基于软件定义网络的流量工程

作为一种新型网络架构,软件定义网络(software defined network,简称SDN)将网络的数据层和控制层分离,通过集中化控制和提供开放控制接口,简化网络管理,支持网络服务的动态应用程序控制.流量工程通过对网络流量的分析、预测和管理,实现网络性能的优化.在SDN中开展流量工程,可以为网络测量和管理提供实时集中的网络视图,灵活、抽象的控制方式以及高效、可扩展的维护策略,具有突出的研究意义.对基于SDN的流量工程相关工作进行综述.分别从测量的方法、应用和部署角度出发,对SDN中流量测量的基本框架、基于测量的正确态检测以及测量资源的管理进行概述.分析传统网络流量调度方案的问题,介绍SDN中数据流量和控制流量调度的主要方法.从数据层和控制层两个方面概述SDN中故障恢复方法.最后,总结并展望未来工作.     

基于深度学习的SDN异常流量检测系统

流量异常直接影响软件定义网络(SDN)的正常工作,为了解决当前SDN流量异常检测过程中存在的一些不足,以提升SDN流量异常检测精度,设计了基于深度学习的SDN流量异常检测系统。采用经验模态分解方法对SDN流量异常数据进行预处理,采用最小二乘支持向量机建立SDN流量异常检测模型,利用萤火虫算法实现最小二乘支持向量机参数优化选择,以获得更优的SDN流量异常检测结果。实验结果表明,本文系统的SDN流量异常值与实际值非常接近,大幅度减少了SDN流量异常检测误差,具有较高的实际应用价值。     

基于信息熵的网络流异常监测和三维可视方法

通过分析网络流量可以反映网络运行情况,挖掘异常行为,感知网络安全态势。为了监测网络运行状况和流量异常情况,提高用户对网络流量态势的感知体验,针对大规模网络流量的数据量大和维度广的特点,提出了一种准实时流量数据报出机制,设计了基于三维可视化的流量监测系统,并结合基于信息熵的流量异常挖掘方法,通过人工监测和数据挖掘,实现了异常流量可视化监测,提高了异常检测成功率。给出了监测系统的设计方案和实现结果,解决了网络数据流从抽象到具象的可视化问题,提供了一种更加直观的态势展现方案,提高了用户对网络态势的感知认识能力。     

基于Netflow的异常流量分离以及归类

针对以往的各种异常流量检测算法只能在宏观上进行流量异常监测,不能进一步实时地将异常流量分离处理,提出了在Netflow流数据环境下对单体IP历史数据的研究的方法,通过对单体IP统计、预测,能快速的检测出导致网络异常流量的主机,并根据其流的类型判断,分类以发现其发生异常的原因并提供ACL策略,从而将网络流量控制在稳定的空间和时间之内,实验结果表明了此方法的可行性和有效性.     

流量测量在SDN网络安全诊断中的应用研究

为了解决软件定义网络(Software Defined Network, SDN)网络流量测量的节点选择中,受环境影响因素导致选择节点的效率低下和估计精度不够的问题。研究以蚁群优化的测量节点选择方法和小流推测的异常检测机制为基础,在蚁群优化算法的基础上加入领域搜索算法进行改进;并且提出以小流推测为基础的网络异常检测机制,对多种网络安全异常进行识别。实验结果显示,改进的蚁群优化算法(Ant Colony Optimization, ACO)算法准确性由0.504提高到1.000;收敛性由0.483提高到0.721;单位时间开销由0.905控制降低到了0.105。数据表明优化后的ACO算法在SDN网络中流量测量的精确度得到了提高。以小流推测为基础的网络异常及检测方法在网络安全实验中表现出了优良的识别异常的能力,可以广泛应用在数据安全保障方面。     

全网异常流量簇的检测与确定机制

在网络安全管理领域,自动确定异常流量簇可为ISP分析和定位全网流量异常提供有效手段.提出了一种基于过滤的网络流数据的全网异常流量簇检测及确定机制.给出了问题的形式化描述和定义;扩展和改进了基于多维树的大流量簇检测方法,提出了灵活的"检测阈值"及"分裂值"的计算方法以改善大流量簇的检测精度;通过剪枝算法缩减了树的规模,提高了查找大流量簇的效率;给出了基于大流量簇确定异常流量簇的方法.实验表明该方法是可行的,可应用于全网异常诊断.     

基于机器学习的网络异常流量分析检测系统的研究与设计

当前网络安全问题已成为网络世界的重要课题,如何有效的检测和响应则成为一项重大挑战。实际上,为保持超前于高级网络安全威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,本文通过研究和设计一种网络异常流量分析检测系统,主要将机器学习的方法应用在网络异常流量分析检测,实现对网络异常流量的有效分析和高准确率检测,从而达到洞悉网络中的恶意活动,并将可疑行为匹配到确认的威胁,提高对网络异常流量的检测目的。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

SDN架构下基于ICMP流量的网络异常检测方法

互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.     

基于分布式用户数据流的网络安全审计系统的研究

本文提出了基于分布式用户数据流的网络安全审计系统的总体框架,介绍了两种异常流量检测方法,并给出了检测异常流量的各项指标。基于异常流量的检测指标,根据中心极限定理,使用采样统计方法刻画出正常网络的基线。参照该基线和对蠕虫特征进行匹配检测出异常流量,并进行预警。     

软件定义网络安全问题研究综述

软件定义网络是一种新型的网络体系结构,其通过OpenFlow技术来实现网络控制面与数据面的分离,从而达到对网络流量的灵活控制,目前已成为下一代互联网的研究热点。随着SDN的发展及广泛应用,其安全问题已成为亟待解决的重要研究内容。近年来,国内外学者在SDN安全研究领域取得了一定的成果,文中针对SDN的3层架构分别对各层所面临的安全问题及其解决方案进行了系统总结。首先给出了SDN的定义和3层框架;接着依次总结了数据层、控制层和应用层的安全问题以及相应的解决方案;然后分析并讨论了传统网络安全与SDN安全的异同;最后对软件定义网络安全问题未来研究可能面临的挑战进行了展望。     

浅析基于网络协议的异常流量识别技术

本文提出构建基于网络协议的异常流量识别模型,结合网络协议分析、网络入侵检测技术等对网络数据层进行解析,通过对频繁IP 地址进行聚集发现网络中的异常流量IP 地址集合,统计出异常数据包。通过DDOS攻击实验结果分析得出,该模型具有较高的识别能力,并且在处理效率和计算强度方面都有很好的表现。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于分组无关问题模型的隐私保护算法

针对分组无关问题模型存在隐私泄露的问题,提出一种改进的分组无关问题模型,采用随机响应的方法,通过对原始数据进行伪装变换处理,实现具有隐私保护的关联规则挖掘。实验结果表明,改进后的模型在伪装变换后的数据集上挖掘出的规则与原始数据规则相比,保证了低误差,具有较好的隐私保护性。     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

智能软件定义网络

近年来,人工智能(artificial intelligence,简称AI)以强劲势头吸引着学术界和工业界的目光,并被广泛应用于各种领域.计算机网络为人工智能的实现提供了关键的计算基础设施.然而,传统网络固有的分布式结构往往无法快速、精准地提供人工智能所需要的计算能力,导致人工智能难以实际应用和部署.软件定义网络(so...     

基于可编程协议无关报文处理的分布式拒绝服务攻击检测

传统软件定义网络（SDN）中的分布式拒绝服务（DDoS）攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理（P4）可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络（data standardization-deep neural network,DS-DNN）复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。     

K-DDoS-SDN: A distributed DDoS attacks detection approach for protecting SDN environment

Software-defined networking (SDN) is an advanced networking paradigm that decouples forwarding control logic from the data plane. Therefore, it provides a loosely-coupled architecture between the control and data plane. This separation provides flexibility in the SDN environment for addressing any transformations. Further, it delivers a centralized way of managing networks due to control logic embedded in the SDN controller. However, this advanced networking paradigm has been facing several security issues, such as topology spoofing, exhausting bandwidth, flow table updating, and distributed denial of service (DDoS) attacks. A DDoS attack is one of the most powerful menaces to the SDN environment. Further, the central data controller of SDN becomes the primary target of DDoS attacks. In this article, we propose a Kafka-based distributed DDoS attacks detection approach for protecting the SDN environment named K-DDoS-SDN. The K-DDoS-SDN consists of two modules: (i) Network traffic classification (NTClassification) module and (ii) Network traffic storage (NTStorage) module. The NTClassification module is the detection approach designed using scalable H2O ML techniques in a distributed manner and deployed an efficient model on the two-nodes Kafka Streams cluster to classify incoming network traces in real-time. The NTStorage module collects raw packets, network flows, and 21 essential attributes and then systematically stores them in the HDFS to re-train existing models. The proposed K-DDoS-SDN designed and evaluated using the recent and publically available CICDDoS2019 dataset. The average classification accuracy of the proposed distributed K-DDoS-SDN for classifying network traces into legitimate and one of the most popular attacks, such as DDoS_UDP is 99.22%. Further, the outcomes demonstrate that proposed distributed K-DDoS-SDN classifies traffic traces into five categories with at least 81% classification accuracy.