPGA交换机进行了实验验证。实验结果表明:相对其他的分类检测算法,所提的检测方案具有更高的识别率和更低的误报率。     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

一种防御SDN路由欺骗攻击的轻量级解决方案

针对现有技术对某些特定分布式拒绝服务(Distributed Denial of Service, DDoS)攻击检测精度不够的问题,提出了一种防御软件定义网络(Software Defined Network, SDN)中路由欺骗(Route Spoofing, RS)攻击的轻量级解决方案.该方案通过分析路由欺骗产生的原因,在数据平面OpenFlow交换机上设计了选择性阻塞扩展模块,一旦检测器发现RS攻击,交换机将生成的报警包发送给控制器,控制器通过发送转发规则阻止攻击者节点恶意使用其他用户的活动通信路由.仿真结果表明,本文方法可以有效地检测出SDN中的DDoS攻击,相关指标也充分显示了解决方案的可行性和正确性.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络(Software-Defined Networks,SDN)提出了全新的架构思想,但控制器易受分布式拒绝服务(Distributed Denial of Service,DDoS)的攻击导致资源耗尽.针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM).首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能.在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F1值.     

软件定义网络DDoS联合检测系统

分布式拒绝服务(distributed denial-of-service,DDoS)攻击已成为网络安全的最大威胁之一。传统的对抗方式如入侵检测、流量过滤和多重验证等,受限于静态的网络架构,存在明显的缺陷。软件定义网络(software-defined networking,SDN)作为一种新型动态网络体系,其数控分离、集中控制与动态可编程等特性颠覆了现有的网络架构,为对抗DDoS攻击提供了新的思路。现有基于SDN的DDoS防护方案处于研究的起步阶段,且存在较多问题。针对现有方案中检测周期过小将导致系统开销大的问题,该文提出由触发检测和深度检测相结合的DDoS联合检测方案,将低开销、粗粒度的触发检测算法与高精度、细粒度的深度检测算法相结合,在保障高检测精度的前提下降低了系统的复杂度;同时,在Mininet平台上实现了基于SDN的DDoS攻击检测系统,设计实验对系统进行测试和评估。实验结果表明:该系统具有开销小、检测准确率高的特性,实用价值较强。     

基于网络异常流量判断DoS/DDoS攻击的检测算法

为了对泛洪DoS/DDoS(Denial of Service/Distributed Denial of Service)攻击做出准确判断,在对泛洪DoS/DDoS攻击发生时网络流量变化特性进行分析的基础上,给出一种基于网络异常流量判断泛洪DoS/DDoS攻击的检测算法.该算法通过对流量大小和波动趋势的判断,对泛洪DoS/DDoS攻击的发生进行检测.实验结果表明,在不失一般性的基础上,判断泛洪DoS/DDoS攻击的成功率为100%.     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

使用交叉熵检测和分类网络异常流量

针对准确识别网络攻击行为的问题,提出了一种基于交叉熵的流量异常检测和分类方法.首先使用流头部特征属性和行为特征属性对DoS攻击、端口扫描和网络扫描等3种常见攻击进行描述,并使用交叉熵来度量各属性上流量的分布变化,建立各攻击的行为特征向量,然后使用指数加权滑动平均控制图方法对多种交叉熵指标进行异常检测得到检测异常向量,最后以检测异常向量和各行为特征向量的相似度来判别攻击类型.针对路由器中Netflow流量的实验结果表明,对于强度较小的攻击,相比香农熵度量法,交叉熵度量法的攻击分类正判率和精确率平均提高了13%和15%,正确率提高了13%.     

一种针对DDoS flooding攻击的异常检测方案

随着网络用途的不断扩大和Internet互联网络带宽的增加,网络遭受攻击的形式也越来越多,越来越复杂。分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式,尤其以TCP flooding和UDP flooding攻击为代表。文中通过分析DDoS flooding的攻击特点和TCP协议的连接过程,利用网络流量的自相似性等特点,设计出一种针对DDoS flooding攻击的异常检测方案。     

SDN中DDoS攻击的高效联合检测和防御机制

为解决软件定义网络(SDN,software-defined networking)控制器所面临的DDoS攻击问题,本文提出一个高效率的联合检测和防御机制.联合检测部分采用改进自组织映射(SOM,self-organizing mapping)算法和多维条件熵算法相结合,通过对自组织映射算法的改进,与多维条件熵算法相互提供反馈信息,达到高效联合检测目的.联合防御部分采用常规防御模块与快速防御模块相结合,通过调整优先级的方式针对不同的检测结果采取不同的防御策略.大量实验表明,本文的联合检测机制可以达到95.2%的检测率;与单独的防御机制相比,联合防御机制中控制器的响应时间可以平均降低0.11s.