本文探讨了SDN环境下的DoS攻击检测,包括M-Dos和S-Dos。提出了六种特征:源IP熵、流表相似性、最大匹配数据包增长率、最大匹配字节增长率、小数据包流比例和短时间流比例。通过这些特征,使用BP神经网络进行分类,区分正常流量和两种攻击流量。
INTRODUCTION
sdn 的dos攻击中主要分为两种:
1)多个新流耗尽tcam资源(M-dos)
2) 精心设计的流,利用共享链路耗尽链路资源等,同时迷惑控制器。
现有的多种检测方法并不能同时检测两种攻击,同时有可能误判,将正常的flash crowd 判断为攻击流。
下图简单介绍了三种流:
本文的工作是提取六个特征,然后使用分类器,将三种攻击区分开。
RELATED WORK
目前的两种检测方法:基于阈值和基于特征。
两类检测方法:基于阈值和基于特征。
[25]提出实施监测流表安装速率,超过阈值触发防御
[26] 分析网络连接的相关性,通过测量LLDP的时间检测是否为攻击。
[27] 使用熵检测是否为攻击。
但是上面都可能误判,而且阈值需要根据场景改变。
[28]基于控制器的行为计算攻击概率,使用随机森林算法。
[29] 提出sdn安全架构区分攻击流量,特征提取和SOM分类。
[30]提出基于贝叶斯检测方法。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
