软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部D...软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部DDoS攻击问题进行研究,提出了一种基于深度学习混合模型的DDoS攻击检测方法——DCNN-DSAE。该方法在构建深度学习模型时,输入特征除了从数据平面提取的21个不同类型的字段外,同时设计了能够区分流类型的5个额外流表特征。实验结果表明,该方法具有较高的精确度,优于传统的支持向量机和深度神经网络等机器学习方法,同时,该方法还可以缩短分类检测的处理时间。将该检测模型部署于控制器中,利用检测结果产生新的安全策略,下发到Open Flow交换机中,以实现对特定DDoS攻击的防御。展开更多
为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两...为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两种方法检测DDoS攻击的思想和算法。实验表明,对于强DDoS攻击,两种方法都具有较好的效果,对于弱攻击,R/S法难以检测到,而小波分析方法有效。展开更多
随着互联网的高速发展,网络安全的问题越来越严峻。软件定义网络(SDN)的出现为解决网络安全问题提供了全新的解决方案,如软件定义安全(SDS)。在SDS架构的基础上,针对分布式拒绝服务(DDoS)攻击的特点,提出一种新的DDoS防护机制SDS for D...随着互联网的高速发展,网络安全的问题越来越严峻。软件定义网络(SDN)的出现为解决网络安全问题提供了全新的解决方案,如软件定义安全(SDS)。在SDS架构的基础上,针对分布式拒绝服务(DDoS)攻击的特点,提出一种新的DDoS防护机制SDS for DDoS。这种防护机制结合了以往检测方式和防护方式的优点,将安全服务原子化,并实现安全策略盒的多级防护策略。在受到DDoS攻击时,机制可以根据检测到的攻击力度进行动态决策,还能先验式地对攻击流量进行阻隔,不仅增加了决策的可信度,还解决了以往所采用的静态防护和后验式防护的不足。实验验证了机制的可行性,能有效地避免服务器受到DDoS攻击,更突出了它在决策时的灵活性和在遭受攻击时的先验性。展开更多
针对分布式拒绝服务(Distributed Denial of Service,DDoS)攻击在软件定义网络(Software-Define Networking,SDN)环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的...针对分布式拒绝服务(Distributed Denial of Service,DDoS)攻击在软件定义网络(Software-Define Networking,SDN)环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%~3.66%,CPU利用率降低了5%.展开更多
软件定义网络(software defined network,SDN)作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击(distributed denial of service,DDoS)是一种典型...软件定义网络(software defined network,SDN)作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击(distributed denial of service,DDoS)是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。展开更多
互联网域名系统DNS(Domain Name System)在过去的30年中,一直为全球互联网的稳定运行发挥了关键的支撑作用。文章回顾了DNS系统的发展历程,介绍了DNS工作原理和工作流程,重点分析了DDoS攻击、DNS服务软件、隐私泄露和DNS自身缺陷等对DN...互联网域名系统DNS(Domain Name System)在过去的30年中,一直为全球互联网的稳定运行发挥了关键的支撑作用。文章回顾了DNS系统的发展历程,介绍了DNS工作原理和工作流程,重点分析了DDoS攻击、DNS服务软件、隐私泄露和DNS自身缺陷等对DNS体系安全稳定运行构成的威胁,并简要说明了采用DNSSEC、部署根镜像服务器、采用区块链技术推动DNS去中心化等应对DNS威胁的措施。展开更多
文摘软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部DDoS攻击问题进行研究,提出了一种基于深度学习混合模型的DDoS攻击检测方法——DCNN-DSAE。该方法在构建深度学习模型时,输入特征除了从数据平面提取的21个不同类型的字段外,同时设计了能够区分流类型的5个额外流表特征。实验结果表明,该方法具有较高的精确度,优于传统的支持向量机和深度神经网络等机器学习方法,同时,该方法还可以缩短分类检测的处理时间。将该检测模型部署于控制器中,利用检测结果产生新的安全策略,下发到Open Flow交换机中,以实现对特定DDoS攻击的防御。
文摘为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两种方法检测DDoS攻击的思想和算法。实验表明,对于强DDoS攻击,两种方法都具有较好的效果,对于弱攻击,R/S法难以检测到,而小波分析方法有效。
文摘随着互联网的高速发展,网络安全的问题越来越严峻。软件定义网络(SDN)的出现为解决网络安全问题提供了全新的解决方案,如软件定义安全(SDS)。在SDS架构的基础上,针对分布式拒绝服务(DDoS)攻击的特点,提出一种新的DDoS防护机制SDS for DDoS。这种防护机制结合了以往检测方式和防护方式的优点,将安全服务原子化,并实现安全策略盒的多级防护策略。在受到DDoS攻击时,机制可以根据检测到的攻击力度进行动态决策,还能先验式地对攻击流量进行阻隔,不仅增加了决策的可信度,还解决了以往所采用的静态防护和后验式防护的不足。实验验证了机制的可行性,能有效地避免服务器受到DDoS攻击,更突出了它在决策时的灵活性和在遭受攻击时的先验性。
文摘针对分布式拒绝服务(Distributed Denial of Service,DDoS)攻击在软件定义网络(Software-Define Networking,SDN)环境中对其控制器的危害问题,提出一种SDN环境下基于广义熵检测和Adam-DNN相结合的DDoS攻击检测方案.首先,把来自交换机的大量数据包进行熵值检测,根据阈值将数据流量划分为正常、异常和攻击;然后,控制器定位到发出异常警报的交换机收集流表信息,并提取它们的8元流量特征,通过Adam-DNN进行检测是否发生攻击.实验结果表明,与传统的机器学习、香农熵检测方案相比,本方案检测成功率提高了0.91%~3.66%,CPU利用率降低了5%.
文摘软件定义网络(software defined network,SDN)作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击(distributed denial of service,DDoS)是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。
文摘互联网域名系统DNS(Domain Name System)在过去的30年中,一直为全球互联网的稳定运行发挥了关键的支撑作用。文章回顾了DNS系统的发展历程,介绍了DNS工作原理和工作流程,重点分析了DDoS攻击、DNS服务软件、隐私泄露和DNS自身缺陷等对DNS体系安全稳定运行构成的威胁,并简要说明了采用DNSSEC、部署根镜像服务器、采用区块链技术推动DNS去中心化等应对DNS威胁的措施。
