软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部D...软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部DDoS攻击问题进行研究,提出了一种基于深度学习混合模型的DDoS攻击检测方法——DCNN-DSAE。该方法在构建深度学习模型时,输入特征除了从数据平面提取的21个不同类型的字段外,同时设计了能够区分流类型的5个额外流表特征。实验结果表明,该方法具有较高的精确度,优于传统的支持向量机和深度神经网络等机器学习方法,同时,该方法还可以缩短分类检测的处理时间。将该检测模型部署于控制器中,利用检测结果产生新的安全策略,下发到Open Flow交换机中,以实现对特定DDoS攻击的防御。展开更多
云计算是一种服务模式的革新,它将物理资源(例如,计算资源、存储资源、数据资源)集中化,并通过网络以按需的方式提供给用户.云计算面临诸多安全挑战(例如,数据隐私、资源管理),其中分布式拒绝服务(Distributed Denial of Service,DDoS)...云计算是一种服务模式的革新,它将物理资源(例如,计算资源、存储资源、数据资源)集中化,并通过网络以按需的方式提供给用户.云计算面临诸多安全挑战(例如,数据隐私、资源管理),其中分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是主要的安全威胁之一.DDoS攻击严重影响了云计算的连续性和可用性.尽管DDoS攻击早已在传统网络中盛行,但云计算的应用给DDoS攻防带来了全新的挑战和机遇.一方面,云计算赋能攻击.云计算的大规模和集中化将传统攻击进一步放大.此外,云计算本身的漏洞被用于组织新型的攻击.在上述情况下,传统的防御技术难以应对云计算中大规模、多样化、复杂化的DDoS攻击.另一方面,云计算赋能防御.云计算丰富的资源结合新技术(例如,软件定义网络、自动伸缩)可保证自身的安全以及向用户提供云安全服务.充分利用云计算的新技术抗DDoS攻击是目前的发展趋势.云计算中的DDoS攻击引起了广泛的关注.许多研究工作致力于揭示新的漏洞或设计有效的抗DDoS方案.为了使相关研究人员能够全面了解最新的研究进展并激发他们开发新的方案应对各种DDoS攻击,本文对现有研究进行了广泛调研形成综述.首先,我们总结了云计算在技术和服务上存在的漏洞,并进一步揭示了攻击者如何利用这些漏洞发起DDoS攻击.接下来,我们描述了云计算中DDoS攻击的组织方式.此外,我们还分析了云计算中各种DDoS攻击的原理,并根据攻击速率将其分类.然后,我们给出一个DDoS防御的总体架构.基于此,我们从攻击预防、攻击检测和攻击缓解三个方面对现有的抗DDoS攻击技术进行了详细的分析和评估.重要的是,我们比较了这些技术的优缺点.除技术外,我们还简要讨论了为应对DDoS攻击在服务和管理上需要关注的问题.最后,我们讨论了当前开放性的问题以及面临的挑战,并展�展开更多
SDN (Software Defined Network) has many security problems, and DDoS attack is undoubtedly the most serious harm to SDN architecture network. How to accurately and effectively detect DDoS attacks has always been a diff...SDN (Software Defined Network) has many security problems, and DDoS attack is undoubtedly the most serious harm to SDN architecture network. How to accurately and effectively detect DDoS attacks has always been a difficult point and focus of SDN security research. Based on the characteristics of SDN, a DDoS attack detection method combining generalized entropy and PSOBP neural network is proposed. The traffic is pre-detected by the generalized entropy method deployed on the switch, and the detection result is divided into normal and abnormal. Locate the switch that issued the abnormal alarm. The controller uses the PSO-BP neural network to detect whether a DDoS attack occurs by further extracting the flow features of the abnormal switch. Experiments show that compared with other methods, the detection accurate rate is guaranteed while the CPU load of the controller is reduced, and the detection capability is better.展开更多
ICMPv6(Internet Control Management Protocol version 6)协议作为IPv6网络运行的基础支撑协议,是IPv6 DDoS(Distribute Denial of Service)攻击防御的一个重要环节。在分析国内外ICMPv6 DDos攻击检测现状的基础上,提出了一种基于信息...ICMPv6(Internet Control Management Protocol version 6)协议作为IPv6网络运行的基础支撑协议,是IPv6 DDoS(Distribute Denial of Service)攻击防御的一个重要环节。在分析国内外ICMPv6 DDos攻击检测现状的基础上,提出了一种基于信息熵与长短期记忆网络(Long Short-Term Memory,LSTM)相结合的双重检测方法。该方法通过基于信息熵的初步检测能有效识别出异常流量,再进一步基于改进的LSTM网络的深度检测对异常流量进行确认。仿真实验表明,该方法对ICMPv6 DDoS攻击的识别准确率能达到95%以上,与常用的检测方法相比,该方法的准确率更高。同时,与只基于LSTM的检测方法相比,该方法缩短了50%以上的检测时间,具有更好的性能。展开更多
分析了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系...分析了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。展开更多
基金Supported by the National Natural Science Foundation of China under Grant No.60572131(国家自然科学基金)the Key Technologies R&D Program of Jiangsu Province of China under Grant No.BE2007058(江苏省科技攻关项目)+4 种基金the Scientific Research Foundation for the Returned Overseas Chinese ScholarsMinistry of Education of China and Nanjing Government(国家教育部和南京市回国人员基金)the Scientific Development Foundation of Government(南京市科技发展计划)the Scientific Research Foundation of NJUPT under Grant No.NY206008(南京邮电大学攀登计划)the Scientific Research Foundation of ZTE and Huawei Corporation of China(中兴及华为基金)
文摘软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部DDoS攻击问题进行研究,提出了一种基于深度学习混合模型的DDoS攻击检测方法——DCNN-DSAE。该方法在构建深度学习模型时,输入特征除了从数据平面提取的21个不同类型的字段外,同时设计了能够区分流类型的5个额外流表特征。实验结果表明,该方法具有较高的精确度,优于传统的支持向量机和深度神经网络等机器学习方法,同时,该方法还可以缩短分类检测的处理时间。将该检测模型部署于控制器中,利用检测结果产生新的安全策略,下发到Open Flow交换机中,以实现对特定DDoS攻击的防御。
文摘云计算是一种服务模式的革新,它将物理资源(例如,计算资源、存储资源、数据资源)集中化,并通过网络以按需的方式提供给用户.云计算面临诸多安全挑战(例如,数据隐私、资源管理),其中分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是主要的安全威胁之一.DDoS攻击严重影响了云计算的连续性和可用性.尽管DDoS攻击早已在传统网络中盛行,但云计算的应用给DDoS攻防带来了全新的挑战和机遇.一方面,云计算赋能攻击.云计算的大规模和集中化将传统攻击进一步放大.此外,云计算本身的漏洞被用于组织新型的攻击.在上述情况下,传统的防御技术难以应对云计算中大规模、多样化、复杂化的DDoS攻击.另一方面,云计算赋能防御.云计算丰富的资源结合新技术(例如,软件定义网络、自动伸缩)可保证自身的安全以及向用户提供云安全服务.充分利用云计算的新技术抗DDoS攻击是目前的发展趋势.云计算中的DDoS攻击引起了广泛的关注.许多研究工作致力于揭示新的漏洞或设计有效的抗DDoS方案.为了使相关研究人员能够全面了解最新的研究进展并激发他们开发新的方案应对各种DDoS攻击,本文对现有研究进行了广泛调研形成综述.首先,我们总结了云计算在技术和服务上存在的漏洞,并进一步揭示了攻击者如何利用这些漏洞发起DDoS攻击.接下来,我们描述了云计算中DDoS攻击的组织方式.此外,我们还分析了云计算中各种DDoS攻击的原理,并根据攻击速率将其分类.然后,我们给出一个DDoS防御的总体架构.基于此,我们从攻击预防、攻击检测和攻击缓解三个方面对现有的抗DDoS攻击技术进行了详细的分析和评估.重要的是,我们比较了这些技术的优缺点.除技术外,我们还简要讨论了为应对DDoS攻击在服务和管理上需要关注的问题.最后,我们讨论了当前开放性的问题以及面临的挑战,并展�
文摘为了解决分布式拒绝服务(Distributed Denial of Service,DDoS)攻击使云计算的最终用户无法访问云服务的问题,该文提出一种基于投票极限学习机(Voting Extreme Learning Machine,V-ELM)和黑洞优化的云计算DDoS攻击检测算法.该算法采用V-ELM作为分类器进行系统设计,使用多个极端学习机器同时检测攻击.使用数据包分析器捕获网络流量生成供分类器使用的样本,然后使用黑洞优化训练V-ELM中的所有ELM,在攻击检测过程中将样本应用于每个ELM并计算输出,最后在多数投票的基础上合并得到最终输出.实验结果表明:该文提出的算法在网络安全实验知识发现与数据挖掘(Network Security Lab Knowledge Discovery and Data Mining,NSL KDD)数据集和KDD分布式拒绝服务(KDD Distributed Denial of Service,KDD DDoS)数据集上的准确性、灵敏度和特异性均优于所对比的方法.
基金supported by the Hebei Province Innovation Capacity Improvement Program of China under Grant No.179676278Dthe Ministry of Education Fund Project of China under Grant No.2017A20004
文摘SDN (Software Defined Network) has many security problems, and DDoS attack is undoubtedly the most serious harm to SDN architecture network. How to accurately and effectively detect DDoS attacks has always been a difficult point and focus of SDN security research. Based on the characteristics of SDN, a DDoS attack detection method combining generalized entropy and PSOBP neural network is proposed. The traffic is pre-detected by the generalized entropy method deployed on the switch, and the detection result is divided into normal and abnormal. Locate the switch that issued the abnormal alarm. The controller uses the PSO-BP neural network to detect whether a DDoS attack occurs by further extracting the flow features of the abnormal switch. Experiments show that compared with other methods, the detection accurate rate is guaranteed while the CPU load of the controller is reduced, and the detection capability is better.
文摘ICMPv6(Internet Control Management Protocol version 6)协议作为IPv6网络运行的基础支撑协议,是IPv6 DDoS(Distribute Denial of Service)攻击防御的一个重要环节。在分析国内外ICMPv6 DDos攻击检测现状的基础上,提出了一种基于信息熵与长短期记忆网络(Long Short-Term Memory,LSTM)相结合的双重检测方法。该方法通过基于信息熵的初步检测能有效识别出异常流量,再进一步基于改进的LSTM网络的深度检测对异常流量进行确认。仿真实验表明,该方法对ICMPv6 DDoS攻击的识别准确率能达到95%以上,与常用的检测方法相比,该方法的准确率更高。同时,与只基于LSTM的检测方法相比,该方法缩短了50%以上的检测时间,具有更好的性能。
文摘分析了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。
