CN106534133A - 一种sdn中基于深度学习的ddos防御装置及方法 - Google Patents
一种sdn中基于深度学习的ddos防御装置及方法 Download PDFInfo
- Publication number
- CN106534133A CN106534133A CN201611027774.9A CN201611027774A CN106534133A CN 106534133 A CN106534133 A CN 106534133A CN 201611027774 A CN201611027774 A CN 201611027774A CN 106534133 A CN106534133 A CN 106534133A
- Authority
- CN
- China
- Prior art keywords
- deep learning
- module
- flow table
- ddos
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SDN中基于深度学习的DDOS防御装置及方法,本发明装置包括特征提取模块、深度学习DDoS检测模块、模型更新模块(Model Updater)、信息统计模块及流表产生模块;本发明利用了特征提取模块提取***中输入数据包的特征,构建特征矩阵,然后将处理后的特征输入到深度学习DDOS检测模块,深度学习DDOS检测模块利用学习好的模型判断当前***中输入的数据包是否为攻击包。本发明利用了深度学习对进入***的数据包检测,相比于传统的DDOS攻击入侵检测方法,在检测效率,准确率上有很大提升。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种SDN中基于深度学习的DDOS防御装置及方法。
背景技术
伴随着全球信息化进程的飞速发展,网络中的攻击者利用网络的***架构以及网络中的服务器***存在的安全漏洞,或窃取网络用户的个人信息,或破坏正常网络环境,或阻止目标主机的正常交互通信,网络环境正遭遇日益严重的安全问题挑战。随着近年来互联网用户数目呈现的***式的增长,新型的网络应用,诸如社交网络、高清在线视频,以及创新性的服务模式,例如云计算、大数据的出现,都对传统网络提出了新的需求,传统的网络体系架构在网络的可控性、可扩展性以及安全性等方面的发展也逐渐出现瓶颈,一些新型的网络体系架构在此背景下相继被提出。
2006年,美国斯坦福大学Clean Slate课题组提出了软件定义网络(SoftwareDefined Network,SDN)的概念。软件定义网络(Software Defined Networking,SDN)作为一种新型的网络体系架构,具有控制平面与数据平面分离、集中控制以及软件可编程的特征,为解决当前传统网络面临的瓶颈,研发网络新型应用以及未来互联网新技术提供了一种创新性的解决方案。SDN新型网络体系架构,其设计思想,决定了其具备数据与控制分离和集中控制两个主要特点,其中,集中控制主要是使用软件控制器对网络数据转发规则进行集中化管理,因此,在SDN网络体系架构中,由于集中化的控制管理,让计算机网络数据转发更加快捷高效,控制器与转发设备之间通过安全通道的连接,某种程度也增强了SDN网络架构的安全性。然而,从另一个角度说,正是由于SDN网络体系架构集中控制和转发分离的特点,因而让攻击者的攻击目标更加明确,某种程度也让SDN网络体系架构变得更加脆弱。
OpenFlow技术的概念最早是由来自斯坦福大学的Nick McKeown教授提出的,进过多年的发展,随着OpenFlow协议标准化的制定与推广,OpenFlow协议目前已成为SDN网络体系架构的主流的南向接口协议之一。然而,SDN在带来网络体系架构方面革新的同时,也在安全防御体系方面带来了新的挑战。
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)则是基于拒绝服务攻击(Denial of Service,DoS)的基础上产生的一种特殊形式的拒绝服务攻击方式,它采用的是一种分布式、协作式的大规模网络攻击方式,主要的攻击目标瞄准为比较大的站点,例如商业公司,搜索引擎或者是政府部门的站点。由于DDoS不同于DoS攻击只需要一个电脑终端和一个调制解调器就可以实现,DDoS的攻击则是利用一批已经受控的机器向一个固定站点同时发起攻击,这样的攻击来势凶猛,令人难以防备,具有更强的破坏性。在SDN新型网络架构中,针对SDN网络体系架构数据控制分离、集中控制的特点,SDN网络体系架构对DDoS攻击的防御也是一个需要考虑的问题。
2006年,机器学习领域的学界泰斗、加拿大多伦多大学的教授Geoffrey Hinton与他的学生Ruslan Salakhutdinov在世界顶级学术刊物《科学》上发表了一篇文章,开启了深度学习在学术界和工业界的浪潮。深度学习技术可通过学习一种深层的非线性的网络结构,来实现对复杂函数逼近,用以表征输入数据分布式表示,并且展现出了强大的从少数样本集中学习数据集本质特征的能力。深度学习技术的本质,是通过构建一种具有大量隐藏层的机器学习模型,以及通过海量的训练数据,来学习客体更有用的特征,从而达到最终能提升分类或预测准确性的目的。深度学习技术这种具有大量隐藏层的好处,是可以通过用较少的参数来表示出复杂的函数客体。由于深度学习的这些特点,近年来,深度学习技术的运用领域越来越广泛。
防御DDOS攻击是SDN架构下保证网络安全的一个重要前提,因此本发明将SDN与深度学习结合,提出了一种SDN中基于深度学习的DDOS防御方法。该方法利用深度学习检测进入***中的数据包是否为攻击包同时做出响应。深度DDoS防御模块独立于OpenFlow,所以该模块还在一定程度上减轻了OpenFlow交换机的运行负载。
发明内容
现有的SDN网络中拒绝服务攻击主要是基于OpenFlow协议的特点来进行实施的。网络攻击检测是一种非常重要的防护网络安全技术,是防御网络攻击的前提。网络攻击检测首先在网络中部署数据采集器,之后对采集到的数据包进行解析,寻找攻击特征进行匹配,匹配成功后认为是不合法行为,对这个行为进行响应。在入侵检测***中,捕获网络中的数据包,通过分析、匹配其中是否具有某种攻击的特征,需要花费更多的时间和***资源,检测效率低,漏报率误报率高
本发明克服了以上不足,提出了一种SDN中基于深度学习的DDOS防御装置及方法。本发明利用了特征提取模块提取***中输入数据包的特征,构建特征矩阵,然后将处理后的特征输入到深度学习DDOS检测模块,深度学习DDOS检测模块利用学习好的模型判断当前***中输入的数据包是否为攻击包。本发明利用了深度学习对进入***的数据包检测,相比于传统的DDOS攻击入侵检测方法,在检测效率,准确率上有很大提升。
本发明一种SDN中基于深度学习的DDOS防御装置,包括特征提取模块(FeaturesExtraction)、深度学习DDoS检测模块(Deep Learning DDoS Detector)、模型更新模块(Model Updater)、信息统计模块(Information Statistics)及流表产生模块(Flow TableGenerator),其中:
1)特征提取模块(Features Extraction):对进入OpenFlow交换机的所有数据包进行特征提取,构建满足深度学习DDoS检测模块(Deep Learning DDoS Detector)输入要求的特征矩阵;
2)深度学习DDoS检测模块(Deep Learning DDoS Detector):使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习,检测当前OpenFlow交换机中输入的数据包是否为攻击包;
3)信息统计模块(Information Statistics):对检测到的攻击包的特征进行提取,并对这些特征出现的频次进行统计;
4)流表产生模块(Flow Table Generator):根据信息统计模块(InformationStatistics)特征统计的结果,确定可以对各类攻击包进行丢弃处理的流表项及其优先级,并将他们下发到OpenFlow交换机;
5)模型更新模块(Model Updater):对深度学习DDoS检测模块(Deep LearningDDoS Detector)的深度学习模型进行更新。
本发明一种SDN中基于深度学习的DDOS防御方法,包含如下步骤:
1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求,特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取,构建特征矩阵,并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector);
2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征,使用已训练好的深度学习模型,检测当前OpenFlow交换机中输入的数据包是否为攻击包,若是,则将攻击包转交给信息统计模块(Information Statistics),否则不做处理;
3)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计,根据所有特征在攻击包中出现的频率确定特征的权值{W},并将相关特征信息及权值转交给流表产生模块(Flow Table Generator);
4)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果,产生可以对具有该类特征的数据包进行丢弃操作的流表项,及这些流表项的优先级;
5)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机;
6)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令,丢弃当前进入OpenFlow交换机的数据包。
进一步地,所述的深度学习DDoS检测模块(Deep Learning DDoS Detector),可由模型更新模块(Module Updater)对其深度学习模型进行动态更新。
进一步地,所述的模型更新模块(Module Updater)可通过网络接收管理者的模型更新指令,并通过网络接收新的模型信息进行更新。
进一步地,所述步骤3)具体包括以下子步骤:
3.1)将攻击包计数器置0,重新设置定时器,周期为T;
3.2)提取的数据包特征按照各自总计数器数值排序,若前后两轮排序没有改变,根据计数器数值频率,确定相应特征权值{W},否则,跳转到步骤3.3);
3.3)根据新的排序确定各个特征的频率,每个特征计数器数值越大,频率越大;
3.4)丢弃频率小于阈值Q的,该频率所对应的攻击包特征,确定剩余攻击包的特征数量N;
3.5)根据统计后的频率{P},频率越大对应的特征的权值越大,根据依次确定每个特征的权值大小,(其中n=0表示最大的特征的权值,ε为一个正数,取0,01),确定特征的权值{W}。
进一步地,所述步骤4)具体包括以下子步骤:
4.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址,确定流表项;
4.2)对每个攻击包所对应的特征项的权值求和,结果最大,所对应的流表项优先级最大。
进一步地,所述步骤5)具体包括以下子步骤:
5.1)定时器重新计时,周期为T,攻击包计数器置0;
5.2)判断该轮攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址和流表项优先级与下发的流表项是否相同,若相同,不做处理,否则跳转到步骤5.3);
5.3)根据OpenFlow流表项结构,分别将攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址填充到流表项匹配域;
5.4)流表项的指令集中包含修改动作集指令,将动作集指令设置为Drop;
5.5)补齐流表项的其他字段,生成流表。
本发明的有益效果如下:
(1)本发明的处理架构采用可扩展的模块化设计,实现了对DDoS威胁的高效检测和灵活处理。
(2)各模块获取数据包信息采用独立的接口设计,降低了模块间的耦合关联性。
(3)各模块使用优化的程序数据结构,细致分割各模块处理子流程,提升了模块间的高内聚特性。
(4)可移植性,兼容目前市场中的多种主流控制器,如OpenDaylight,floodlight等。
附图说明
图1是本发明实施例的SDN中基于深度学习的DDOS防御装置***架构图。
图2是本发明实施例的SDN中基于深度学习的DDOS防御流程图。
图3是本发明实施例的信息统计模块的数据包特征统计流程图。
图4是本发明实施例的流表产生模块的流表产生流程图。
具体实施方式
目前,SDN体系架构大多使用OpenFlow协议作为控制层和数据交换层通信的接口,可以实时地更改网络资源和添加新的交换机规则。OpenFlow协议依赖的是控制器和交换机之间的安全信道,一旦安全信道发生DDOS攻击,断开连接,那么SDN体系架构就因为失去控制器而崩溃瓦解,如果交换机和控制器之间发生DDOS攻击,失去了连接,那么意味着整个网络架构失去了控制层,在这种情况下,可能导致整个网络瘫痪。综上所述,研究一种高效,准确的DDoS安全防御措施迫在眉睫。本发明提供了一种SDN中基于深度学习的DDOS防御装置及方法,主要用来解决SDN网络中如何有效防御DDOS攻击的问题。下面结合附图以及实施例,对本发明进行进一步的说明。
装置实施例
根据本发明的实施例,提供了一种SDN中基于深度学习的DDOS防御装置。图1是SDN中基于深度学习的DDOS防御装置***架构图。该检测装置主要包括以下模块:特征提取模块,深度学习DDoS检测模块、模型更新模块、信息统计模块及流表产生模块,以下对本发明实施例中的各个模块进行详细的说明。
1)特征提取模块:该模块对进入OpenFlow交换机的所有数据包进行特征提取,数据特征预处理及格式转换,构建满足深度学习DDoS检测模块输入要求的特征矩阵,其中包含packet_extract(ip_src,ip_dst,tcp_srcport,udp_srcport,tcp_dstport,udp_dstport,icmp_type)方法,该方法接口定义如下:
1.1)def packet_extract(ip_src,ip_dst,tcp_srcport,udp_srcport,tcp_dstport,udp_dstport,icmp_type):
pass
return packet_extraction
功能:提取输入数据的ip源地址,目的地址,tcp源端口,目的端口,udp源端口,目的端口,icmp类型并转化为相应的提取后的特征;
参数:ip_src,源ip地址,ip_dst,目的ip地址,tcp_srcport,源tcp端口,tcp_dstport,目的tcp端口,udp_srcport,源udp端口,udp_dst,目的udp端口,icmp_type,icmp类型;
返回:packet_extraction,提取后的特征;
1.2)def ip_to_array(ip_str):
pass
return tmp_ip_array
功能:将字符串类型的ip地址转化为临时的32比特的二进制数组;
参数:ip_str,字符串类型的ip地址;
返回:tmp_ip_array,临时的32比特的二进制数组;
1.3)def port_to_array(port_str):
pass
return tmp_port_array
功能:将字符串类型的端口地址转化为临时的16比特的二进制数组;
参数:port_str,字符串类型的端口地址;
返回:tmp_ip_array,临时的16比特的二进制数组;
1.4)def str_list_to_array(str_list):
pass
return output_array.astype(float)
功能:将字符串类型数组转化为float类型的数组;
参数:str_list,字符串类型的数组;
返回:output_array.astype(float),float类型数组;
1.5)def normalize_array(array):
pass
return array.astype(float)
功能:对提取后的特征归一化处理,使其满足深度学习DDOS检测模块输入要求;
参数:array,提取后的特征数组;
返回:array.astype(float),归一化的float类型的数组;
2)深度学习DDoS检测模块(Deep Learning DDoS Detector):使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习,检测当前OpenFlow交换机中输入的数据包是否为攻击包,其中包含predictresult_processing(predict_numpy)方法,该方法接口定义如下:
def predictresult_processing(predict_numpy):
pass
return attackpacket_feature
功能:根据特征提取模块的输入,学习训练保存攻击包特征;
参数:predict_numpy,特征提取模块处理后的数组;
返回:attackpacket_feature,攻击包特征;
3)信息统计模块(Information Statistics):对检测到的攻击包的特征进行提取,并对这些特征出现的频次进行统计,其中包含inverse_packet(numpy_packets)方法,该方法接口定义如下:
3.1)def inverse_packet(numpy_packets):
pass
return entry_feature
功能:提取当前进入OpenFlow交换机的数据包特征进行统计;
参数:numpy_packets,前进入OpenFlow交换机的数据包;
返回:entry_feature,数据包特征;
3.2)def count_feature(feature_list):
pass
return top_feature
功能:统计深度DDoS检测模块保存的特征中,权值最大的特征;
参数:feature_list,特征列表;
返回:top_feature,权值最大的特征;
3.3)def feature_statistics(attackpacket_feature):
pass
return result_feature
功能:统计攻击包的特征对应的权值;
参数:attackpacket_feature,攻击包的特征;
返回:result_feature,特征的权值;
4)流表产生模块(Flow Table Generator):根据信息统计模块(InformationStatistics)特征统计的结果,确定可以对各类攻击包进行丢弃处理的流表项及其优先级,并将他们下发到OpenFlow交换机;
5)模模型更新模块(Model Updater):对深度学习DDoS检测模块(Deep LearningDDoS Detector)的深度学习模型进行更新。
方法实施例
根据本发明的实施例,提供了一种SDN中基于深度学习的DDOS防御方法。图2所示是本发明实施例的SDN中基于深度学习的DDOS防御流程图,图3是本发明实施例的信息统计模块的数据包特征统计流程图,图4是本发明实施例的流表产生模块的流表产生流程图。本发明实施例中,SDN中基于深度学习的DDOS防御方法如下:
1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求,特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取,构建特征矩阵,并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector);
2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征,使用已训练好的深度学习模型,检测当前OpenFlow交换机中输入的数据包是否为攻击包,若是,则将攻击包转交给信息统计模块(Information Statistics),否则,不做处理;
3)管理者通过模型更新模块(Model Updater)判断当前模型检测的准确率是否低于阈值P(P=0.97),若是,则对模型进行更新调整,否则,不做处理;
4)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计,根据所有特征在攻击包中出现的频率确定特征的权值{W},并将相关特征信息及权值转交给流表产生模块(Flow Table Generator);
4.1)将攻击包计数器置0,重新设置定时器,周期为T;
4.2)提取的数据包特征按照各自总计数器数值排序,若前后两轮排序没有改变,根据计数器数值频率,确定相应特征权值{W},否则,跳转到步骤4.3);
4.3)根据新的排序确定各个特征的频率,每个特征计数器数值越大,频率越大;
4.4)丢弃频率小于阈值Q(Q=0.04)的,该频率所对应的攻击包特征,确定剩余攻击包的特征数量N;
4.5)根据统计后的频率{P},频率越大对应的特征的权值越大,根据依次确定每个特征的权值大小,(其中n=0表示最大的特征的权值,ε为一个正数,取0,01),确定特征的权值{W};
5)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果,产生可以对具有该类特征的数据包进行丢弃操作的流表项,及这些流表项的优先级;
5.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址,确定流表项;
5.2)对每个攻击包所对应的特征项的权值求和,结果最大,所对应的流表项优先级最大;
6)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机;
6.1)定时器重新计时,周期为T,攻击包计数器置0;
6.2)判断该轮攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址和流表项优先级与下发的流表项是否相同,若相同,不做处理,否则跳转到步骤6.3);
6.3)根据OpenFlow流表项结构,分别将攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址填充到流表项匹配域;
6.4)流表项的指令集中包含修改动作集指令,将动作集指令设置为Drop;
6.5)补齐流表项的其他字段,生成流表;
7)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令,丢弃当前进入OpenFlow交换机的数据包。
Claims (7)
1.一种SDN中基于深度学习的DDOS防御装置,其特征在于,包括特征提取模块(Features Extraction)、深度学习DDoS检测模块(Deep Learning DDoS Detector)、模型更新模块(Model Updater)、信息统计模块(Information Statistics)及流表产生模块(Flow Table Generator),其中:
1)特征提取模块(Features Extraction):对进入OpenFlow交换机的所有数据包进行特征提取,构建满足深度学习DDoS检测模块(Deep Learning DDoS Detector)输入要求的特征矩阵;
2)深度学习DDoS检测模块(Deep Learning DDoS Detector):使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习,检测当前OpenFlow交换机中输入的数据包是否为攻击包;
3)信息统计模块(Information Statistics):对检测到的攻击包的特征进行提取,并对这些特征出现的频次进行统计;
4)流表产生模块(Flow Table Generator):根据信息统计模块(InformationStatistics)特征统计的结果,确定可以对各类攻击包进行丢弃处理的流表项及其优先级,并将他们下发到OpenFlow交换机;
5)模型更新模块(Model Updater):对深度学习DDoS检测模块(Deep Learning DDoSDetector)的深度学习模型进行更新。
2.一种SDN中基于深度学习的DDOS防御方法,其特征在于,包含如下步骤:
1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求,特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取,构建特征矩阵,并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector);
2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征,使用已训练好的深度学习模型,检测当前OpenFlow交换机中输入的数据包是否为攻击包,若是,则将攻击包转交给信息统计模块(Information Statistics),否则不做处理;
3)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计,根据所有特征在攻击包中出现的频率确定特征的权值{W},并将相关特征信息及权值转交给流表产生模块(Flow Table Generator);
4)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果,产生可以对具有该类特征的数据包进行丢弃操作的流表项,及这些流表项的优先级;
5)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机;
6)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令,丢弃当前进入OpenFlow交换机的数据包。
3.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法,其特征在于,所述的深度学习DDoS检测模块(Deep Learning DDoS Detector),可由模型更新模块(ModuleUpdater)对其深度学习模型进行动态更新。
4.根据权利要求3所述的一种SDN中基于深度学习的DDOS防御方法,其特征在于,所述的模型更新模块(Module Updater)可通过网络接收管理者的模型更新指令,并通过网络接收新的模型信息进行更新。
5.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法,其特征在于,所述步骤3)具体包括以下子步骤:
3.1)将攻击包计数器置0,重新设置定时器,周期为T;
3.2)提取的数据包特征按照各自总计数器数值排序,若前后两轮排序没有改变,根据计数器数值频率,确定相应特征权值{W},否则,跳转到步骤3.3);
3.3)根据新的排序确定各个特征的频率,每个特征计数器数值越大,频率越大;
3.4)丢弃频率小于阈值Q的,该频率所对应的攻击包特征,确定剩余攻击包的特征数量N;
3.5)根据统计后的频率{P},频率越大对应的特征的权值越大,根据依次确定每个特征的权值大小,(其中n=0表示最大的特征的权值,ε为一个正数,取0,01),确定特征的权值{W}。
6.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法,其特征在于,所述步骤4)具体包括以下子步骤:
4.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址,确定流表项;
4.2)对每个攻击包所对应的特征项的权值求和,结果最大,所对应的流表项优先级最大。
7.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法,其特征在于,所述步骤5)具体包括以下子步骤:
5.1)定时器重新计时,周期为T,攻击包计数器置0;
5.2)判断该轮攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址和流表项优先级与下发的流表项是否相同,若相同,不做处理,否则跳转到步骤5.3);
5.3)根据OpenFlow流表项结构,分别将攻击包的特征项所对应的TCP源端口,TCP目的端口,UDP源端口,UDP目的端口,IP源地址,IP目的地址填充到流表项匹配域;
5.4)流表项的指令集中包含修改动作集指令,将动作集指令设置为Drop;
5.5)补齐流表项的其他字段,生成流表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611027774.9A CN106534133B (zh) | 2016-11-17 | 2016-11-17 | 一种sdn中基于深度学习的ddos防御装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611027774.9A CN106534133B (zh) | 2016-11-17 | 2016-11-17 | 一种sdn中基于深度学习的ddos防御装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106534133A true CN106534133A (zh) | 2017-03-22 |
CN106534133B CN106534133B (zh) | 2019-10-29 |
Family
ID=58352783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611027774.9A Active CN106534133B (zh) | 2016-11-17 | 2016-11-17 | 一种sdn中基于深度学习的ddos防御装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106534133B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107122658A (zh) * | 2017-05-08 | 2017-09-01 | 四川长虹电器股份有限公司 | 具有自动学习功能的数据库防御***及方法 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109768981A (zh) * | 2019-01-20 | 2019-05-17 | 北京工业大学 | 一种在sdn架构下基于机器学习的网络攻击防御方法和*** |
CN109831428A (zh) * | 2019-01-29 | 2019-05-31 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
CN112653675A (zh) * | 2020-12-12 | 2021-04-13 | 海南师范大学 | 一种基于深度学习的智能入侵检测方法及其装置 |
CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
CN113194071A (zh) * | 2021-04-02 | 2021-07-30 | 华南理工大学 | SDN中基于无监督深度学习的DDoS检测方法、***及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和*** |
-
2016
- 2016-11-17 CN CN201611027774.9A patent/CN106534133B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和*** |
Non-Patent Citations (2)
Title |
---|
STEFAN SEUFERT等: "Machine Learning for Automatic Defence against Distributed Denial of Service Attacks", 《2007 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS》 * |
张洋: "基于SDN的DDoS 攻击检测和防护机制研究", 《电子测试》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107122658A (zh) * | 2017-05-08 | 2017-09-01 | 四川长虹电器股份有限公司 | 具有自动学习功能的数据库防御***及方法 |
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109040113B (zh) * | 2018-09-04 | 2021-03-19 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109768981B (zh) * | 2019-01-20 | 2021-02-02 | 北京工业大学 | 一种在sdn架构下基于机器学习的网络攻击防御方法和*** |
CN109768981A (zh) * | 2019-01-20 | 2019-05-17 | 北京工业大学 | 一种在sdn架构下基于机器学习的网络攻击防御方法和*** |
CN109831428A (zh) * | 2019-01-29 | 2019-05-31 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
CN109831428B (zh) * | 2019-01-29 | 2021-04-20 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
CN110247893B (zh) * | 2019-05-10 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
CN112653675A (zh) * | 2020-12-12 | 2021-04-13 | 海南师范大学 | 一种基于深度学习的智能入侵检测方法及其装置 |
CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
CN113079158B (zh) * | 2021-04-01 | 2022-01-11 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
CN113194071A (zh) * | 2021-04-02 | 2021-07-30 | 华南理工大学 | SDN中基于无监督深度学习的DDoS检测方法、***及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106534133B (zh) | 2019-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106534133B (zh) | 一种sdn中基于深度学习的ddos防御装置及方法 | |
CN106572107B (zh) | 一种面向软件定义网络的DDoS攻击防御***与方法 | |
Li et al. | Detection and defense of DDoS attack–based on deep learning in OpenFlow‐based SDN | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
Paliwal et al. | Denial-of-service, probing & remote to user (R2L) attack detection using genetic algorithm | |
CN106911669A (zh) | 一种基于深度学习的ddos检测方法 | |
CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
CN107070929A (zh) | 一种工控网络蜜罐*** | |
CN103095711B (zh) | 一种针对网站的应用层DDoS攻击检测方法和防御*** | |
CN109558729B (zh) | 一种网络攻击的智能防御*** | |
CN107196930B (zh) | 计算机网络异常检测的方法 | |
CN105306463B (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
CN103457909B (zh) | 一种僵尸网络检测方法及装置 | |
CN107277039A (zh) | 一种网络攻击数据分析及智能处理方法 | |
CN107360145A (zh) | 一种多节点蜜罐***及其数据分析方法 | |
CN105187437B (zh) | 一种sdn网络拒绝服务攻击的集中式检测*** | |
CN108718297A (zh) | 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质 | |
CN104135490A (zh) | 入侵检测***分析方法和入侵检测*** | |
CN112995202A (zh) | 一种基于SDN的DDoS攻击检测方法 | |
Jing-xin et al. | A network intrusion detection system based on the artificial neural networks | |
CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 | |
CN113489694B (zh) | 一种蜜场***中抗大流量攻击的动态防御*** | |
Nguyen | A scheme for building a dataset for intrusion detection systems | |
Jiang et al. | A highly efficient remote access Trojan detection method | |
Meng et al. | Network Intrusion Detection Model Based on Artificial Intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |