INTRODUCTION
sdn 的dos攻击中主要分为两种:
1)多个新流耗尽tcam资源(M-dos)
2) 精心设计的流,利用共享链路耗尽链路资源等,同时迷惑控制器。
现有的多种检测方法并不能同时检测两种攻击,同时有可能误判,将正常的flash crowd 判断为攻击流。
下图简单介绍了三种流:
本文的工作是提取六个特征,然后使用分类器,将三种攻击区分开。
RELATED WORK
目前的两种检测方法:基于阈值和基于特征。
两类检测方法:基于阈值和基于特征。
[25]提出实施监测流表安装速率,超过阈值触发防御
[26] 分析网络连接的相关性,通过测量LLDP的时间检测是否为攻击。
[27] 使用熵检测是否为攻击。
但是上面都可能误判,而且阈值需要根据场景改变。
[28]基于控制器的行为计算攻击概率,使用随机森林算法。
[29] 提出sdn安全架构区分攻击流量,特征提取和SOM分类。
[30]提出基于贝叶斯检测方法。