SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking, SDN)实现了控制层和转发层设备的分离, 但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险. 为了解决上述问题, 本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法, 用于检测以SDN控制器和交换机为目标的DDoS攻击. 在改进的算法中, 本文使用离散因子和纯度因子衡量D-S证据源之间的冲突. 同时, 结合纯度因子和离散因子调整D-S证据理论的证据源, 调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果. 实验结果表明本文提出的方法具有较高的精度.     

基于SDN构架的DoS/DDoS攻击检测与防御体系

针对Do S/DDo S的攻击检测算法大多应用于攻击的目的端,只能实现检测效果、并不能缓解攻击的问题,提出利用SDN架构的集中控制等特点,在攻击的源头实现流量实时监控,使用源IP防伪、接入层异常检测、链路流量异常检测形成多重防御体系,尽可能早地发现攻击,逐渐过滤异常流量,实现网络层DDo S攻击在源端的检测和防御。提出防御体系概念,便于应用更先进的检测算法完善防御体系。     

面向SDN拓扑发现的LDoS攻击防御技术研究

准确获取网络拓扑是软件定义网络（Software?Defined?Network,SDN）中控制器进行有效决策的前提,而现有拓扑发现机制难以有效应对低速率拒绝服务（Low rate Denial of Service,LDoS）攻击等行为。通过理论和实验分析LDoS攻击对SDN拓扑发现造成的影响,提出了一种面向SDN拓扑发现的LDoS攻击防御机制TopoGuard。TopoGuard根据LDoS攻击的周期性特征,通过连续突发检测快速发现存在的疑似攻击场景,并基于主动链路识别策略避免攻击行为造成网络拓扑中断。最后,在OpenDaylight控制器上实现了TopoGuard。实验结果显示,TopoGuard能够有效检测和防御LDoS攻击行为,保证控制器获取全局拓扑信息的正确性。     

应对DDoS攻击的SDN网络安全特性研究

软件定义网络将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,实现网络的集中控制与管理,其突出特点是开放性和可编程性。本文重点研究SDN网络的安全特性,首先讨论SDN的发展现状,并展示如何通过利用SDN功能来解决网络安全中的一些长期问题。然后,描述了SDN面临的新的重要安全威胁-DDo S攻击,并讨论可用于预防和减轻此类威胁的可能技术。     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

拒绝服务攻击检测与防御研究

本文分析了常见的拒绝服务攻击的检测方法：基于流量的检测、基于源IP地址的检测和基于数据包属性的检测，并讨论了几种检测机制的优缺点。对于拒绝服务攻击的防御，着重分析了基于出口过滤的防御机制、基于数据包危险度的流量控制和IP回溯机制。     

SDN环境下DDoS攻击检测和缓解系统

分布式拒绝服务攻击(distributed denial of service, DDoS)是网络安全领域的一大威胁. 作为新型网络架构, 软件定义网络(software defined networking, SDN)的逻辑集中和可编程性为抵御DDoS攻击提供了新的思路. 本文设计并实现了一个轻量级的SDN环境下的DDoS攻击检测和缓解系统. 该系统使用熵值检测方法, 并通过动态阈值进行异常判断. 若异常, 系统将使用更精确的决策树模型进行检测. 最后, 控制器通过计算流的包对称率确定攻击源, 并下发阻塞流表项. 实验结果表明, 该系统能够及时响应DDoS攻击, 具有较高的检测成功率, 并能够有效遏制攻击.     

SDN环境下基于BP神经网络的DDoS攻击检测方法*

软件定义网络是一种全新的网络架构,集中控制是其主要优势,但若受到DDoS 攻击则会造成信息不可达,也容易造成单点失效。为了有效的识别DDoS攻击,提出了一种SDN环境下基于BP神经网络的DDoS攻击检测方法：该方法获取OpenFlow交换机的流表项,分析SDN环境下DDoS攻击特性,提取出与攻击相关的流表匹配成功率、流表项速率等六个重要特征;通过分析六个相关特征值的变化,采用BP神经网络算法对训练样本进行分类,实现对DDoS攻击的检测。实验结果表明,该方法在有效提高识别率的同时,降低了检测时间。通过在软件定义网络环境中的部署,验证了该方法的有效性。     

一种SDN架构下基于随机森林的DDoS攻击检测方法

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是软件定义网络(Software-Defined Networking,SDN)架构最主要的安全威胁,针对现有DDo S攻击检测方法存在的特征选择不全面以及检测准确率不够高两方面的不足,提出一种SDN架构下基于随机森林的DDo S攻击检测方法,通过选取流包数均值、流字节数均值、流表项增速、源IP增速和端口增速组成特征五元组,采用随机森林算法进行攻击检测。通过仿真实验证明,与决策树、K-近邻算法(K-NearestNeighbor,KNN)以及支持向量机(Support Vector Machine,SVM)算法相比,该检测方法在准确率、查准率和召回率上均有一定程度的提升。     

软件定义网络环境下的低速率拒绝服务攻击检测方法

低速率拒绝服务（LDoS）攻击是一种拒绝服务（DoS）攻击改进形式,因其攻击平均速率低、隐蔽性强,使得检测LDoS攻击成为难点。针对上述难点,提出了一种在软件定义网络（SDN）的架构下,基于加权均值漂移-K均值算法（WMS-Kmeans）的LDoS攻击检测方法。首先,通过获取OpenFlow交换机的流表信息,分析并提取出SDN环境下LDoS攻击流量的六元组特征;然后,利用平均绝对值百分比误差作为均值漂移聚类中欧氏距离的权值,以此产生的簇心作为K-Means的初始中心对流表进行聚类,从而实现LDoS攻击的检测。实验结果表明：在SDN环境下,所提方法对LDoS攻击具有较好的检测性能,平均检测率达到99.29%,平均误警率和平均漏警率分别为1.97%和0.69%。     

SDN中基于信息熵与DNN的DDoS攻击检测模型

软件定义网络(software defined networking, SDN)解耦了网络的数据层与控制层,同时控制器也面临“单点失效”的危险.攻击者可以发起分布式拒绝服务攻击(distributed denial of service, DDoS)使控制器失效,影响网络安全.为解决SDN中的DDoS流量检测问题,创新性地提出了基于信息熵与深度神经网络(deep neural network, DNN)的DDoS检测模型.该模型包括基于信息熵的初检模块和基于深度神经网络DNN的DDoS流量检测模块.初检模块通过计算数据包源、目的IP地址的信息熵值初步发现网络中的可疑流量,并利用基于DNN的DDoS检测模块对疑似异常流量进行进一步确认,从而发现DDoS攻击.实验表明：该模型对DDoS流量的识别率达到99%以上,准确率也有显著提高,误报率明显优于基于信息熵的检测方法.同时,该模型还能缩短检测时间,提高资源使用效率.     

分布式拒绝服务攻击防御技术研究

分布式拒绝服务攻击已成为影响Internet的重要攻击手段,总结了近年来检测防御技术的研完成果,对分布式拒绝服务检测防御技术进行了分类,并详细分析了防御技术。对防御分布式拒绝服务攻击提供了很大的参考价值。     

基于小波能谱熵和隐半马尔可夫模型的LDoS攻击检测

低速率拒绝服务(low-rate denial of service,简称LDoS)攻击采用周期性发送短脉冲数据包的方式攻击云计算平台和大数据中心,导致连接用户的路由器丢包和数据链路传输性能下降.LDoS攻击流量平均速率很低,具有极强的隐蔽性,很难被检测到.在分析LDoS攻击流量的基础上,通过小波变换得到网络流量的小波能谱熵,并以此作为隐半马尔可夫模型(HSMM)的输入,设计采用HSMM网络模型的LDoS攻击判决分类器,提出了基于小波能谱熵和隐半马尔可夫模型的LDoS攻击检测方法.该检测方法在NS-2和Test-bed环境中分别进行了测试.实验结果表明,该方法具有较好的检测性能,通过假设检验得出检测率为96.81%.     

一种基于Q学习的LDoS攻击实时防御机制及其CPN实现

针对低速率拒绝服务攻击具有隐蔽性高、难以检测和及时响应的特点,提出了一种基于Q学习的LDoS攻击实时防御机制.该机制以终端自适应控制系统为保护对象,周期性地提取网络攻击特征参数,将其作为Q学习模块的输入参数,由Q学习模块进行最优防御的选择,优选出来的防御措施交与系统端执行.防御措施基于动态服务资源分配,根据系统当前运行状态对服务资源进行动态调整,从而保障正常服务请求的响应率.最后使用着色Petri网结合BP神经网络对攻击和防御过程进行了建模和仿真,结果表明：该方法具有较好的实时性和较高的灵敏性,能够对LDoS攻击行为进行实时响应,显著提高了系统防御的自动化程度.     

基于突变模型的SDN环境中DDoS攻击检测方法

文章提出一种基于尖点突变模型的DDoS攻击检测方法,通过分析DDoS攻击的行为特征和SDN下流表的特点,对该模型提出了基于流表的改良型控制变量和状态变量。最后通过仿真实验采集的数据,与常见方法进行多次对比实验,通过对实验结果进行分析可知,该方法可以有效检测DDoS攻击,并且相较于其他方法在具有较高检测率的同时拥有较低的误报率。     

Security challenges in internet of things: Distributed denial of service attack detection using support vector machine-based expert systems

The rapid development of internet of things (IoT) is to be the next generation of the IoT devices are a simple target for attackers due to the lack of security. Attackers can easily hack the IoT devices that can be used to form botnets, which can be used to launch distributed denial of service (DDoS) attack against networks. Botnets are the most dangerous threat to the security systems. Software-defined networking (SDN) is one of the developing filed, which introduce the capacity of dynamic program to the network. Use the flexibility and multidimensional characteristics of SDN used to prevent DDoS attacks. The DDoS attack is the major attack to the network, which makes the entire network down, so that normal users might not avail the services from the server. In this article, we proposed the DDoS attack detection model based on SDN environment by combining support vector machine classification algorithm is used to collect flow table values in sampling time periods. From the flow table values, the five-tuple characteristic values extracted and based on it the DDoS attack can be detected. Based on the experimental results, we found the average accuracy rate is 96.23% with a normal amount of traffic flow. Proposed research offers a better DDoS detection rate on SDN.