基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

基于深度学习和三支决策的DDoS攻击检测算法

针对软件定义网络(Software Defined Ntwork,SDN)中的分布式拒绝服务(Distribute Denial of Service,DDoS)攻击检测的方法少、现存方法入侵检测率低的问题,提出了一种基于深度学习和三支决策的入侵检测算法.首先使用深度信念网络对SDN的流表项进行特征提取,然后利用基于三支决策理论的入侵检测模型进行DDoS攻击的入侵检测,对于正域和负域的数据直接进行分类,对于边界域中的数据使用K近邻算法重新进行分类.仿真实验结果表明,与其他入侵检测模型相比,所提算法的入侵检测效率更高.     

基于注意力机制的入侵检测生成对抗网络模型

针对传统基于生成对抗网络（GAN）模型存在生成对抗样本无效且训练效率低等问题,提出一种基于注意力机制的GAN模型,通过在生成器模块引入注意力机制,保留攻击流量攻击功能的同时,对输入向量的不同部分设置不同权值,以实现对关键特征信息的抽取,使得模型可以作出更准确的判断,同时提高训练的效率。生成器根据注意力特征图可以抽取攻击流量中的非功能特征进行修改,提高训练效率,结合判别器判别反馈结果,最终生成器可以生成保留攻击功能的有效对抗样本。实验针对基于卷积神经网络（CNN）类的深度入侵检测系统进行测试,验证了此基于注意力机制的GAN对抗攻击模型生成的对抗流量可以有效降低深度入侵检测系统的识别率,整体识别率降低超过10%,在注意力模块的帮助下模型能够针对重要特征进行训练,使得收敛速度更快、效率更高。     

面向SDN的DDoS攻击细粒度化检测策略

在针对SDN架构的网络攻击中,分布式拒绝服务（DDOS）攻击是目前实施最简单,组织化最普遍,危害性最大的网络攻击之一,针对现有抵御方式中存在的特征选取僵化,无法识别零日攻击且检测精度不高等问题。提出基于熵率度量（ERM）和卷积神经网络（CNN）的混合检测方法,该方法以熵率计算和细粒度深度学习算法构建检测机制,以求检测多类型及多体量攻击。实验证明,所提出的方法能够满足实际应用中对于零日攻击的检测要求且针对正常用户流量激增事件具有良好的反应机制。     

软件定义网络环境下的低速率拒绝服务攻击检测方法

低速率拒绝服务（LDoS）攻击是一种拒绝服务（DoS）攻击改进形式,因其攻击平均速率低、隐蔽性强,使得检测LDoS攻击成为难点。针对上述难点,提出了一种在软件定义网络（SDN）的架构下,基于加权均值漂移-K均值算法（WMS-Kmeans）的LDoS攻击检测方法。首先,通过获取OpenFlow交换机的流表信息,分析并提取出SDN环境下LDoS攻击流量的六元组特征;然后,利用平均绝对值百分比误差作为均值漂移聚类中欧氏距离的权值,以此产生的簇心作为K-Means的初始中心对流表进行聚类,从而实现LDoS攻击的检测。实验结果表明：在SDN环境下,所提方法对LDoS攻击具有较好的检测性能,平均检测率达到99.29%,平均误警率和平均漏警率分别为1.97%和0.69%。     

基于Sibson距离的OpenFlow网络DDoS攻击检测方法研究*

为解决软件定义网络(Software Defined Network, SDN)控制器易受分布式拒绝服务(Distributed Denial of Service, DDoS)攻击的问题,本文提出了一种基于Sibson距离的DDoS攻击检测方法。首先,针对现有SDN网络控制器负载过重问题,设计了一种分层式DDoS攻击检测架构,通过采用多个代理控制器来减轻主控制器负荷;其次,针对现有DDoS攻击检测误报率高的问题,提出了一种基于Sibson距离DDoS攻击检测算法,在提高检测时效性和保证检测精度的同时,加强对正常突发流的识别能力。仿真实验表明,该方法能有效区分攻击流和正常突发流,提高了网络的稳健性。     

基于节点生长马氏距离K均值和HMM的网络入侵检测方法设计

传统的网络入侵检测方法存在着检测率低和无法进行在线检测的问题,为此设计了一种基于节点生长马氏距离K均值和HMM的网络入侵检测方法;首先,给出了入侵检测系统框图,然后,以马氏距离为评价准则,提出了一种节点根据距离阈值进行自适应生长的K均值算法以实现样本的聚类,得到样本属于各攻击类型的后验概率,并采用此后验概率来初始化HMM中的初始矢量分布、状态转移概率和观察值概率等参数,通过前向评估准则和后向评估准则对HMM模型进行训练,从而获得了HMM检测模型,将样本输入到各检测模型中并将概率最大的检测模型作为其攻击类型;仿真试验表明所提方法能有效地实现网络入侵检测,不仅具有较高的检测率,而且具有较低的误检率和漏检率,是一种有效的网络入侵检测方法。     

基于优化数据处理的深度信念网络模型的入侵检测方法

针对目前网络中存在的对已知攻击类型的入侵检测具有较高的检测率,但对新出现的攻击类型难以识别的缺陷问题,提出了一种基于优化数据处理的深度信念网络（DBN）模型的入侵检测方法。该方法在不破坏已学习过的知识和不严重影响检测实时性的基础上,分别对数据处理和方法模型进行改进,以解决上述问题。首先,将经过概率质量函数（PMF）编码和MaxMin归一化处理的数据应用于DBN模型中;然后,通过固定其他参数不变而变化一种参数和交叉验证的方式选择相对最优的DBN结构对未知攻击类型进行检测;最后,在NSL-KDD数据集上进行了验证。实验结果表明,数据的优化处理能够使DBN模型提高分类精度,基于DBN的入侵检测方法具有良好的自适应性,对未知样本具有较高的识别能力。在检测实时性上,所提方法与支持向量机（SVM）算法和反向传播（BP）网络算法相当。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题,提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先,该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取;之后,设计了一种数据流转换算法,将采集的攻击数据流转换为一维序列并进行去重;最后,使用一维CNN构建分类模型,该模型通过卷积核来提取序列片段,并从片段中学习攻击样本的局部模式,从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示,与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比,该模型对未知攻击频率的样本同样具有较好的检测能力,在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

SDN中基于C4.5决策树的DDoS攻击检测

SDN（Software Defined Network,软件定义网络）是一种新兴的网络架构,它的控制与转发分离架构为网络管理带来了极大的便利性和灵活性,但同时也带来新的安全威胁和挑战。攻击者通过对SDN的集中式控制器进行DDoS（Distributed Denial of Service,分布式拒绝服务）攻击,会使信息不可达,造成网络瘫痪。为了检测DDoS攻击,提出了一种基于C4.5决策树的检测方法：通过提取交换机流表项信息,使用C4.5决策树算法训练数据集生成决策树对流量进行分类,实现DDoS攻击的检测,最后通过实验证明了该方法有更高的检测成功率,更低的误警率与较少的检测时间。     

DoS Attack Detection Based on Deep Factorization Machine in SDN

Software-Defined Network (SDN) decouples the control plane of network devices from the data plane. While alleviating the problems presented in traditional network architectures, it also brings potential security risks, particularly network Denial-of-Service (DoS) attacks. While many research efforts have been devoted to identifying new features for DoS attack detection, detection methods are less accurate in detecting DoS attacks against client hosts due to the high stealth of such attacks. To solve this problem, a new method of DoS attack detection based on Deep Factorization Machine (DeepFM) is proposed in SDN. Firstly, we select the Growth Rate of Max Matched Packets (GRMMP) in SDN as detection feature. Then, the DeepFM algorithm is used to extract features from flow rules and classify them into dense and discrete features to detect DoS attacks. After training, the model can be used to infer whether SDN is under DoS attacks, and a DeepFM-based detection method for DoS attacks against client host is implemented. Simulation results show that our method can effectively detect DoS attacks in SDN. Compared with the K-Nearest Neighbor (K-NN), Artificial Neural Network (ANN) models, Support Vector Machine (SVM) and Random Forest models, our proposed method outperforms in accuracy, precision and F1 values.     

Risk based intrusion detection system in software defined networking

Software defined networking (SDN) separates control from data operations. However, this technology adds a new security cost to the network architecture because of the ongoing and developing security vulnerabilities. An intrusion detection system must be continuously improved and integrated into the SDN architecture in order to provide a network defense against attacks. In this study, we propose a continual learning system based on risk assessment to detect intrusion in SDN. We suggest a technique for continually enhancing datasets to produce a more accurate prediction. The proposed system includes various processes, including risk assessment and the selection of the deep learning (DL) approach. We propose assessing the risks related to different intrusion types. Based on the risk value, we can identify which intrusion types are more important and have a dangerous impact. We use the risk values to choose the most appropriate DL approach and for the dataset's continual enrichment. We compare different DL methods using the standard metrics and two proposed metrics. Then, we propose to use a method based on the bit alternation approach to obtain a unique metric for decision-making. Finally, we have studied the efficacy of our system using two case studies.     

面向SDN拓扑发现的LDoS攻击防御技术研究

准确获取网络拓扑是软件定义网络（Software?Defined?Network,SDN）中控制器进行有效决策的前提,而现有拓扑发现机制难以有效应对低速率拒绝服务（Low rate Denial of Service,LDoS）攻击等行为。通过理论和实验分析LDoS攻击对SDN拓扑发现造成的影响,提出了一种面向SDN拓扑发现的LDoS攻击防御机制TopoGuard。TopoGuard根据LDoS攻击的周期性特征,通过连续突发检测快速发现存在的疑似攻击场景,并基于主动链路识别策略避免攻击行为造成网络拓扑中断。最后,在OpenDaylight控制器上实现了TopoGuard。实验结果显示,TopoGuard能够有效检测和防御LDoS攻击行为,保证控制器获取全局拓扑信息的正确性。     

动态主机配置协议泛洪攻击在软件定义网络中的实时防御

在软件定义网络（SDN）中，动态主机配置协议（DHCP）泛洪攻击报文通常能通过reactive方式主动地进入控制器，对SDN危害巨大。针对传统的DHCP泛洪攻击防御方法无法阻止SDN中该攻击带来的控制链路阻塞这一问题，提出一种DHCP泛洪攻击的动态防御机制（DDM）。DDM包含检测模型和缓解模型。在检测模型中，不同于他人提出的静态阈值检测方法，采用DHCP流量均速和IP池余量两个关键参数建立动态峰值估计模型来评估端口是否受到攻击，若受到攻击则交由缓解模型进行防御。在缓解模型中，利用地址解析协议（ARP）的应答特点进行IP池清洗，并设计了周期内分时段拦截机制对攻击源进行截流，在缓解阻塞的同时，最大限度减少拦截对用户正常使用的影响。仿真实验结果表明，相对静态阈值检测，DDM检测误差平均降低18.75%。DDM缓解模型能高效地拦截流量，同时将用户在拦截期正常接入网络的等待时间平均缩短81.45%。     

无线传感器网络中基于路径序列检测的安全机制

针对无线传感器网络(WSN)中容易受到的攻击的问题,提出一种新的基于路径序列检测的安全机制。该机制通过构建合理的路径序列并进行安全验证来实现数据包的路由规则检测及上一跳节点的身份认证,保证路由规则的正确性和数据的真实性。经过性能分析和仿真实验表明该机制在网络规模增加的情况下攻击检测失效的概率不会降低,所提策略能有效地检测出恶意篡改数据传输路径的路由攻击,提升无线传感器网络的安全性。