1、SDN 环境下 DDoS 攻击检测和缓解系统沈浩桐,魏松杰(南京理工大学计算机科学与工程学院,南京210094)通信作者:魏松杰,E-mail:摘要:分布式拒绝服务攻击(distributeddenialofservice,DDoS)是网络安全领域的一大威胁.作为新型网络架构,软件定义网络(softwaredefinednetworking,SDN)的逻辑集中和可编程性为抵御 DDoS 攻击提供了新的思路.本文设计并实现了一个轻量级的 SDN 环境下的 DDoS 攻击检测和缓解系统.该系统使用熵值检测方法,并通过动态阈值进行异常判断.若异常,系统将使用更精确的决策树模型进行检测.最后,控制器通
2、过计算流的包对称率确定攻击源,并下发阻塞流表项.实验结果表明,该系统能够及时响应 DDoS 攻击,具有较高的检测成功率,并能够有效遏制攻击.关键词:软件定义网络;分布式拒绝服务攻击;检测;缓解;决策树;熵值引用格式:沈浩桐,魏松杰.SDN 环境下 DDoS 攻击检测和缓解系统.计算机系统应用,2023,32(8):133139.http:/www.c-s- Attack Detection and Mitigation System in SDN EnvironmentSHENHao-Tong,WEISong-Jie(SchoolofComputerScienceandEngineering,
3、NanjingUniversityofScienceandTechnology,Nanjing210094,China)Abstract:Distributeddenialofservice(DDoS)attackisamajorthreatinthefieldofnetworksecurity.Asanewtypeofnetworkarchitecture,thelogiccentralizationandprogrammabilityofsoftwaredefinednetworking(SDN)providenewideasfordefendingagainstDDoSattacks.T
4、hisstudydesignsandimplementsalightweightDDoSattackdetectionandmitigationsysteminSDN.Thesystemusestheentropydetectionmethodandjudgestheabnormalitythroughthedynamicthreshold.Ifthedynamicthresholdisabnormal,thesystemwilluseamoreaccuratedecisiontreemodelfordetection.Finally,thecontrollerdeterminestheatt
5、acksourcebycalculatingthepacketsymmetryrateoftheflowanddeliverstheblockingflowentry.TheexperimentalresultsshowthatthesystemcanrespondtoDDoSattacksintime.Ithasahighdetectionsuccessrateandcaneffectivelycontainattacks.Key words:softwaredefinednetworking(SDN);distributeddenialofservice(DDoS);detection;m
6、itigation;decisiontree;entropyDDoS 攻击易于实施,利用有限的资源即可在网络中发起不对称攻击.攻击者通过控制大量主机发送无用数据包来淹没受害者的带宽或攻击其可用资源,从而阻止合法用户访问1.在传统网络中,有许多已知的防御 DDoS 攻击的方法.然而,由于传统网络的局限性,这些防御方法仍存在着不足之处.软件定义网络是一种以新颖的方式创建可编程和易于管理的网络模型2.它由数据层、控制层和应用层组成3.在 SDN 中,OpenFlow 是标准通信协议4.当数据包进入交换机时,交换机会查看流表项以确定数据计算机系统应用ISSN1003-3254,CODENCSAOBNE
7、-mail:ComputerSystems&Applications,2023,32(8):133139doi:10.15888/ki.csa.009206http:/www.c-s-中国科学院软件研究所版权所有.Tel:+86-10-62661041基金项目:工信部 2020 年工业互联网创新发展工程(TC200H01V);国家自然科学基金(61802186,61472189)收稿时间:2023-02-06;修改时间:2023-03-08;采用时间:2023-03-22;csa 在线出版时间:2023-06-09CNKI 网络首发时间:2023-06-09SystemConstruction
8、系统建设133包的转发规则.如果不存在匹配的流表项,交换机将发送 Packet-In 消息给控制器,控制器决定数据包的转发规则.这种决策与转发的分离使得 SDN 能够轻松检测和响应 DDoS 攻击.然而,SDN 的网络结构也使得网络本身容易受到 DDoS 攻击.例如 Packet-In 泛洪攻击、针对交换机流表的溢出攻击、针对南向接口的堵塞攻击等5.这些攻击不仅会消耗受害设备的计算和存储资源,还容易阻塞南向接口,降低控制器的网络管理能力.相较于传统网络,SDN 能够通过集中式控制器、全局可见的网络拓扑和按需创建流量转发规则来更有效地防御 DDoS 攻击6.为此,本文利用 SDN 的可编程以及集
9、中控制的特性,提出了一种部署于控制器内的 DDoS 攻击检测和缓解系统.1相关工作已有许多研究者针对 SDN 环境下的 DDoS 攻击进行了检测和缓解方法的研究.Do 等人7使用控制器收集的分组报头中的目的IP 地址来计算目的 IP 地址熵,并使用随时间变化的动态阈值来判断网络状态.Mishra 等人8提出了一种基于熵值的检测方案,以交换机中数据包速率作为触发标准,并在异常交换机中添加阻塞流表项.Makuavaza 等人9提出了一种基于深度神经网络的检测方案,可在 SDN 中实时检测 DDoS 攻击.该方案在 CICIDS-2017 上的检测准确度是 96.67%,精确度是 97.21%.遗憾
10、的是,它并没有在 SDN 上进行仿真实验.Ye 等人10通过控制器定期收集交换机流表的统计信息,从中提取六元特征组,并用SVM算法对这些特征组进行攻击分类.另外,贾锟等人11提出了一种机制,该机制在粗粒度模式下使用统计特征检测可疑行为,在细粒度模式下使用熵值检测算法以及 SVM 检测算法.实验表明,该机制可以快速响应攻击.攻击缓解是保护网络资源的重要防御措施.Hu 等人12提出了一种基于白名单和流量迁移的攻击缓解机制.当攻击发生时,该机制将流量迁移到缓解代理,并利用白名单标识流量.然后,缓解服务器对正常流量进行转发,对攻击流量进行丢弃.不过,流量迁移会造成额外负担.刘向举等人13通过对节点流量
11、特征进行聚类分析,实现攻击溯源,并根据溯源结果封禁攻击端口和过滤 Packet-In 消息.Wang 等人14使用卷积神经网络和极限学习机的混合方法确定攻击流量,并根据攻击流量特征进行 IP 回溯来定位攻击者,最后,控制器发送流表项来过滤攻击流量.综合研究,本文设计并实现一个 SDN 环境下轻量级的 DDoS 攻击检测和缓解系统.轻量级保证检测机制不占用过多控制器的计算以及存储资源.具体而言,控制器通过提取 Packet-In 消息中的信息来计算熵值,并使用动态阈值判断熵值是否异常.若熵值异常,则使用决策树模型进行二次检测.最后,控制器通过不对称分析过滤攻击流量.2系统设计整个系统有 3 个模
12、块,分别是阈值警告模块、攻击检测模块和攻击缓解模块.系统的组成和工作流程如图 1 所示.控制器N数据层数据包到达匹配流表项?从 Packet-In中计算熵EWMA 预测熵异常?收集流表项提取特征DT 分类器攻击?数据包转发阈值警告模块攻击检测模块达到窗口值?YYNNYYN计算包对称率确定攻击源下发流表项修改流/丢包攻击缓解模块图 1系统组成和工作流程图 2.1 阈值警告模块常规的检测方案是通过控制器周期性地请求数据并进行攻击检测,但调度周期很难确定.若间隔时间较小,控制器会频繁请求数据并进行检测,对集中于控制器的检测机制而言,这会增加对控制器以及南向接口的资源占用.而间隔时间过长则可能导致检测
13、不及时.因此,本文采用阈值警告模块并使用熵值检测方法来检测 DDoS 攻击,有助于早期发现网络中的攻击.此外,它不需要周期性触发检测技术.计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第8期134系统建设SystemConstruction(1)特征计算当攻击者发起 DDoS 攻击时,常进行源 IP 地址欺骗,这会导致交换机不断触发 Table-Miss 选项,并向控制器发送大量 Packet-In 消息.控制器收集 Packet-In 消息,并在消息数量达到预设窗口值时,计算目的 IP 地址的熵值.由于窗口中存在大量指向受害者地址的Packet-In 消息,因此目的
14、 IP 地址的不确定性变小,熵值也会显著降低.值得注意的是,交换机中的每条流表项都设有空闲时间和生存时间.当流表项在空闲时间内未被命中,或在生存时间结束后,无论是否匹配,均会被删除.因此,交换机会不断生成新的 Packet-In 消息发往控制器.N W=y1,y2,ynyiinP=p1,p2,pnpi假设窗口容量为,统计一个窗口中各目的 IP 地址的数量信息.其中,为第 个目的IP 地址的数量,为窗口中不同目的 IP 地址的数量.目的 IP 地址的概率分布,其中,由式(1)计算所得:pi=yiN(1)熵值计算公式如式(2)所示:E=ni=1pilog2pi(2)(2)阈值计算静态阈值不能有效地
15、根据网络流量的变化进行调整,其选取需要较长时间的观察.因此,本文采用基于时间序列的指数加权移动平均(exponentiallyweightedmovingaverages,EWMA)模型计算动态阈值.EWMA模型根据前一时刻的观测值和预测值计算当前时刻的预测值,能够描述数值的变化趋势.在网络正常情况下,相邻窗口的熵值不会有太大的变化.但在网络异常时,熵值会发生显著变化,导致 EWMA 模型预测失败.因此,EWMA 模型可在小时间窗口内快速检测 DDoS 攻击.Aladaileh 等人15已经证明了 EWMA 模型在 SDN和 DDoS 检测中是有效的.yttyt表示 时刻的窗口预测值,是实际值
16、,为平滑系数.EWMA 定义如式(3)所示:yt=yt1+(1)yt1,t 2y1,t=2(3)式(3)计算的预测值等于所有观测值的指数加权.但是在实际操作中,控制器不能记录所有的观测值.为ww此,本文设立一个滑动窗口,大小为.EWMA 模型将使用最接近当前时间的 个历史观测值来预测当前值.那么当前预测值的计算公式将被如下定义:yt=yt1+(1)yt2+(1)w1ytw(4)tC动态阈值区域(dynamicthreshold,DTH)计算公式如式(5)所示.其中,是 时刻之前滑动窗口内样本的标准差,是常量值.ytC DTH yt+C(5)t正常网络流量的波动具有一定的规律性,一般与前一段时间
17、的流量波动具有相似性.基于此,本文使用标准差来描述网络本身的变化范围.式(6)和式(7)为时刻滑动窗口中所有样本的平均值以及标准差.avg=1wt1i=twyi(6)=vut1wt1i=tw(yiavg)2(7)当目的 IP 地址的熵值在 DTH 内时,滑动窗口将被更新.反之,阈值警告模块会发出警报,并启动攻击检测模块.熵值会因为大量突发性的合理请求或者网络链路故障而表现异常,因此系统还实现了基于机器学习的攻击检测模块,以提高检测精度并降低误报率.2.2 攻击检测模块一旦阈值警告模块触发警报,防御系统将启动攻击检测模块以确定是否发生攻击.本模块分为 3 个阶段:流表信息收集、特征提取和攻击检测
18、.(1)流表信息收集:控制器以 T 为周期发送 ofp_flow_stats_request 请求,收集所有交换机的流表信息.(2)特征提取:本文使用基于单位时间内流的统计特征来检测 DDoS 攻击.选取的特征描述如下.1)流表项平均数据包量(averagepacketsofflowentries,APF)在基于协议的 DDoS 攻击中,攻击者将以较少的数据包量发送大量流量.而针对大容量 DDoS 攻击,每个流中的数据包将急剧增加,以消耗网络带宽.在这两种情况下,每个流的平均数据包量要么太小,要么太大,这使其成为识别 DDoS 攻击的关键特征.具体计算公式如式(8)所示:APF=Ni=1PiN
19、(8)2023年第32卷第8期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设135PiiN其中,是第 条流表项中的数据包数量,为流总数.2)流表项平均字节数(averagebytesofflowentries,ABF)与 APF 类似,在攻击阶段,每个流的平均字节数会过高或过低,这使其成为检测 DDoS 攻击的一个重要特征.ABF=Ni=1BiN(9)BiiN其中,是第 条流表项中的字节数,为流总数.3)流表项增长速率(thegrowthrateofflowentries,GFE)当发生 DDoS 攻击时,每单位时间内增长的流表项数量显著高于
20、正常值.具体计算公式如式(10)所示:GFE=SflowT(10)Sflow其中,是采样周期 T 内增长的流表项数量.4)源 IP 地址的熵值(entropyofsourceIPaddresses,ESA)由于 DDoS 攻击本质上是分布式的,攻击者要么通过分布在网络中的程序,要么使用伪造的 IP 地址攻击受害者.这会导致在采样周期内,源 IP 地址相对分散,源 IP 地址的熵值变大.具体计算公式如式(11)所示:ESA=iPsIPilog2PsIPi(11)PsIPisIPi其中,为源 IP 地址的数量与源 IP 地址总数量的比值.5)目的 IP 地址熵值(entropyofdestinat
21、ionIPaddresses,EDA)攻击发生时,流量往往集中在受害者.因此目的IP 地址的随机性会变低,其熵值也会变小.具体计算公式如下:EDA=iPdIPilog2PdIPi(12)PdIPidIPi其中,为目的 IP 地址是的数量占总数量的比例.6)对流比(ratioofpairflows,RPF)当发生 DDoS 攻击并且攻击方伪造源 IP 地址时,交换机中相交互的流表项数量会减少.交互流是指交换机中既有源 IP 地址指向目的 IP 地址的流表项,也存在目的 IP 地址响应源 IP 地址的流表项.定义对流比计算公式:RPF=FpairFsum(13)FpairFsum其中,为交互流的数
22、量,为总流表项数量.(3)攻击检测:在机器学习领域中,DDoS 攻击检测可以被视为一个二值分类问题.常见的分类算法包括朴素贝叶斯、逻辑回归、支持向量机和决策树等.朴素贝叶斯算法假设特征独立性,而逻辑回归算法对于非线性可分数据表现可能不佳.支持向量机算法相对于决策树算法具有更高的复杂度.因此,本文选择决策树算法作为分类检测方法,该算法具有良好的泛化能力、较高的检测精度以及较短的模型训练时间.此外,该算法几乎不需要数据预处理,非常适合在线检测应用.文献 16,17 使用 C4.5 决策树算法取得较好的检测效果.因此,本文选用 C4.5 决策树算法作为分类检测方法.DkpjD假设数据集有 个不同的类
23、别,是类别发生的概率,的信息熵计算公式如下:E(D)=kj=1pjlog2pj(14)Ana1,a2,anADnD1,D2,Dn D假设属性 有 种不同的值,那么属性根据取值将划分为 个子集.的信息增益公式如式(15)所示:Gain(D|A)=E(D)ni=1|Di|D|E(Di)(15)|Di|Aai|D|IV其中,是属性 中值为 的样本数量,是总样本数.固有值的计算公式如式(16)所示:IV(D,A)=ni=1|Di|D|log2|Di|D|(16)信息增益率计算公式如式(17)所示:GainRatio(D,A)=Gain(D,A)IV(D,A)(17)信息增益率最高的属性作为当前节点的分
24、裂属性.重复步骤,建立最优的决策树.在攻击检测阶段,控制器解析接收到的流表项信息,并提取六元特征.提取完毕后,这些特征将被输入到 DT 模型中,以判断网络流量是否异常.如果检测结果为异常,控制器将启动攻击缓解模块进行相应的防御措施.反之,若检测结果为正常,则通知控制器无异常事件发生.2.3 攻击缓解模块攻击缓解模块的主要任务是利用各种技术手段,计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第8期136系统建设SystemConstruction阻止 DDoS 攻击流量并保护网络设施.尽管攻击检测模块能够确定网络是否存在攻击流量,但并不能确定攻击源和攻击目标.为了避免切
25、断合法用户的通信,缓解模块不能简单地删除所有流量.NtxNrx这里采用 Kreibich 等人18提出的包对称特性来过滤非法流量.缓解模块聚合统计攻击检测模块获取的边缘交换机中的流表信息,并计算主机发往目标主机的数据包数量以及目标主机发往该主机的数据包数量.通过式(18)可以得到每条流的包对称率.S=ln(Ntx+1Nrx+1)(18)S 4.5对于 TCP 协议来说,则为攻击流量,其他协议可以通过实验来确定合适的启发式阈值19.如果流量表现出高度不对称性或包对称率超过某个阈值,则被认为是攻击流量.缓解模块分析边缘交换机的流表信息,并通过包对称率识别可能的攻击流量.控制器使用链路发现协议获取网
26、络连接情况,并通过判断攻击流量的输入端口是否连接到交换机来确定攻击源端口.所有流表项分析结束后,控制器将向交换机下发生存时间为 30s的阻塞流表项,以防止进一步的攻击.这些阻塞流表项包括交换机编号、输入端口、目的 IP 地址和具有高于其他流表项的优先级.阻塞流表项的“outport”字段留空,这意味着与该流表项匹配的数据包将被丢弃.对于来自攻击端口但目的 IP 地址是受害者的良性流量,控制器会修改正常流表项的优先级,以使其优先级高于阻塞流表项,来减少对正常访问者的影响.3实验 3.1 实验环境Mininet20是一个用于仿真 SDN 网络的开源软件.它支持创建带有虚拟主机,交换机,链路和控制器
27、的SDN 环境.本实验使用开源控制器 Ryu,并在 Ubuntu16.04,i5CPU 和 4GBRAM 的计算机上完成.由于缺乏可用的标准数据集,本文使用图 2 的网络拓扑来生成数据集.本文选用 Scapy 作为数据包生成工具,Scapy是一款功能强大的交互式数据包操作工具,可生成多种协议的数据包.Borgnat 等人21分析的数据表明,在日本和美国之间的合法流量中,85%是 TCP,10%是UDP,5%是 ICMP.本文按照这个比例模拟背景流量,h1h3h8并选和作为攻击主机,作为受害服务器.3.2 实验结果w根据 Fan 等人22的论述,对于只有一个控制器和几百个主机的 SDN 来说,窗
28、口大小设为 50 是较为理想的.此外,Oshima 等人23证明在熵值检测中,有效检测的最小窗口值是 50.因此本文选择 50 作为阈值警告模块的数据窗口大小,并设置滑动窗口大小 为 50,周期 T 为 5s.根据图 3 所示,EWMA 模型的预测曲线与实际曲线的趋势较为一致,表明该模型可以从历史数据中预测当前流量状况.Ryuh1h2h3h4h5h6h7h8S2S4S8S5S6S9S10S1S3S7图 2网络拓扑02.602.622.642.662.6850100窗口真实值预测值熵150200250=0.5图 3预测值与实际值的比较()C在本研究中,不同的平滑系数 和常数 值的组合会影响 EW
29、MA 模型的准确率、检测率以及误报率.实验结果如表 1 所示,在不同的参数组合下,EWMA 模型均有较好的攻击检测率,但是有些组合的误报率较2023年第32卷第8期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设137CCC 0.5,0.9 C高.考虑到应用场景的不同,可根据需求进行动态调整.若 DDoS 需要严格监管,则应降低 值;若供应商希望首先降低误报率,则可以松散定义 值.在本实验中,为 5 时,模型的准确率、检测率以及误报率均较好.这表明阈值警告模块具有较高的可靠性.表 1不同参数组合的检测结果C准确率(%)检测率(%)误报率(%)0
30、.3394.5695.2414.890.3494.5692.8613.330.3597.5892.862.500.5394.5695.2414.890.5494.5692.8613.330.5597.8992.861.270.7395.1795.2413.040.7494.5692.8613.330.7597.8992.861.270.9395.1795.2413.040.9495.1795.2413.040.9597.8992.861.27本研究使用准确率,检测率,召回率和 F1 值来评估系统中 DDoS 攻击检测模块的分类性能.表 2 展示了在本文数据集下,C4.5、SVM、KNN 的分类
31、结果.结果显示,C4.5 算法的检测性能高于其他几种算法.表 2分类结果对比(%)算法准确率检测率召回率F1值C4.598.8999.0899.3899.23SVM96.2295.0310097.45KNN98.4498.1899.6998.93图 4 展示了在有缓解模块和无缓解模块的情况下,受害者遭受攻击时接收数据包数量的变化.实线表示有缓解模块,虚线表示无缓解模块.数据由 Wireshark抓包获得.在正常情况下,受害者接收数据包的速率约为 15pkt/s.在第 52s 时,网络遭受攻击,攻击速率高达 92pkt/s.如果系统配备了缓解模块,系统将向攻击源发送阻塞流表项.受害者的数据包接收
32、速率将在 65s时恢复到正常水平,检测和缓解总用时约为 13s.如果没有缓解模块,系统将在攻击停止后,即 180s 时才能恢复到正常水平.为验证阈值警告模块的优势,本文统计了在网络处于正常状态时,使用和不使用阈值警告模块的控制器 CPU 平均使用率.结果如表 3 所示,使用阈值警告模块的控制器的 CPU 平均使用率低于不使用阈值警告模块的控制器.因为不使用阈值警告模块的检测方案是周期性调用的.这种方案需要周期性请求流表信息以及检测,从而消耗控制器的 CPU 资源.而使用阈值警告模块的检测方案是被动触发的,不需要周期轮询数据以及检测.随着网络规模和流表信息的增加,控制器需要处理的数据也会变多,对
33、 CPU 的占用也会增加.00204060801001208040120时间(s)缓解无缓解速率(pkt/s)160200280240图 4受害者接收数据量变化表 3控制器 CPU 平均使用率(%)有无警告CPU平均使用率无警告16.78有警告8.934结论与展望本文设计并实现了一种 SDN 中的轻量级 DDoS攻击检测和缓解系统.该系统使用被动触发的熵值检测方法,不需要周期性轮询检测,因此可以减少控制器CPU 资源的消耗.此外,系统采用更加精确的决策树模型来判断网络是否存在攻击流量,从而降低误报率.最后,通过不对称分析确定攻击源并下发阻塞流表项.实验结果表明,该系统具有较好的实时性、高检测率
34、和显著的缓解效果.另外,有警告模块的系统与无警告模块的系统相比,控制器 CPU 平均使用率减少了 7.85%.由于本文仅考虑了单控制器的实验环境,今后还需要进一步研究多控制器下的检测和缓解问题.参考文献GauravA,GuptaBB,AlhalabiW,et al.AcomprehensivesurveyonDDoSattacksonvariousintelligentsystemsandits defense techniques.International Journal of IntelligentSystems,2022,37(12):1140711431.doi:10.1002/in
35、t.230481PatilJ,TokekarV,RajanA,et al.Portscanningbasedmodel2计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第8期138系统建设SystemConstructionto detect Malicious TCP traffic and mitigate its impact inSDN.Proceedings of the 2nd International Conference onSecure Cyber Computing and Communications(ICSCCC).Jalandhar:IEEE
36、,2021.365370.doi:10.1109/ICSCCC51823.2021.9478150LingZ,LuoJZ,XuDN,et al.NovelandpracticalSDN-based traceback technique for malicious traffic overanonymous networks.Proceedings of the 2019 IEEEConference on Computer Communications.Paris:IEEE,2019.11801188.doi:10.1109/INFOCOM.2019.87375863Peter LS,Kob
37、o H,Srivastava VM.A comparative reviewanalysisofOpenFlowandP4protocolsbasedonsoftwaredefined networks.In:Jacob IJ,Shanmugam SK,Izonin I,eds.Proceedingsofthe2022DataIntelligenceandCognitiveInformatics.Singapore:Springer,2023.699711.doi:10.1007/978-981-19-6004-8_534SinghJ,BehalS.Detectionandmitigation
38、ofDDoSattacksinSDN:Acomprehensivereview,researchchallengesandfuture directions.Computer Science Review,2020,37:100279.doi:10.1016/j.cosrev.2020.1002795AhmadI,NamalS,YlianttilaM,et al.Securityinsoftwaredefinednetworks:Asurvey.IEEECommunicationsSurveys&Tutorials,2015,17(4):23172346.6DoVanN,HuyLD,Truon
39、gCQ,et al.ApplyingdynamicthresholdinSDNtodetectDDoSattacks.Proceedingsofthe2022 International Conference on Advanced TechnologiesforCommunications(ATC).HaNoi:IEEE,2022.344349.doi:10.1109/ATC55345.2022.99430317MishraA,GuptaN,GuptaBB.DefensemechanismsagainstDDoS attack based on entropy in SDN-cloud us
40、ing POXcontroller.TelecommunicationSystems,2021,77(1):4762.doi:10.1007/s11235-020-00747-w8MakuvazaA,JatDS,GamundaniAM.Deepneuralnetwork(DNN)solutionforreal-timedetectionofdistributeddenialof service(DDoS)attacks in software defined networks(SDNs).SN Computer Science,2021,2(2):107.doi:10.1007/s42979-
41、021-00467-19Ye J,Cheng XY,Zhu J,et al.A DDoS attack detectionmethodbasedonSVMinsoftwaredefinednetwork.SecurityandCommunicationNetworks,2018,2018:9804061.10贾锟,王君楠,刘峰.SDN 环境下的 DDoS 检测与缓解机制.信息安全学报,2021,6(1):1731.doi:10.19363/J10-1380/tn.2021.01.0211HuDW,HongPL,ChenYX.FADM:DDoSfloodingattackdetection an
42、d mitigation system in software-defined12networking.Proceedings of the 2017 IEEE GlobalCommunicationsConference.Singapore:IEEE,2017.17.doi:10.1109/GLOCOM.2017.8254023刘向举,刘鹏程,路小宝,等.基于 SD-IoT 的 DDoS 攻击防御方法.计算机工程与设计,2021,42(11):30013008.doi:10.16208/j.issn1000-7024.2021.11.00113WangJ,WangLP.SDN-defend:
43、AlightweightonlineattackdetectionandmitigationsystemforDDoSattacksinSDN.Sensors,2022,22(21):8287.doi:10.3390/s2221828714Aladaileh MA,Anbar M,Hintaw AJ,et al.Renyi jointentropy-baseddynamicthresholdapproachtodetectDDoSattacks against SDN controller with various traffic rates.Applied Sciences,2022,12(
44、12):6127.doi:10.3390/app1212612715刘俊杰,王珺,王梦林,等.SDN 中基于 C4.5 决策树的DDoS 攻击检测.计算机工程与应用,2019,55(20):8488,127.16Muthamil Sudar K,Deepalakshmi P.A two level securitymechanism to detect a DDoS flooding attack in software-defined networks using entropy-based and C4.5 technique.JournalofHighSpeedNetworks,2020
45、,26(1):5576.doi:10.3233/JHS-20063017Kreibich C,Warfield A,Crowcroft J,et al.Using packetsymmetrytocurtailmalicioustraffic.Proceedingsofthe4thWorkshoponHotTopicsinNetworks.2005.16.18王睿.面向软件定义物联网的信任管理及攻击防御机制研究 博士学位论文.济南:山东大学,2018.19GuptaN,MaashiMS,TanwarS,et al.Acomparativestudyof software defined net
46、working controllers using mininet.Electronics,2022,11(17):2715.doi:10.3390/electronics1117271520BorgnatP,DewaeleG,FukudaK,et al.Sevenyearsandoneday:Sketchingtheevolutionofinternettraffic.Proceedingsofthe2009IEEEINFOCOM.RiodeJaneiro:IEEE,2009.711719.21FanC,KaliyamurthyNM,ChenS,et al.DetectionofDDoSat
47、tacks in software defined networking using entropy.Applied Sciences,2021,12(1):370.doi:10.3390/app1201037022Oshima S,Nakashima T,Sueyoshi T.Early DoS/DDoSdetectionmethodusingshort-termstatistics.Proceedingsofthe 2010 International Conference on Complex,Intelligentand Software Intensive Systems.Krakow:IEEE,2010.168173.doi:10.1109/CISIS.2010.5323(校对责编:孙君艳)2023年第32卷第8期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设139
浙ICP备2021020529号-1 | 浙B2-20240490 
