CN107483512B - 基于时间特征的SDN控制器DDoS检测与防御方法 - Google Patents

基于时间特征的SDN控制器DDoS检测与防御方法 Download PDF

Info

Publication number
CN107483512B
CN107483512B CN201710940170.1A CN201710940170A CN107483512B CN 107483512 B CN107483512 B CN 107483512B CN 201710940170 A CN201710940170 A CN 201710940170A CN 107483512 B CN107483512 B CN 107483512B
Authority
CN
China
Prior art keywords
time
flow table
port
ddos attack
sdn controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710940170.1A
Other languages
English (en)
Other versions
CN107483512A (zh
Inventor
崔杰
何建涛
仲红
许艳
石润华
陈志立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui University
Original Assignee
Anhui University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui University filed Critical Anhui University
Priority to CN201710940170.1A priority Critical patent/CN107483512B/zh
Publication of CN107483512A publication Critical patent/CN107483512A/zh
Application granted granted Critical
Publication of CN107483512B publication Critical patent/CN107483512B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于时间特征的SDN控制器DDoS攻击检测与防御方法,包括以下步骤:收集SDN交换机流表项统计数据;根据流表项统计数据计算流表在时间维度上的变化特性;使用BP神经网络对流表的时间特征样本进行训练,得到检测DDoS攻击所需的特征模式;使用BP神经网络对实时计算得到的时间特征进行判别,检测DDoS攻击;计算特定流表项的时间特征,动态地对受害端口进行恢复。本发明将SDN交换机流表的时间特征与BP神经网络相结合实现了检测针对SDN控制器的DDoS攻击这一目标,与现有方法相比可以更快速、全面地检测到针对控制器的DDoS攻击,并且支持后续对受害端口的动态恢复,减少了误封对正常业务的影响。

Description

基于时间特征的SDN控制器DDoS检测与防御方法
技术领域
本发明涉及一种SDN与DDoS攻击检测技术,具体涉及一种基于时间特征的SDN控制器DDoS攻击检测与防御方法。
背景技术
SDN,即软件定义网络,作为一种新型的网络架构,是为了解决日益庞大的网络的管理与配置问题而产生的。
传统网络面临的问题有:传统网络中的控制与转发平面是分布式且耦合的,当网络的规模不断增大会使得对整个网络的管理和配置变得十分困难:分布式的控制平面使得网络决策需要多个交换机协作,越庞大的网络需要越长的时间对网络事件进行决策,当网络达到一定规模后,网络的管理将变得十分困难;控制平面与转发平面的耦合导致两个平面互相限制,大大减慢了两个平面的技术革新速度。
在SDN中控制平面和转发平面解耦和:其中控制平面为集中式,主要由SDN控制器组成,负责进行网络中所有决策;而转发平面为分布式,主要由SDN交换机组成,负责执行控制平面的决策。集中式的控制平面可以产生网络的全局视图,可以更快地对网络事件进行响应,而不需要等待交换机之间的状态同步,更重要的是SDN控制器由软件实现,支持编程进行功能的修改,真正使得网络可以通过软件定义;解耦和后的转发平面可以专注于数据转发,进而提高数据转发的速度。控制平面与转发平面的解耦和也使得两个平面可以分别更新而互不影响,加快了两个平面的技术革新。
虽然SDN相比传统网络具有更灵活、可编程的优点,同时也会产生传统网络中不存在的问题,例如控制平面的单点故障问题。由于SDN中控制平面是集中式的,所有网络决策都由控制平面处理,一旦控制平面发生故障失去了决策能力,整个网络将陷入瘫痪状态,所有业务将被强制中断。而DDoS攻击,即分布式拒绝服务攻击,作为一种传统的网络攻击方式,可以造成受害者资源耗尽失去处理能力,在SDN环境下,针对SDN控制器的DDoS攻击相比于传统的DDoS攻击将造成更大的危害。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供种基于时间特征的SDN控制器DDoS攻击检测与防御方法。
技术方案:本发明的一种基于时间特征的SDN控制器DDoS攻击检测与防御方法,包括以下步骤:
(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t1内SDN交换机的流表项集合FP的统计数据,并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间;
(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征模式;
(3)在训练阶段,BP神经网络接收时间特征向量并进行迭代训练,经过足量训练最终得到用于检测DDoS攻击的时间特征模式;
(4)在测试阶段,BP神经网络对实时计算得到的时间特征进行检测,一旦检测到DDoS攻击则封禁端口;
(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表,并通过特定流表项(对应端口的封禁流表项)的统计数据计算端口的时间特征,动态地将恢复正常的端口解封。
所述步骤(1)的具体过程为:
(1.1)数据收集模块以周期t1向SDN控制器请求SDN交换机S流表项集合的统计数据;
(1.2)数据收集模块根据SDN交换机端口号P对流表项集合进行划分,通过提取流表项信息的入端口字段并对流表项集合进行划分,得到各个端口的流表项集合FP
(1.3)筛选得到端口P对应流表项数目Num,流表项f命中数据包数目FlowCount、存在时间Duration,即任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num,FlowCount,Duration,f),且f∈FP;计算端口P的流表命中率:
所述步骤(2)的具体过程为:
(2.1)特征计算模块以周期t2向数据收集模块请求t2时间内SDN交换机各个端口的流表命中率总共得到的命中率数据数目为t2/t1,t2是t1的整数倍;
(2.2)特征计算模块计算任意t1时间中交换机端口流表命中率的变化率,其中t代表时间t1间隔的起始时间,可为任意时刻:
(2.3)特征计算模块得到t2时间内共有t2/t1-1个变化特性,组成时间特征向量该时间特征向量的维度为t2/t1-1,其中t为统计时间。
所述步骤(2.2)的具体方法为:
统计时间t与t+t1流表集合所有流表项命中数据包总数,统计时间t与t+t1流表集合所有流表项存在时间总和,分别计算时间t与t+t1每条流表项在单位时间命中的数据包数与流表项数目的比值作为实时特征值,并使用时间t+t1与时间t的特征值之比作为t1时间内的变化特性。
所述步骤(3)的具体过程为:
(3.1)对每个时间特征向量进行标定,即时间特征向量对应正常流量或DDoS攻击模式,通过人工进行最终产生目标向量(Normal,Abnormal);
(3.2)将时间特征向量与其对应模式输入BP神经网络并调整参数:将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次训练后,BP神经网络根据输出向量与目标向量的误差对连接层之间的权重矩阵进行调整;
(3.3)使用大量样本重复进行训练直到满足误差要求,最终得到两个权重矩阵,分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights,这两个矩阵将被用于BP神经网络测试使用。
所述步骤(4)的具体过程为:
(4.1)使用特征收集模块与特征计算模块计算得到SDN交换机端口实时的时间特征;
(4.2)将实时的时间特征输入到BP神经网络,得到测试结果,该测试结果为正常模式或者DDoS攻击模式,并根据测试结果更新两个权重矩阵,保持持续的学习过程;
(4.3)当测试结果对应DDoS攻击模式时,下发流表项封禁对应端口。
所述步骤(4.3)的具体方法为:
对于检测结果为DDoS攻击模式的端口下发流表:流表匹配域为端口号,动作域为丢弃,超时时间为无穷,仅能通过手动或者动态恢复模块进行删除。
所述步骤(5)的具体过程为:
(51)遍历封禁端口列表,列表为空则返回;
(52)计算正常端口集合的综合流表命中率;
(53)计算封禁端口的流表命中率,与正常端口命中率比较,如果在可接受范围内则删除对应封禁流表项。
有益效果:与现有技术相比,本发明具有以下优点:
(1)本发明所检测的DDoS攻击针对于SDN控制器,使用了SDN交换机中流表的统计数据,由于传统网络中使用的交换机与SDN交换机工作模式差异巨大,故传统DDoS攻击检测方法中无法使用该类型特征,故本发明相比传统DDoS攻击检测方法更具有针对性,更加适用于部署于SDN中检测针对SDN控制器的DDoS攻击。
(2)本发明考虑当DDoS攻击发生时交换机流表统计数据在时间维度上的变化情况,以梯度值而非实时数值作为检测DDoS攻击的阈值,可在DDoS攻击发生的初期检测到DDoS攻击并及时进行抵御,减少DDoS攻击造成的危害;以多段时间梯度作为检测DDoS攻击的阈值可使得DDoS攻击检测模型覆盖更多不同规模的DDoS攻击,因为不同规模DDoS攻击攻击产生的流量模式是类似的。
(3)本发明考虑DDoS攻击防御后的端口动态恢复功能:即使DDoS攻击检测出现了误封,也能通过端口恢复模块在短时间内对误封端口进行恢复;而持续遭受DDoS攻击的端口则需要更长时间恢复,因为该类型端口再次受到DDoS攻击的概率远大于其它端口。
附图说明
图1为本发明的整体流程图;
图2为本发明使用情境的角色示意图;
图3为本发明中步骤(1)的具体流程图;
图4为本发明中步骤(2)的具体流程图;
图5为本发明中步骤(3)的具体流程图;
图6为本发明中步骤(4)的具体流程图;
图7为本发明中步骤(5)的具体流程图;
图8为实施例中网络拓扑示意图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
本发明中相关技术术语的含义如下:
SDN控制器是指在SDN中进行所有决策的控制中心,也是DDoS攻击的目标和防御的重点。
流表项是指SDN交换机中用于匹配数据流并指示处理动作的规则,由匹配域、动作域、统计数据组成。
SDN交换机是指SDN中负责执行SDN控制器命令的新型交换机,在SDN交换机中存在流表,SDN控制器将决策以流表项的形式下发,SDN交换机按照流表项规则处理数据包,同时对流表项进行统计,包括存在时间、命中数据包数、命中字节数,而对未知的包则产生Packet_in消息至SDN控制器。在DDoS攻击中SDN交换机成为攻击过程的中转设备,但同时也作为DDoS攻击模式数据的提供设备。
Packet_in消息是指当SDN交换机无法匹配数据包时会将数据包头封装为一个消息发送至SDN控制器,以便SDN控制器进行决策,该消息称为Packet_in消息。
流表项统计数据是指SDN交换机中对每条流表项的统计数据,包括流表项数目、流表项存在时间、流表项命中数据包数。
时间特征是指SDN交换机中流表项的统计数据通过计算得到流量特征值,该值在时间维度上的变化情况。
DDoS攻击是指一种通过不断向受害者发送数据包或者通过协议漏洞耗尽受害者网络、计算资源的攻击方式,最终目的为瘫痪受害者的对外访问或服务能力,SDN中存在针对SDN控制器的DDoS攻击,通过产生大量Packet_in消息对SDN控制器进行DDoS攻击。
BOT-NET是指DDoS攻击者控制的主机网络,往往BOT-NET中的主机存在后门程序,攻击者通过后门程序下达攻击命令,对受害者发送大量数据包。
BP神经网络是指一种反向传播误差神经网络,主要由输入层、隐层、输出层组成,在训练过程中由输入正向计算出结果并通过结果和目标的误差反向调整各层之间的权重参数,故称BP神经网络。
如图1所示,本发明的基于时间特征的SDN控制器DDoS攻击检测与防御方法,依次包括以下步骤:
(1)数据收集模块向控制器请求交换机的流表项集合的统计数据,并将数据传送至特征计算模块。
(2)特征计算模块收集到定量统计数据后计算得到交换机的端口的流表的时间特征。
(3)在训练阶段,BP神经网络接收计算得到的时间特征并进行反复训练,经过足量训练最终得到用于检测DDoS攻击的时间特征模式。
(4)在测试阶段,BP神经网络对实时计算得到的时间特征进行测试,一旦检测到DDoS攻击则封禁端口。
(5)遍历封禁端口的列表,并通过特定流表项的统计数据计算其时间特征,动态地将恢复正常的端口解封。
如图2所示,上述基于时间特征的SDN控制器DDoS攻击检测与防御方法可用于SDN环境中。该环境下存在内嵌DDoS攻击检测模块的SDN控制器、SDN交换机、合法用户、BOT-NET和DDoS攻击发起者五类主要角色。
如图3所示,步骤(1)的具体实时过程如下:
1.数据收集模块访问SDN控制器中的交换机统计信息模块,收集到交换机S的所有流表项信息。
2.数据收集模块以周期t1提取流表项信息的入端口字段并对流表项集合进行划分,端口P对应的流表项集合为FP
3.筛选出FP中统计数据:任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num,FlowCount,Duration,f),f∈FP。计算端口P当前流表的命中率,计算公式为:
该公式可代表每条流表项在单位时间内命中的数据包数目。
如图4所示,步骤(2)的具体实现过程如下:
1.特征计算模块以周期t2向数据收集模块请求每个t1时刻的交换机流表命中率eti,总共得到的命中率数据数目为t2/t1
2.特征计算模块计算任意时间间隔t1内的交换机流表命中率变化特性,变化的特性可由如下公式表示:
该公式经过变形后可得:
由上式可见,变化特性代表着命中率的变化趋势与流表项数目的变化趋势之间的关系。
3.特征计算模块计算得到t2时间内共t2/t1-1个变化特性,组成时间特征向量
如图5所示,步骤(3)的具体实现过程如下:
1.得到时间特征向量后,需要对向量进行标定,即该时间特征向量代表正常模式还是DDoS攻击模式。该步骤为人工进行最终产生目标向量(Normal,Abnormal)。
2.将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次训练后,BP神经网络根据输出向量与目标向量的误差对连接层之间的权重矩阵进行调整。
3.重复进行训练,直到误差小于预设值时BP神经网络停止训练,产生权重矩阵分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights,这两个矩阵将被用于BP神经网络测试使用。
如图6所示,步骤(4)的具体实现过程如下:
1.使用特征收集模块与特征计算模块计算得到交换机端口实时的时间特征变化向量。
2.BP神经网络对时间变化特性向量进行测试,得到测试结果为正常模式或是DDoS攻击模式,并根据测试结果更新权重矩阵,保持持续的学习过程。
3.当检测到当前流量模式处于DDoS攻击时,***向对应交换机下发流表项对交换机受害端口封禁的流表项,具体流表项功能为匹配该入端口的所有数据包都被丢弃。
如图7所示,步骤(5)的具体实现过程如下:
1.遍历封禁端口列表,如果列表为空则返回。
2.对正常端口计算平均流表命中率,计算公式如下:
3.计算封禁端口的流表命中率,计算公式与数据收集模块中计算公式相同,计算公式如下:
得到封禁端口的流表命中率后将其与正常端口流表命中率进行比较,当比值处于预设范围λ内时可认为端口恢复正常并对其解封,进行比较的公式如下:
λ的取值在实际应用中根据实际情况进行设置,不同的λ值对方法效果的影响为:当λ值较大时,端口会在更短的时间内得到恢复,但是无法对DDoS攻击进行持续预防;当λ值较小时,端口需要更长时间才能得到恢复,但是可以预防可能发生的DDoS攻击,因为遭受过DDoS攻击的端口更容易再次受到攻击。
实施例1:
实验环境:SDN控制器采用Floodlight 1.2,网络拓扑模拟使用Mininet 2.2,DDoS攻击与正常流量通过Python脚本进行模拟。
网络拓扑:如图8所示,网络采用C/S架构,2个服务器,8个客户机,共计10个主机。
实验参数:周期t1=1s,周期t2=6s,BP神经网络具有5个输入神经元、20个隐层神经元、2个输出神经元,λ取值为2。
实施过程:
1.使用Python脚本模拟正常与异常流量,异常流量为DDoS攻击流量,并将两种情况下SDN交换机内产生的统计数据记录,计算出SDN交换机流表命中率与其变化特征向量,由于t2的值为6s,t1的取值为1s,故产生的变化特征为维数为5。
2.对产生的变化特征向量进行标定,标定类别为正常模式与DDoS攻击模式。实验中产生正常模式样本500个,DDoS攻击模式样本250个,共计750个样本。
3.使用750个训练样本对BP神经网络进行训练,迭代次数为100000次,产生两个权重向量,分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights。
4.再次使用Python脚本分别模拟正常流量与DDoS攻击,并启用BP神经网络所在的DDoS攻击检测模块与DDoS攻击防御模块,其中正常流量为80-160范围内随机值,DDoS攻击的发包数量分别为80个每秒、120个每秒、160个每秒,分别进行10次攻击,共计30次攻击。
5.停止DDoS攻击,等待受到DDoS攻击的端口动态恢复。
实施例1的实验结果:启用DDoS攻击检测与防御***后,在正常情况下不影响数据包转发,但是当DDoS攻击发生时,DDoS攻击在攻击开始的前6s被检测到的次数为28次,其中攻击数据包为80个每秒时存在两次检测时间超过6s;当停止DDoS攻击后,封禁受害端口的流表项的平均消失时间为DDoS攻击持续时间的2倍。
通过上述实施例可以看出,本发明使用SDN中特有的交换机流表的时间变化特性与BP神经网络结合,实现了检测针对SDN控制器的DDoS攻击并防御,同时通过特定流表命中率特征实现了对受害端口的动态恢复功能。使用时间变化特性对DDoS攻击进行检测可以在DDoS攻击发生的初期检测到DDoS攻击,大大降低了DDoS攻击对SDN控制器带来的破坏;端口的动态恢复功能则使得正常服务受到DDoS攻击的后续影响降至最低。

Claims (7)

1.一种基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:包括以下步骤:
(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t1内SDN交换机的流表项集合FP的统计数据,并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间;
(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征向量;
(3)在训练阶段,BP神经网络接收时间特征向量并进行迭代训练,经过足量训练最终得到用于检测DDoS攻击的时间特征模式;具体方法为:
(3.1)对每个时间特征向量进行标定,即时间特征向量对应正常流量或DDoS攻击模式,通过人工进行最终产生目标向量;
(3.2)将时间特征向量与其对应模式输入BP神经网络并调整参数:将每个标定完成的样本,即输入向量与目标向量,输入BP神经网络进行训练,每一次训练后,BP神经网络根据输出向量与目标向量的误差对连接层之间的权重矩阵进行调整;
(3.3)使用大量样本重复进行训练直到满足误差要求,最终得到两个权重矩阵,分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights,这两个矩阵将被用于BP神经网络测试使用;
(4)在测试阶段,BP神经网络对实时计算得到的时间特征进行检测,一旦检测到DDoS攻击则封禁端口;
(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表,并通过特定流表项的统计数据计算端口的时间特征,动态地将恢复正常的端口解封;
时间特征是指SDN交换机中流表项的统计数据通过计算得到流量特征值,该值在时间维度上的变化情况。
2.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(1)的具体过程为:
(1.1)数据收集模块以周期t1向SDN控制器请求SDN交换机S流表项集合的统计数据;
(1.2)数据收集模块根据SDN交换机端口号P对流表项集合进行划分,得到各个端口的流表项集合FP
(1.3)筛选得到端口P对应流表项数目Num,任一流表项f命中数据包数目FlowCount、存在时间Duration,即任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num,FlowCount,Duration,f),且f∈FP,计算当前端口P的流表命中率:
3.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(2)的具体过程为:
(2.1)特征计算模块以周期T=t2向数据收集模块请求t2时间内SDN交换机各个端口的流表命中率总共得到的命中率数据数目为t2/t1,t2是t1的整数倍;
(2.2)特征计算模块计算任意t1时间间隔内交换机端口流表命中率的变化率:
(2.3)特征计算模块得到t2时间内共有t2/t1-1个变化特性,组成时间特征向量该时间特征向量的维度为t2/t1-1。
4.根据权利要求3所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(2.2)的具体方法为:
统计时间t与t+t1流表集合所有流表项命中数据包总数,统计时间t与t+t1流表集合所有流表项存在时间总和,分别计算时间t与t+t1每条流表项在单位时间命中的数据包数与流表项数目的比值作为实时特征值,并使用时间t+t1与时间t的特征值之比作为t1时间内的变化特性。
5.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(4)的具体过程为:
(4.1)使用特征收集模块与特征计算模块计算得到SDN交换机端口实时的时间特征;
(4.2)将实时的时间特征输入到BP神经网络,得到测试结果,该测试结果为正常模式或者DDoS攻击模式,并根据测试结果更新两个权重矩阵,保持持续的学习过程;
(4.3)当测试结果对应DDoS攻击模式时,下发流表项封禁对应端口。
6.根据权利要求5所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(4.3)的具体方法为:
对于检测结果为DDoS攻击模式的端口下发流表:流表匹配域为端口号,动作域为丢弃,超时时间为无穷,仅能通过手动或者动态恢复模块进行删除。
7.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法,其特征在于:所述步骤(5)的具体过程为:
(51)遍历封禁端口列表,列表为空则返回;
(52)计算正常端口集合的综合流表命中率;
(53)计算封禁端口的流表命中率,与正常端口命中率比较,如果在可接受范围内则删除对应封禁流表项。
CN201710940170.1A 2017-10-11 2017-10-11 基于时间特征的SDN控制器DDoS检测与防御方法 Active CN107483512B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710940170.1A CN107483512B (zh) 2017-10-11 2017-10-11 基于时间特征的SDN控制器DDoS检测与防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710940170.1A CN107483512B (zh) 2017-10-11 2017-10-11 基于时间特征的SDN控制器DDoS检测与防御方法

Publications (2)

Publication Number Publication Date
CN107483512A CN107483512A (zh) 2017-12-15
CN107483512B true CN107483512B (zh) 2019-12-10

Family

ID=60606328

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710940170.1A Active CN107483512B (zh) 2017-10-11 2017-10-11 基于时间特征的SDN控制器DDoS检测与防御方法

Country Status (1)

Country Link
CN (1) CN107483512B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566392B (zh) * 2018-04-11 2020-10-23 四川长虹电器股份有限公司 基于机器学习的防御cc攻击***与方法
CN108848095B (zh) * 2018-06-22 2021-03-02 安徽大学 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
CN108900513B (zh) * 2018-07-02 2021-05-07 哈尔滨工业大学 一种基于bp神经网络的ddos效果评估方法
CN108900542B (zh) * 2018-08-10 2021-03-19 海南大学 基于LSTM预测模型的DDoS攻击检测方法及装置
CN110493266B (zh) * 2019-09-19 2021-09-10 中国联合网络通信集团有限公司 一种网络安全防护方法及***
CN111835750B (zh) * 2020-07-09 2022-11-22 中国民航大学 SDN中基于ARIMA模型的DDoS攻击防御方法
CN112134894A (zh) * 2020-09-25 2020-12-25 昆明理工大学 一种DDoS攻击的移动目标防御方法
CN112910889B (zh) * 2021-01-29 2022-05-13 湖南大学 SDN中基于FGD-FM的LDoS攻击检测与缓解方法
CN113242215B (zh) * 2021-04-21 2022-05-24 华南理工大学 一种针对sdn指纹攻击的防御方法、***、装置及介质
CN113268735B (zh) * 2021-04-30 2022-10-14 国网河北省电力有限公司信息通信分公司 分布式拒绝服务攻击检测方法、装置、设备和存储介质
CN115361242B (zh) * 2022-10-24 2023-03-24 长沙市智为信息技术有限公司 一种基于多维特征网络的Web攻击检测方法
CN117411726B (zh) * 2023-12-13 2024-03-12 天津市亿人科技发展有限公司 一种基于神经网络的抗DDoS攻击及云WAF防御方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162759A (zh) * 2015-07-17 2015-12-16 哈尔滨工程大学 一种基于网络层流量异常的SDN网络DDoS攻击检测方法
CN106572107A (zh) * 2016-11-07 2017-04-19 北京科技大学 一种面向软件定义网络的DDoS攻击防御***与方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162759A (zh) * 2015-07-17 2015-12-16 哈尔滨工程大学 一种基于网络层流量异常的SDN网络DDoS攻击检测方法
CN106572107A (zh) * 2016-11-07 2017-04-19 北京科技大学 一种面向软件定义网络的DDoS攻击防御***与方法

Also Published As

Publication number Publication date
CN107483512A (zh) 2017-12-15

Similar Documents

Publication Publication Date Title
CN107483512B (zh) 基于时间特征的SDN控制器DDoS检测与防御方法
CN108848095B (zh) SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
Vijayasarathy et al. A system approach to network modeling for DDoS detection using a Naive Bayesian classifier
CN111740950A (zh) 一种SDN环境DDoS攻击检测防御方法
Moustaf et al. Creating novel features to anomaly network detection using DARPA-2009 data set
CN110138759A (zh) SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及***
CN116346418A (zh) 基于联邦学习的DDoS检测方法及装置
Abusnaina et al. Examining the robustness of learning-based ddos detection in software defined networks
Van et al. An anomaly-based intrusion detection architecture integrated on openflow switch
Verma et al. A meta-analysis of role of network intrusion detection systems in confronting network attacks
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
CN110336806A (zh) 一种结合会话行为和通信关系的隐蔽通信检测方法
CN113630420A (zh) 一种基于SDN的DDoS攻击检测方法
CN115706671A (zh) 网络安全防御方法、装置以及存储介质
CN117014182A (zh) 一种基于lstm的恶意流量检测方法及装置
Saiyed et al. Entropy and divergence-based DDoS attack detection system in IoT networks
CN109510805B (zh) 一种基于安全基线模型的网络数据安全检测方法及***
CN113691503A (zh) 一种基于机器学习的DDoS攻击检测方法
Kopylova et al. Mutual information applied to anomaly detection
Abdurohman et al. Improving distributed denial of service (DDOS) detection using entropy method in software defined network (SDN)
Prathibha et al. A comparative study of defense mechanisms against SYN flooding attack
CN115225301A (zh) 基于d-s证据理论的混合入侵检测方法和***
Itagi et al. DDoS Attack Detection in SDN Environment using Bi-directional Recurrent Neural Network
Belej et al. Development of a network attack detection system based on hybrid neuro-fuzzy algorithms.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant