CN108123931A - 一种软件定义网络中的DDoS攻击防御装置及方法 - Google Patents
一种软件定义网络中的DDoS攻击防御装置及方法 Download PDFInfo
- Publication number
- CN108123931A CN108123931A CN201711229056.4A CN201711229056A CN108123931A CN 108123931 A CN108123931 A CN 108123931A CN 201711229056 A CN201711229056 A CN 201711229056A CN 108123931 A CN108123931 A CN 108123931A
- Authority
- CN
- China
- Prior art keywords
- mrow
- flow table
- attack
- module
- msub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种软件定义网络中的DDoS攻击防御装置及方法,该装置包括流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块:流表统计信息收集模块收集每个流表项的统计信息;特征提取模块从经过格式转换后的数据信息中,提取或构建合适的流表特征,并进行维度重构;攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息;攻击防御策略产生模块从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。本发明检测方法提高了检测精度,实现了攻击防御。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种软件定义网络中的DDoS攻击防御装置及方法。
背景技术
软件定义网络(SDN)是一种将传统网络交换设备进行数据转发与控制的抽象分离的新的网络架构,尽管中央控制是SDN的主要优势,但它也受到分布式拒绝服务(DDoS)攻击的威胁。因此,我们需要对SDN的中央控制层进行DDoS攻击检测,并作出一系列防御措施。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击基于拒绝服务攻击(Denial of Service,DoS)的基础之上。DoS攻击的原理是通过在短时间内致使被攻击服务器填充大量急需处理的无效报文消息,急剧消耗被攻击目标资源有限的***资源,最终导致被攻击端超负荷工作乃至瘫痪。而分布式拒绝服务攻击则是在拒绝服务攻击的基础上引入分布式的思想后,是一种分布式行动,大范围协同作战的危害性更强的网络攻击方式,这样的攻击具有更强的破坏性。
现今,国内外针对DDoS攻击安全防御问题的研究,主要方法是实时的网络监控,当DDoS攻击发生时,启动攻击流量清洗设备屏蔽DDoS攻击源,从而避免网络遭受DDoS攻击的侵害,达到安全防御的目的。主要包括:在交换机,路由器等网络转发设备中进行源IP地址的合法性确认,建立黑/白名单;基于统计学方法,根据网络流密度变化情况,对网络流量实时监控,对DDoS攻击行为进行确认;在路由转发设备中建立源地址和转发设备对应的入端口的映射表,通过对比数据流量源IP地址与相应入端口地址确定当前网络是否有DDoS攻击行为。
深度学习的概念源于人工神经网络的研究。深度学习通过组合低层特征形成更加抽象的高层表示属性类别或特征,以发现数据的分布式特征表示。深度学习是机器学习中一种基于对数据进行表征学习的方法,其概念由Hinton等人于2006年提出。深度学习是机器学习研究中的一个新的领域,其动机在于建立、模拟人脑进行分析学习的神经网络,它模仿人脑的机制来解释数据。
软件定义网络(SDN)是一种新的用于设计、构建和管理网络的方法。与传统路由网络相比,SDN支持可编程和动态的网络。虽然它拥有更灵活的网络管理,但我们应该了解当前和即将到来的安全威胁以及其部署。从分布式拒绝服务攻击(DDoS)的角度分析伴随OpenFlow协议的SDN并防御DDoS攻击是SDN网络安全方面的重要研究内容。本发明将SDN与深度学习结合,提出了一种软件定义网络中的DDoS攻击防御装置及方法。
发明内容
本发明的目的是克服现有技术的不足,提供一种软件定义网络中的DDoS攻击防御装置及方法。
本发明解决其技术问题所采用的技术方案如下:一种软件定义网络中的DDoS攻击防御装置,包括:流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块:
流表统计信息收集模块:对所有OpenFlow交换机周期性收集每个流表项的统计信息;
统计信息格式转换模块:将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设(Bag Of Word)方法转换;
特征提取模块,从经过统计信息格式转换模块格式转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N};
攻击检测模块,将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息;
攻击防御策略产生模块,从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。
进一步地,所述特征提取模块中的输入特征{M}包括:持续时间,每条流中数据包数量,每条流中数据包比特数,匹配的以太网类型,匹配的以太网目的地址,匹配的以太网源地址,匹配的入端口,优先级,匹配的源IP,匹配的目的IP,匹配的UDP目的端口,匹配的UDP源端口,匹配的TCP目的端口,匹配的TCP源端口,空闲超时,匹配的IP协议,Cookie,表ID,严格超时,动作;输入特征{N}包括:单流增长速率Grsf,不同端口增长速率Grdp,流表平均数据包量Appf,流表平均比特数Apbf,流量平均持续时间Adpf;
单流增长速率:
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_single_flows为每个周期T内采集到的流表中,单流的数量;
不同端口增长速率:
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_different_ports为每个周期T内采集到的流表中,有不同端口号的流表数量;
流表平均数据包量:
其中flow_numsk为采集的所有流表中,第k种流表的数量,pcounti为每条流表中的数据包数量;
流表平均比特数:
其中flow_numsk为采集的所有流表中,第k种流表的数量,bcounti为每条流表中的数据包比特大小;
流量平均持续时间:
其中flow_numsk为采集的所有流表中,第k种流表的数量,durationsi为每条流表的持续时间。
进一步地,所述攻击检测模块包括卷积神经网络模型检测模块和堆栈自编码模型检测模块;
卷积神经网络模型检测模块:对输入的特征进行学习和分类,判断是否为攻击类型特征;若是,则将该类型的特征标记为攻击类型;如果将输入特征判断为正常类型特征,由于卷积神经网络模型检测模块能力的局限性,这些正常的特征中可能混杂着攻击特征,将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析;
堆栈自编码模型检测模块:对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测;若判断结果为正常类型,则将该类型的特征标记为正常类型;否则,标记为攻击类型。
进一步地,所述卷积神经网络模型检测模块中,已训练的卷积神经网络模型包含三个卷积层Convolution Layer和两个池化层Max Pooling Layer及两个全连接层FullyConnected Layer;输入的流表特征向量,经过第一层卷积层Convolution之后,提取出更加抽象的高维度特征,然后对这些特征进行批标准化处理,让模型学习到数据的分布特征,再经过第二层最大池化层Max Pooling后,依次再经过第三层卷积层,再将第三层卷积层抽象后的特征进行批标准化处理,再经过第四层最大池化层、第五层卷积层之后,得到能够准确表示流表特征的更高维度的特征向量,将这些高维特征向量输入到全连接层。
进一步地,所述堆栈自编码模型检测模块中,堆栈自编码模型具体为:流表特征向量经过第一个自编码模型的学习后,在其隐藏层中得到压缩后的抽象化特征,将第一个自编码模型的隐藏层作为第二个自编码模型的输入层,经过第二个自编码模型的学习后,在其隐藏层中得到进一步压缩后的更加抽象化特征,再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层,第三个自编码模型的隐藏层作为第四个自编码模型的输入。
进一步地,所述攻击防御策略产生模块包括:特征格式还原模块、数据库和流表产生模块;
特征格式还原模块:对攻击类型流表特征进行格式转化,对其进行逆操作,转为其原格式;例如将32bit的二进制序列存储的IP地址转为原格式;
数据库:用于记录经过特征格式还原模块处理之后的攻击类型流表信息;
流表产生模块:周期性查看数据库记录,并生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量清洗。
一种软件定义网络中的DDoS攻击防御方法,包括如下步骤:
步骤1:流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息,并将收集到的信息交由统计信息格式转换模块进行处理;
步骤2:统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设方法转换,将格式转换后的数据信息交给特征提取模块;
步骤3:特征提取模块从经过格式转化转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N},然后将特征{M,N}送入攻击检测模块进行检测;
步骤4:攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息,将分类结果交由攻击防御策略产生模块处理;
步骤5:攻击防御策略产生模块,从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。
本发明的有益效果是:本发明基于两级DDoS攻击检测框架,首先通过卷积神经网络实现初步检测,然后通过堆栈自编码模型进一步严格排查,查漏补缺,这种基于两级混合深度学习架构的检测方法,提高了对攻击类型流表的检测精度,实现了攻击防御;本发明构建了新的流表特征,扩展了对DDoS攻击的识别范围;本发明的处理架构采用可扩展的模块化设计,实现了对DDoS威胁的高效检测和灵活处理;各模块获取数据包信息采用独立的接口设计,降低了模块间的耦合关联性;可移植性强,可兼容目前市场中的多种主流控制器,如OpenDaylight,floodlight等。
附图说明
图1是本发明的DDoS攻击防御架构图;
图2本发明的卷积神经网络模型结构图;
图3本发明的堆栈自编码模型结构图;
图4本发明的两级DDoS攻击检测流程。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的一种软件定义网络中的DDoS攻击防御装置,包括:流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块:
流表统计信息收集模块:对所有OpenFlow交换机周期性收集每个流表项的统计信息;
统计信息格式转换模块:将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设(Bag Of Word)方法转换;
特征提取模块,从经过统计信息格式转换模块格式转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N};
攻击检测模块,将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息;
攻击防御策略产生模块,从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。
进一步地,所述特征提取模块中的输入特征{M}包括:持续时间,每条流中数据包数量,每条流中数据包比特数,匹配的以太网类型,匹配的以太网目的地址,匹配的以太网源地址,匹配的入端口,优先级,匹配的源IP,匹配的目的IP,匹配的UDP目的端口,匹配的UDP源端口,匹配的TCP目的端口,匹配的TCP源端口,空闲超时,匹配的IP协议,Cookie,表ID,严格超时,动作;输入特征{N}包括:单流增长速率Grsf,不同端口增长速率Grdp,流表平均数据包量Appf,流表平均比特数Apbf,流量平均持续时间Adpf;
单流增长速率:
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_single_flows为每个周期T内采集到的流表中,单流的数量;
不同端口增长速率:
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_different_ports为每个周期T内采集到的流表中,有不同端口号的流表数量;
流表平均数据包量:
其中flow_numsk为采集的所有流表中,第k种流表的数量,pcounti为每条流表中的数据包数量;
流表平均比特数:
其中flow_numsk为采集的所有流表中,第k种流表的数量,bcounti为每条流表中的数据包比特大小;
流量平均持续时间:
其中flow_numsk为采集的所有流表中,第k种流表的数量,durationsi为每条流表的持续时间。
进一步地,所述攻击检测模块包括:
卷积神经网络模型检测模块:对输入的特征进行学习和分类,判断是否为攻击类型特征;若是,则将该类型的特征标记为攻击类型;如果将输入特征判断为正常类型特征,由于卷积神经网络模型检测模块能力的局限性,这些正常的特征中可能混杂着攻击特征,将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析;
堆栈自编码模型检测模块:对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测;若判断结果为正常类型,则将该类型的特征标记为正常类型;否则,标记为攻击类型。
进一步地,所述卷积神经网络模型检测模块中,已训练的卷积神经网络模型包含三个卷积层Convolution Layer和两个池化层Max Pooling Layer及两个全连接层FullyConnected Layer,如图2所示;输入的流表特征向量,经过第一层卷积层Convolution之后,提取出更加抽象的高维度特征,然后对这些特征进行批标准化处理,让模型学习到数据的分布特征,再经过第二层最大池化层Max Pooling后,依次再经过第三层卷积层,再将第三层卷积层抽象后的特征进行批标准化处理,再经过第四层最大池化层、第五层卷积层之后,得到能够准确表示流表特征的更高维度的特征向量,将这些高维特征向量输入到全连接层。
进一步地,所述堆栈自编码模型检测模块中,堆栈自编码模型如图3所示,具体为:流表特征向量经过第一个自编码模型的学习后,在其隐藏层中得到压缩后的抽象化特征,将第一个自编码模型的隐藏层作为第二个自编码模型的输入层,经过第二个自编码模型的学习后,在其隐藏层中得到进一步压缩后的更加抽象化特征,再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层,第三个自编码模型的隐藏层作为第四个自编码模型的输入。
进一步地,所述攻击防御策略产生模块包括:特征格式还原模块、数据库和流表产生模块;
特征格式还原模块:对攻击类型流表特征进行格式转化,对其进行逆操作,转为其原格式;例如将32bit的二进制序列存储的IP地址转为原格式;
数据库:用于记录经过特征格式还原模块处理之后的攻击类型流表信息;
流表产生模块:周期性查看数据库记录,并生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量清洗。
如图4所示,本发明提供的一种软件定义网络中的DDoS攻击防御方法,包括如下步骤:
步骤1:流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息,并将收集到的信息交由统计信息格式转换模块进行处理;
步骤2:统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设方法转换,将格式转换后的数据信息交给特征提取模块;
步骤3:特征提取模块从经过格式转化转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N},然后将特征{M,N}送入攻击检测模块进行检测;
步骤4:攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息,将分类结果交由攻击防御策略产生模块处理;
步骤5:攻击防御策略产生模块中的特征格式还原模块提取标记为攻击类型的特征信息,将其格式进行还原,并进行数据库记录;
步骤6:攻击防御策略产生模块中的流表产生模块对其中的数据库进行周期性访问,以提取DDoS攻击类型的关键特征,并生成drop类型流表项下发到OpenFlow交换机,实现对攻击流量清洗。
实施例
本发明所述的软件定义网络中的DDoS攻击防御典型结构如图1所示,***包含控制层和数据层。本发明DDoS攻击防御装置部署在SDN控制层,其中包括:流表统计信息收集模块、统计信息格式转换模型、特征提取模块、攻击检测模块、攻击防御策略产生模块。以下对本发明实施例中的各个模块进行详细的说明。
流表统计信息收集模块:对所有OpenFlow交换机周期性收集每个流表项的统计信息;包含如下函数接口:
switch_flows_collect(switch_id,table_id,app_id,timeout)
其内部实现了以下方法,其中,get_connection()方法用于控制层向数据层的交换机下发请求连接,获取连接信息;get_flow_information()方法用于获取交换机中的流表信息;get_cyclical_flows()用于周期性的触发get_flow_information()方法,从OpenFlow交换机中获取流表信息。
统计信息格式转换模型:将收集到的流表统计信息进行格式转换处理;包含如下函数接口:
flow_format_conversion(switch_id,table_id,flow_info)
其内部实现了以下方法,其中,port_to_binarray()方法用于将流表信息中的端口号等字段转为二进制list格式;ip_to_binarray()方法用于将流表信息中的IP字段转为二进制list格式;text_to_array()方法用于将流表信息中的文本类型字段转为array类型。
特征提取模块:从经过格式转化转换后的数据信息中,提取或构建合适的流表特征,并进行维度重构;包含如下函数接口:
flow_features_extract(switch_id,table_id,convert_info)
其内部实现了以下方法,其中,direct_extraction_features()方法用于提取流表信息中的某些特征字段作为特征;manual_extraction_features()方法用于提取流表信息的计算结果,将其作为特征。
攻击检测模块:将特征提取模块所获得的特征做为深度学习模型的输入,判断出所对应的信息是否为攻击包对应流表项的信息;
攻击防御策略产生模块:提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,并生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量清洗。包含如下函数接口:
get_attack_features(switch_id,table_id,feature_info,result)
其内部实现了以下方法,其中,get_attack_info()方法用于收集卷积神经网络和堆栈自编码网络分类为攻击类型的特征,并将其转为二进制list格式;label_attack_info()方法用于对攻击类型的特征进行标记,在list后面追加一个分类标志位1。
extract_key_features(switch_id,table_id,feature_info,feature_id)
其内部实现了以下方法,其中,extrat_key_info()方法用于提取攻击类型的部分关键特征;inverse_key_info()方法用于对关键特征的格式进行逆操作,转为原格式。
manage_operate_database(feature_info,sql)
其内部实现了以下方法,其中,query_database()方法用于查询数据库中是否存在源IP地址(match.ipv4_src)特征对应的IP字段及其相关联的信息;insert_database()方法用于将关键特征信息***特征信息数据库中。
flow_operate_database(feature_info,sql)
其内部实现了以下方法,其中,query_database()方法用于查询数据库中是否存在攻击类型的特征;delete_database()方法用于定时清除对数据库中的特征。
generate_flows(feature_info)
该方法内部实现了generate_flows_with_action()方法用于将生成的drop类型的流表项下发到OpenFlow交换机。
Claims (7)
1.一种软件定义网络中的DDoS攻击防御装置,其特征在于,包括:流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块:
流表统计信息收集模块:对所有OpenFlow交换机周期性收集每个流表项的统计信息;
统计信息格式转换模块:将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设(Bag Of Word)方法转换;
特征提取模块,从经过统计信息格式转换模块格式转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N};
攻击检测模块,将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息;
攻击防御策略产生模块,从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。
2.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置,其特征在于,所述特征提取模块中的输入特征{M}包括:持续时间,每条流中数据包数量,每条流中数据包比特数,匹配的以太网类型,匹配的以太网目的地址,匹配的以太网源地址,匹配的入端口,优先级,匹配的源IP,匹配的目的IP,匹配的UDP目的端口,匹配的UDP源端口,匹配的TCP目的端口,匹配的TCP源端口,空闲超时,匹配的IP协议,Cookie,表ID,严格超时,动作;输入特征{N}包括:单流增长速率Grsf,不同端口增长速率Grdp,流表平均数据包量Appf,流表平均比特数Apbf,流量平均持续时间Adpf;
单流增长速率:
<mrow>
<mi>G</mi>
<mi>r</mi>
<mi>s</mi>
<mi>f</mi>
<mo>=</mo>
<mfrac>
<mrow>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>T</mi>
</msub>
</mrow>
</msubsup>
<mi>n</mi>
<mi>u</mi>
<mi>m</mi>
<mi>s</mi>
<mo>_</mo>
<mi>sin</mi>
<mi>g</mi>
<mi>l</mi>
<mi>e</mi>
<mo>_</mo>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mi>s</mi>
</mrow>
<mi>T</mi>
</mfrac>
</mrow>
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_single_flows为每个周期T内采集到的流表中,单流的数量;
不同端口增长速率:
<mrow>
<mi>G</mi>
<mi>r</mi>
<mi>d</mi>
<mi>p</mi>
<mo>=</mo>
<mfrac>
<mrow>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mrow>
<msub>
<mi>flow</mi>
<mrow>
<msub>
<mi>nums</mi>
<mi>T</mi>
</msub>
</mrow>
</msub>
</mrow>
</msubsup>
<msub>
<mi>nums</mi>
<mrow>
<msub>
<mi>different</mi>
<mrow>
<mi>p</mi>
<mi>o</mi>
<mi>r</mi>
<mi>t</mi>
<mi>s</mi>
</mrow>
</msub>
</mrow>
</msub>
</mrow>
<mi>T</mi>
</mfrac>
</mrow>
其中flow_numsT为在时间周期T内采集的流表数量,T为采集周期,nums_different_ports为每个周期T内采集到的流表中,有不同端口号的流表数量;
流表平均数据包量:
<mrow>
<mi>A</mi>
<mi>p</mi>
<mi>p</mi>
<mi>f</mi>
<mo>=</mo>
<mfrac>
<mrow>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</msubsup>
<msub>
<mi>pcount</mi>
<mi>i</mi>
</msub>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</mfrac>
</mrow>
其中flow_numsk为采集的所有流表中,第k种流表的数量,pcounti为每条流表中的数据包数量;
流表平均比特数:
<mrow>
<mi>A</mi>
<mi>p</mi>
<mi>b</mi>
<mi>f</mi>
<mo>=</mo>
<mfrac>
<mrow>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</msubsup>
<msub>
<mi>bcount</mi>
<mi>i</mi>
</msub>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</mfrac>
</mrow>
其中flow_numsk为采集的所有流表中,第k种流表的数量,bcounti为每条流表中的数据包比特大小;
流量平均持续时间:
<mrow>
<mi>A</mi>
<mi>d</mi>
<mi>p</mi>
<mi>f</mi>
<mo>=</mo>
<mfrac>
<mrow>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</msubsup>
<msub>
<mi>durations</mi>
<mi>i</mi>
</msub>
</mrow>
<mrow>
<mi>f</mi>
<mi>l</mi>
<mi>o</mi>
<mi>w</mi>
<mo>_</mo>
<msub>
<mi>nums</mi>
<mi>k</mi>
</msub>
</mrow>
</mfrac>
</mrow>
其中flow_numsk为采集的所有流表中,第k种流表的数量,durationsi为每条流表的持续时间。
3.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置,其特征在于,所述攻击检测模块包括:
卷积神经网络模型检测模块:对输入的特征进行学习和分类,判断是否为攻击类型特征;若是,则将该类型的特征标记为攻击类型;如果将输入特征判断为正常类型特征,由于卷积神经网络模型检测模块能力的局限性,这些正常的特征中可能混杂着攻击特征,将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析;
堆栈自编码模型检测模块:对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测;若判断结果为正常类型,则将该类型的特征标记为正常类型;否则,标记为攻击类型。
4.根据权利要求3所述的一种软件定义网络中的DDoS攻击防御装置,其特征在于,所述卷积神经网络模型检测模块中,已训练的卷积神经网络模型包含三个卷积层ConvolutionLayer和两个池化层Max Pooling Layer及两个全连接层Fully Connected Layer;输入的流表特征向量,经过第一层卷积层Convolution之后,提取出更加抽象的高维度特征,然后对这些特征进行批标准化处理,让模型学习到数据的分布特征,再经过第二层最大池化层Max Pooling后,依次再经过第三层卷积层,再将第三层卷积层抽象后的特征进行批标准化处理,再经过第四层最大池化层、第五层卷积层之后,得到能够准确表示流表特征的更高维度的特征向量,将这些高维特征向量输入到全连接层。
5.根据权利要求3所述一种软件定义网络中的DDoS攻击防御装置,其特征在于,所述堆栈自编码模型检测模块中,堆栈自编码模型具体为:流表特征向量经过第一个自编码模型的学习后,在其隐藏层中得到压缩后的抽象化特征,将第一个自编码模型的隐藏层作为第二个自编码模型的输入层,经过第二个自编码模型的学习后,在其隐藏层中得到进一步压缩后的更加抽象化特征,再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层,第三个自编码模型的隐藏层作为第四个自编码模型的输入。
6.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置,其特征在于,所述攻击防御策略产生模块包括:特征格式还原模块、数据库和流表产生模块;
特征格式还原模块:对攻击类型流表特征进行格式转化,对其进行逆操作,转为其原格式;例如将32bit的二进制序列存储的IP地址转为原格式;
数据库:用于记录经过特征格式还原模块处理之后的攻击类型流表信息;
流表产生模块:周期性查看数据库记录,并生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量清洗。
7.一种软件定义网络中的DDoS攻击防御方法,其特征在于,包括如下步骤:
步骤1:流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息,并将收集到的信息交由统计信息格式转换模块进行处理;
步骤2:统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理,将布尔类型的数据转换为16bit的二进制序列存储,将IP地址转换为32bit的二进制序列存储,将文本类型通过词汇假设方法转换,将格式转换后的数据信息交给特征提取模块;
步骤3:特征提取模块从经过格式转化转换后的数据信息中,将部分流表统计信息直接做为深度学习的部分输入特征{M},同时依据流表统计信息手动构建部分输入特征{N},并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构,构成新的深度学习输入特征{M,N},然后将特征{M,N}送入攻击检测模块进行检测;
步骤4:攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入,判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息,将分类结果交由攻击防御策略产生模块处理;
步骤5:攻击防御策略产生模块,从数据库中提取标记为攻击类型的特征信息,将其格式进行还原,并进行记录,周期性查看记录,生成drop类型的流表项下发到OpenFlow交换机,实现对攻击流量的清洗。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711229056.4A CN108123931A (zh) | 2017-11-29 | 2017-11-29 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711229056.4A CN108123931A (zh) | 2017-11-29 | 2017-11-29 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108123931A true CN108123931A (zh) | 2018-06-05 |
Family
ID=62228674
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711229056.4A Pending CN108123931A (zh) | 2017-11-29 | 2017-11-29 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108123931A (zh) |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108900513A (zh) * | 2018-07-02 | 2018-11-27 | 哈尔滨工业大学 | 一种基于bp神经网络的ddos效果评估方法 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN109257204A (zh) * | 2018-08-06 | 2019-01-22 | 浙江工商大学 | 一种软件定义网络中基于深度学习的网络节能装置及方法 |
CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
CN109525495A (zh) * | 2018-12-24 | 2019-03-26 | 广东浪潮大数据研究有限公司 | 一种数据处理装置、方法和fpga板卡 |
CN109829299A (zh) * | 2018-11-29 | 2019-05-31 | 电子科技大学 | 一种基于深度自编码器的未知攻击识别方法 |
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测***与方法 |
CN111082992A (zh) * | 2019-12-23 | 2020-04-28 | 超讯通信股份有限公司 | 基于深度学习的sdn网络数据包的识别方法 |
CN111224970A (zh) * | 2019-12-31 | 2020-06-02 | 中移(杭州)信息技术有限公司 | Sdn网络***、网络攻击防御方法、设备及存储介质 |
CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与*** |
CN111953701A (zh) * | 2020-08-19 | 2020-11-17 | 福州大学 | 基于多维特征融合和堆栈集成学习的异常流量检测方法 |
CN112769770A (zh) * | 2020-12-24 | 2021-05-07 | 贵州大学 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
US20210218757A1 (en) * | 2020-01-09 | 2021-07-15 | Vmware, Inc. | Generative adversarial network based predictive model for collaborative intrusion detection systems |
CN113242211A (zh) * | 2021-04-12 | 2021-08-10 | 北京航空航天大学 | 一种高效的软件定义网络DDoS攻击检测方法 |
CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、***、电子设备和存储介质 |
CN113630385A (zh) * | 2021-07-13 | 2021-11-09 | 电子科技大学 | 一种sdn网络下dos攻击防控方法及装置 |
CN113660209A (zh) * | 2021-07-16 | 2021-11-16 | 华东师范大学 | 一种基于sketch与联邦学习的DDoS攻击检测***及应用 |
CN114513340A (zh) * | 2022-01-21 | 2022-05-17 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
CN115250193A (zh) * | 2021-12-22 | 2022-10-28 | 长沙理工大学 | 一种面向SDN网络的DoS攻击检测方法、装置及介质 |
CN117411726A (zh) * | 2023-12-13 | 2024-01-16 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130329734A1 (en) * | 2012-06-11 | 2013-12-12 | Radware, Ltd. | Techniques for providing value-added services in sdn-based networks |
US20140156806A1 (en) * | 2012-12-04 | 2014-06-05 | Marinexplore Inc. | Spatio-temporal data processing systems and methods |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
CN106341337A (zh) * | 2016-08-31 | 2017-01-18 | 上海交通大学 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
CN106534133A (zh) * | 2016-11-17 | 2017-03-22 | 浙江工商大学 | 一种sdn中基于深度学习的ddos防御装置及方法 |
CN106911669A (zh) * | 2017-01-10 | 2017-06-30 | 浙江工商大学 | 一种基于深度学习的ddos检测方法 |
-
2017
- 2017-11-29 CN CN201711229056.4A patent/CN108123931A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130329734A1 (en) * | 2012-06-11 | 2013-12-12 | Radware, Ltd. | Techniques for providing value-added services in sdn-based networks |
US20140156806A1 (en) * | 2012-12-04 | 2014-06-05 | Marinexplore Inc. | Spatio-temporal data processing systems and methods |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
CN106341337A (zh) * | 2016-08-31 | 2017-01-18 | 上海交通大学 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
CN106534133A (zh) * | 2016-11-17 | 2017-03-22 | 浙江工商大学 | 一种sdn中基于深度学习的ddos防御装置及方法 |
CN106911669A (zh) * | 2017-01-10 | 2017-06-30 | 浙江工商大学 | 一种基于深度学习的ddos检测方法 |
Non-Patent Citations (2)
Title |
---|
E.G. DADA: "A Hybridized SVM-kNN-pdAPSO Approach to Intrusion Detection System", 《UNIVERSITY OF MAIDUGURI FACULTY OF ENGINEERING SEMINAR SERIES》 * |
RODRIGO BRAGA ET AL: "Lightweight DDoS Flooding Attack Detection Using NOX/OpenFlow", 《35TH ANNUAL IEEE CONFERENCE ON LOCAL COMPUTER NETWORKS》 * |
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108900513B (zh) * | 2018-07-02 | 2021-05-07 | 哈尔滨工业大学 | 一种基于bp神经网络的ddos效果评估方法 |
CN108900513A (zh) * | 2018-07-02 | 2018-11-27 | 哈尔滨工业大学 | 一种基于bp神经网络的ddos效果评估方法 |
CN109257204B (zh) * | 2018-08-06 | 2021-06-04 | 浙江工商大学 | 一种软件定义网络中基于深度学习的网络节能装置及方法 |
CN109257204A (zh) * | 2018-08-06 | 2019-01-22 | 浙江工商大学 | 一种软件定义网络中基于深度学习的网络节能装置及方法 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN109120630B (zh) * | 2018-09-03 | 2022-08-02 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN109040113B (zh) * | 2018-09-04 | 2021-03-19 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
CN109274673B (zh) * | 2018-09-26 | 2021-02-12 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
CN109829299A (zh) * | 2018-11-29 | 2019-05-31 | 电子科技大学 | 一种基于深度自编码器的未知攻击识别方法 |
CN109525495A (zh) * | 2018-12-24 | 2019-03-26 | 广东浪潮大数据研究有限公司 | 一种数据处理装置、方法和fpga板卡 |
CN109525495B (zh) * | 2018-12-24 | 2022-03-11 | 广东浪潮大数据研究有限公司 | 一种数据处理装置、方法和fpga板卡 |
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测***与方法 |
CN109981691B (zh) * | 2019-04-30 | 2022-06-21 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测***与方法 |
CN111082992A (zh) * | 2019-12-23 | 2020-04-28 | 超讯通信股份有限公司 | 基于深度学习的sdn网络数据包的识别方法 |
CN111224970A (zh) * | 2019-12-31 | 2020-06-02 | 中移(杭州)信息技术有限公司 | Sdn网络***、网络攻击防御方法、设备及存储介质 |
US11811791B2 (en) * | 2020-01-09 | 2023-11-07 | Vmware, Inc. | Generative adversarial network based predictive model for collaborative intrusion detection systems |
US20210218757A1 (en) * | 2020-01-09 | 2021-07-15 | Vmware, Inc. | Generative adversarial network based predictive model for collaborative intrusion detection systems |
CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与*** |
CN111614627B (zh) * | 2020-04-27 | 2022-03-25 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与*** |
CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
CN111600859B (zh) * | 2020-05-08 | 2022-08-05 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
CN111953701A (zh) * | 2020-08-19 | 2020-11-17 | 福州大学 | 基于多维特征融合和堆栈集成学习的异常流量检测方法 |
CN111953701B (zh) * | 2020-08-19 | 2022-10-11 | 福州大学 | 基于多维特征融合和堆栈集成学习的异常流量检测方法 |
CN112769770A (zh) * | 2020-12-24 | 2021-05-07 | 贵州大学 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
CN112769770B (zh) * | 2020-12-24 | 2022-04-22 | 贵州大学 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
CN113242211A (zh) * | 2021-04-12 | 2021-08-10 | 北京航空航天大学 | 一种高效的软件定义网络DDoS攻击检测方法 |
CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
CN113268735B (zh) * | 2021-04-30 | 2022-10-14 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、***、电子设备和存储介质 |
CN113630385A (zh) * | 2021-07-13 | 2021-11-09 | 电子科技大学 | 一种sdn网络下dos攻击防控方法及装置 |
CN113660209A (zh) * | 2021-07-16 | 2021-11-16 | 华东师范大学 | 一种基于sketch与联邦学习的DDoS攻击检测***及应用 |
CN115250193A (zh) * | 2021-12-22 | 2022-10-28 | 长沙理工大学 | 一种面向SDN网络的DoS攻击检测方法、装置及介质 |
CN115250193B (zh) * | 2021-12-22 | 2024-02-23 | 长沙理工大学 | 一种面向SDN网络的DoS攻击检测方法、装置及介质 |
CN114513340A (zh) * | 2022-01-21 | 2022-05-17 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
CN114513340B (zh) * | 2022-01-21 | 2023-02-07 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
CN117411726A (zh) * | 2023-12-13 | 2024-01-16 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
CN117411726B (zh) * | 2023-12-13 | 2024-03-12 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108123931A (zh) | 一种软件定义网络中的DDoS攻击防御装置及方法 | |
CN104270392B (zh) | 一种基于三分类器协同训练学习的网络协议识别方法及*** | |
CN106657141A (zh) | 基于网络流量分析的安卓恶意软件实时检测方法 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
CN105871832A (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
CN102202064B (zh) | 基于网络数据流分析的木马通信行为特征提取方法 | |
CN109063777B (zh) | 网络流量分类方法、装置及实现装置 | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN107196930B (zh) | 计算机网络异常检测的方法 | |
CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN110011999A (zh) | 基于深度学习的IPv6网络DDoS攻击检测***及方法 | |
CN108012121A (zh) | 一种边缘计算和云计算融合的实时视频监控方法及*** | |
CN106572107A (zh) | 一种面向软件定义网络的DDoS攻击防御***与方法 | |
CN107360145A (zh) | 一种多节点蜜罐***及其数据分析方法 | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN107204975A (zh) | 一种基于场景指纹的工业控制***网络攻击检测技术 | |
CN102546625A (zh) | 半监督聚类集成的协议识别*** | |
CN109274673A (zh) | 一种网络流量异常检测和防御方法 | |
CN102821002A (zh) | 网络流量异常检测方法和*** | |
CN101883023A (zh) | 防火墙压力测试方法 | |
CN106533832A (zh) | 一种基于分布式部署的网络流量探测*** | |
CN102984269B (zh) | 一种点对点流量识别方法和装置 | |
CN106899978A (zh) | 一种无线网络攻击定位方法 | |
CN111935063A (zh) | 一种终端设备异常网络访问行为监测***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |