SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking, SDN)实现了控制层和转发层设备的分离, 但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险. 为了解决上述问题, 本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法, 用于检测以SDN控制器和交换机为目标的DDoS攻击. 在改进的算法中, 本文使用离散因子和纯度因子衡量D-S证据源之间的冲突. 同时, 结合纯度因子和离散因子调整D-S证据理论的证据源, 调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果. 实验结果表明本文提出的方法具有较高的精度.     

基于全局网络PCA的DDoS攻击检测方法

随着网络规模的不断扩充,对于DDoS攻击的集中式检测方法已经无法满足实时性和准确性等要求。针对大规模网络中的DDoS攻击行为,提出了一种基于全局PCA的分布式拒绝服务攻击检测方法(WPCAD)。该方法由传统的OD矩阵得出各节点的ODin矩阵,各分布式处理单元通过PCA分析到达该节点的多路OD流之间的相关性,利用DDoS攻击流引起流量之间相关性突变的特性来完成检测。该方法采用分布式处理的方式,降低了检测数据所消耗的带宽,并满足了检测的实时性。实验结果表明该方法具有更好的检测效果。     

自适应聚类算法在DDoS攻击检测中的应用

针对DDoS攻击检测中k-means算法对初始聚类中心敏感和要求输入聚类数目的缺点,提出了一种基于动态指数和初始聚类中心点选取的自适应聚类算法（Adaptive Clustering Algorithm）,并使用该算法建立DDoS攻击检测模型。通过使用LLS_DDoS_1.0数据集对该模型进行测试并与k-means算法对比,实验结果表明,该算法提高了DDoS攻击的检测率,降低了误警率,验证了检测方法的有效性。     

基于GAIG特征选择算法的轻量化DDoS攻击检测方法

为了提高基于分类的DDoS攻击检测方法的实时性,通过结合轻量级入侵检测提出了以遗传算法为搜索策略、信息增益为子集评估标准的filter型特征选择算法GAIG（Feature Selection based on Genetic Algorithm and Information Gain）,提取具有高区分度的相对最小特征子集。在此基础上对比了Na?ve Bayes、C4.5、SVM、RBF Network、Random Forest和Random Tree这六种常用分类器的性能,并选取Random Tree构建了一种轻量化的DDoS攻击检测系统。实验结果表明,GAIG算法使分类器在尽可能不降低分类精度的同时,提高分类速度,从而提高分类检测的实时性;该轻量化攻击检测系统比一般的分类模型具有更好的检测未知攻击的能力。     

一种IPv6环境下DDoS实时检测方法

DDoS攻击是当今网络包括下一代网络IPv6中最严重的威胁之一,提出一种基于流量自相似的IPv6的实时检测方法。分别采用改进的WinPcap实现流数据的实时捕获和监测,和将Whittle ML方法首次应用于DDoS攻击检测。针对Hurst估值方法的选择和引入DDoS攻击流的网络进行对比仿真实验,结果表明:Hurst估值相对误差,Whittle ML方法比小波变换减少0.07%;检测到攻击的误差只有0.042%,准确性达99.6%;增强了DDoS攻击检测的成功率和敏感度。     

DDoS攻击防御技术发展综述

分布式拒绝服务攻击（DDoS）是当前互联网面临的主要威胁之一,如何对 DDoS 攻击进行快速准确的检测以及有效的防御一直是网络信息安全领域的研究热点。从早期的集中式防御技术,到以云计算、SDN为基础的综合型防御体系,针对DDoS攻击各个时期的相关防御技术进行了总结。结合DDoS攻击的特性,系统地分析了各类防御机制在不同应用场景中的优点和潜在问题,为下一代网络安全体系构建提供新的思路和参考。     

一种自定义动态密钥预防DDoS攻击的算法

DDoS攻击表现形式有多种,主要造成后果是导致Web服务器无法提供网络服务,最终造成一系列损失。针对通过某一网页端口进行的DDosS攻击,提出了一种预防算法,自定义动态密钥,并采用自定义算法调用,动态改变被攻击端口处的文件名。该算法使得攻击者无法通过加密后的文件来得到原文件名称,从而达到预防此种DDoS攻击的目的。实验证明,此算法有效。     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

SDN中基于信息熵与DNN的DDoS攻击检测模型

软件定义网络(software defined networking, SDN)解耦了网络的数据层与控制层,同时控制器也面临“单点失效”的危险.攻击者可以发起分布式拒绝服务攻击(distributed denial of service, DDoS)使控制器失效,影响网络安全.为解决SDN中的DDoS流量检测问题,创新性地提出了基于信息熵与深度神经网络(deep neural network, DNN)的DDoS检测模型.该模型包括基于信息熵的初检模块和基于深度神经网络DNN的DDoS流量检测模块.初检模块通过计算数据包源、目的IP地址的信息熵值初步发现网络中的可疑流量,并利用基于DNN的DDoS检测模块对疑似异常流量进行进一步确认,从而发现DDoS攻击.实验表明：该模型对DDoS流量的识别率达到99%以上,准确率也有显著提高,误报率明显优于基于信息熵的检测方法.同时,该模型还能缩短检测时间,提高资源使用效率.     

基于Multi-stream Combined隐马尔柯夫模型源端检测DDoS攻击

提出了一种新颖的综合考虑多维观测特征的DDoS攻击源端检测方法。该方法引入S-D-P特征概念,并抽取TCP/IP包头中的标志位和ID字段构成多维观测特征,采用Multi-stream Combined隐马尔可夫模型（MC-HMM）在源端网络检测DDoS攻击。大量实验表明,MC-HMM方法克服了基于一维观测特征的检测算法信息量过小的固有缺陷,能够有效降低检测的误报率和漏报率,提高DDoS攻击源端检测精度。     

一种IPv6环境下实时DDoS防御方法

现有的DDoS防御方法大多是针对传统IPv4网络提出的,而且它们的防御实时性还有待进一步提高。针对这种情况,提出了一种IPv6环境下实时防御DDoS的新方法,其核心思想是首先在受害者自治系统内建立决策判据树,然后依据决策判据1和2对该树进行实时监控,如果发现攻击,就发送过滤消息通知有关实体在受害端和源端一起对攻击包进行过滤,从而保护受害者。实验证明,该方法能够在秒钟数量级检测到攻击并且对攻击包进行过滤,能有效地防范多个DDoS攻击源。另外,该方法还能准确地区分攻击流和高业务流,可以在不恢复攻击路径的情况下直接追踪到攻击源所在的自治系统（甚至是子网）。     

DDoS攻击方式与防御技术研究

DDoS（分布式拒绝服务）攻击是当前网络安全中最难解决的问题之一。通过对DDoS攻击方法的介绍,分析了DDoS攻击的原理,提出了防御DDoS攻击的方案,并对确定DDoS攻击源的方法进行了探讨。     

基于Hurst参数的DoS/DDoS攻击实时检测技术研究

在对VTP方法分析的基础上,对基于VTP的实时在线计算Hurst参数技术进行了性能分,并利用这种技术,对MIT的林肯实验室数据进行了分析,得出了DDoS攻击过程中,网络流量的自相似模型的Hurst参数变化规律,并由此总结出一种基于Hurst参数实时检测DDoS攻击发生的技术。     

面向SDN/NFV环境的网络功能策略验证

SDN与NFV技术带来了网络管理的灵活性与便捷性,但SDN的动态转发策略可能导致网络功能策略失效,同时不同网络功能的策略可能互相影响,引起冲突问题.为了在基于SDN/NFV的云网络中对网络功能的策略进行验证,分析了网络功能与SDN设备之间、跨网络功能之间的策略冲突,建立了统一策略表达进行策略解析,设计策略验证方案、框架...     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

An attack-norm separation approach for detecting cyber attacks

The two existing approaches to detecting cyber attacks on computers and networks, signature recognition and anomaly detection, have shortcomings related to the accuracy and efficiency of detection. This paper describes a new approach to cyber attack (intrusion) detection that aims to overcome these shortcomings through several innovations. We call our approach attack-norm separation. The attack-norm separation approach engages in the scientific discovery of data, features and characteristics for cyber signal (attack data) and noise (normal data). We use attack profiling and analytical discovery techniques to generalize the data, features and characteristics that exist in cyber attack and norm data. We also leverage well-established signal detection models in the physical space (e.g., radar signal detection), and verify them in the cyberspace. With this foundation of information, we build attack-norm separation models that incorporate both attack and norm characteristics. This enables us to take the least amount of relevant data necessary to achieve detection accuracy and efficiency. The attack-norm separation approach considers not only activity data, but also state and performance data along the cause-effect chains of cyber attacks on computers and networks. This enables us to achieve some detection adequacy lacking in existing intrusion detection systems. Nong Ye is a Professor of Industrial Engineering and an Affiliated Professor of Computer Science and Engineering at Arizona State University (ASU) the Director of the Information Systems Assurance Laboratory at ASU. Her research interests lie in security and Quality of Service assurance of information systems and infrastructures. She holds a Ph.D. degree in Industrial Engineering from Purdue University, West Lafayette, and M.S. and B.S. degrees in Computer Science from the Chinese Academy of Sciences and Peking University in China respectively. She is a senior member of IIE and IEEE, and an Associate Editor for IEEE Transactions on Systems, Man, and Cybernetics and IEEE Transactions on Reliability. Toni Farley is the Assistant Director of the Information and Systems Assurance Laboratory, and a doctoral student of Computer Science at Arizona State University (ASU), Tempe, Arizona. She is studying under a Graduate Fellowship from AT&T Labs-Research. Her research interests include graphs, networks and network security. She holds a B.S. degree in Computer Science and Engineering from ASU. She is a member of IEEE and the IEEE Computer Society. Her email address is toni@asu.edu. Deepak Lakshminarasimhan is a Research Assistant at the Information and Systems Assurance Laboratory, and a Master of Science student of Electrical engineering at Arizona State University (ASU), Tempe, Arizona. His research interests include network security, digital signal processing and statistical data analysis. He holds a B.S degree in Electronics and Communication Engineering from Bharathidasan University in India.     

分布式SOM结合K-均值聚类的软件定义网络泛洪攻击检测方法

针对软件定义网络（SDN）泛洪攻击导致的上层性能瓶颈和过载问题,提出一种分布式自组织映射（DSOM）结合K-均值聚类的网络流量攻击检测方法。首先,位于应用层的DSOM控制器将现有数据集发送给集成了DSOM扩展包的交换机,在每个交换机上分别训练DSOM映射;然后,在预定时间内合并DSOM映射;最后,DSOM控制器将合并后的DSOM映射发送到所有OpenFlow交换机,利用K-均值聚类完成最终的分类。实验结果表明,DSOM方案能够有效检测异常流量、解决瓶颈问题,相比传统方法具有一定的优势。此外,该方法提高了系统对攻击流量的反应速度,同时给网络系统带来较小的开销。     

SDN网络拓扑污染攻击防御机制研究

软件定义网络(software-defined networking, SDN)是一种新型的网络体系结构,SDN网络将传统网络的数据层和控制层进行分离,数据层由支持OpenFlow协议的交换机实现,控制层由控制器来实现.控制器维护全网拓扑信息,集中管理网络流的路由决策.现有研究表明,在控制器的拓扑服务管理中存在严重的漏洞,主要存在于主机发现服务和链路发现服务中,攻击者利用这类漏洞可以进行网络拓扑污染攻击.目前研究者们提出的拓扑污染防御方案存在设计漏洞,很容易被攻击者绕过.故提出一种轻量级的符合SDN场景的防御方案——SecTopo——实现拓扑污染防御.通过在Floodlight控制器上测试SecTopo表明,SecTopo不仅能有效防御攻击,而且仅引入的开销极小.     

基于漫游蜜罐的DDoS防御模型设计

针对当前DDoS防御方法的不足,提出了一种基于漫游蜜罐的DDoS两阶段防御模型。该模型在第一阶段根据DDoS攻击的初期特征,建立简单高效的统计预警模型,并触发下一阶段防御;在第二阶段,应用秩和检验法自动选取检测特征,根据到重心的距离甄别合法与非法流,并对合法流进行漫游。实验结果表明,该模型能较早发现攻击,检测精度高,响应及时。     

基于网络安全风险控制的DDoS攻击防御系统设计分析

本文针对网络安全风险控制的特点,系统的阐述了网络威胁中的分布式拒绝服务攻击（DDoS）的技术原理和分类,从风险控制的角度对构建DDoS攻击防御体系以及所使用的技术和方法进行了设计和分析。