通信学报 ›› 2018, Vol. 39 ›› Issue (7): 176-187.doi: 10.11959/j.issn.1000-436x.2018128
李传煌,吴艳,钱正哲,孙正君,王伟明
修回日期:
2018-05-16
出版日期:
2018-07-01
发布日期:
2018-08-08
作者简介:
李传煌(1980-),男,江西九江人,博士,浙江工商大学副教授、硕士生导师,主要研究方向为软件定义网络、深度学习、开放可编程网络、系统性能预测和分析模型。|吴艳(1995-),女,安徽宣城人,浙江工商大学硕士生,主要研究方向为软件定义网络、深度学习。|钱正哲(1994-),男,浙江杭州人,浙江工商大学硕士生,主要研究方向为软件定义网络、深度学习。|孙正君(1993-),男,安徽滁州人,浙江工商大学硕士生,主要研究方向为软件定义网络、深度学习。|王伟明(1964-),男,浙江遂昌人,博士,浙江工商大学教授、硕士生导师,主要研究方向为新一代网络架构、开放可编程网络。
基金资助:
Chuanhuang LI,Yan WU,Zhengzhe QIAN,Zhengjun SUN,Weiming WANG
Revised:
2018-05-16
Online:
2018-07-01
Published:
2018-08-08
Supported by:
摘要:
软件定义网络(SDN,software defined network)作为一种新兴的网络架构,其安全问题一直是SDN领域研究的热点,如SDN控制通道安全性、伪造服务部署及外部分布式拒绝服务(DDoS,distributed denial of service)攻击等。针对SDN安全中的外部DDoS攻击问题进行研究,提出了一种基于深度学习混合模型的DDoS攻击检测方法——DCNN-DSAE。该方法在构建深度学习模型时,输入特征除了从数据平面提取的21个不同类型的字段外,同时设计了能够区分流类型的5个额外流表特征。实验结果表明,该方法具有较高的精确度,优于传统的支持向量机和深度神经网络等机器学习方法,同时,该方法还可以缩短分类检测的处理时间。将该检测模型部署于控制器中,利用检测结果产生新的安全策略,下发到OpenFlow交换机中,以实现对特定DDoS攻击的防御。
中图分类号:
李传煌,吴艳,钱正哲,孙正君,王伟明. SDN下基于深度学习混合模型的DDoS攻击检测与防御[J]. 通信学报, 2018, 39(7): 176-187.
Chuanhuang LI,Yan WU,Zhengzhe QIAN,Zhengjun SUN,Weiming WANG. DDoS attack detection and defense based on hybrid deep learning model in SDN[J]. Journal on Communications, 2018, 39(7): 176-187.
表1
自动获取的流表特征向量"
特征名称 | 描述 |
durationSeconds | 持续时间 |
packetCount | 每条流中数据分组数量 |
byteCount | 每条流中数据分组比特数 |
match.eth_type | 匹配的以太网类型 |
match.eth_dst | 匹配的以太网目的地址 |
match.eth_src | 匹配的以太网源地址 |
match.in_port | 匹配的入端口 |
priority | 优先级 |
match.ipv4_src | 匹配的源IP |
match.ipv4_dst | 匹配的目的IP |
match.udp_dst | 匹配的UDP目的端口 |
match.udp_dst | 匹配的UDP源端口 |
match.tcp_dst | 匹配的TCP目的端口 |
match.tcp_dst | 匹配的TCP源端口 |
idleTimeoutSec | 空闲超时 |
match.ip_proto | 匹配的IP协议 |
durationNSeconds | 持续时间 |
cookie | Cookie |
tableId | 表ID |
hardTimeoutSec | 严格超时 |
actions.actions | 动作 |
[1] | YAN Q , YU F R , GONG Q ,et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments:a survey,some research issues,and challenges[J]. IEEE Communications Surveys & Tutorials, 2016,18(1): 602-622. |
[2] | RADWARE.2017-2018 global application & network security report[R]. 2018. |
[3] | AKAMAI.[State of the Internet]/security Q4 2017 executive summary[R]. 2017. |
[4] | VOELLMY A , WANG J . Scalable software defined network controllers[J]. ACM SIGCOMM Computer Communication Review, 2012,42(4): 289-290. |
[5] | PENG T , LECKIE C , RAMAMOHANARAO K . Survey of network-based defense mechanisms countering the DoS and DDoS problems[J]. ACM Computing Surveys, 2007,39(1):3. |
[6] | MIRKOVIC J , MARTIN J , REIHER P . A taxonomy of DDoS attacks and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2001,34(2): 39-53. |
[7] | LI D , LI J , HUANG J ,et al. Recent advances in deep learning for speech research at Microsoft[C]// 2013 IEEE International Conference on Acoustics,Speech and Signal Processing. 2013: 8604-8608. |
[8] | YU K , . Large-scale deep learning at Baidu[C]// 22nd ACM international conference on Information & Knowledge Management. 2013: 2211-2212. |
[9] | 杨余旺, 杨静宇, 孙亚民 . 分布式拒绝服务攻击的实现机理及其防御研究[J]. 计算机工程与设计, 2004,25(5): 657-660. |
YANG Y W , YANG J Y , SUN Y M . Defense study and implementation mechanism of distributed denial of service attack[J]. Computer Engineering and Design, 2004,25(5): 657-660. | |
[10] | 孟江涛, 冯登国, 薛锐 ,等. 分布式拒绝服务攻击的原理与防范[J]. 中国科学院大学学报, 2004,21(1): 90-94. |
MENG J T , FENG D G , XUE R ,et al. Distributed denial of service attacks:principle and defense[J]. Journal of the Graduate School of the Chinese Academy of Sciences, 2004,21(1): 90-94. | |
[11] | GIL T M , POLETTO M . MULTOPS:a data-structure for bandwidth attack detection[C]// 10th Usenix Security Symposium. 2001: 23-38. |
[12] | MOUSAVI S M , ST-HILAIRE M , . Early detection of DDoS attacks against SDN controllers[C]// 2015 International Conference on Computing,Networking and Communications (ICNC). 2015: 77-81. |
[13] | WANG R , JIA Z , JU L . An entropy-based distributed DDoS detection mechanism in software-defined networking[C]// 2015 IEEE Trustcom/BigDataSE/ISPA. 2015: 310-317. |
[14] | JADIDI Z , MUTHUKKUMARASAMY V , SITHIRASENAN E ,et al. Flow-based anomaly detection using neural network optimized with GSA algorithm[C]// 2013 IEEE 33rd International Conference on Distributed Computing Systems Workshops. 2013: 76-81. |
[15] | WINTER P , HERMANN E , ZEILINGER M . Inductive intrusiondetection in flow-based network data using one-class support vector machines[C]// 2011 4th IFIP International Conference on New Technologies,Mobility and Security. 2011: 1-5. |
[16] | TRUNG P V , HUONG T T , DANG V T ,et al. A multi-criteria-based DDoS-attack prevention solution using software defined networking[C]// 2015 International Conference on Advanced Technologies for Communications (ATC). 2015: 308-313. |
[17] | YUAN X Y , LI C H , LI X . DeepDefense:identifying DDoS attack via deep learning[C]// 2017 IEEE International Conference on Smart Computing (SMARTCOMP). 2017: 1-8. |
[18] | 李传煌, 孙正君, 袁小雍 ,等. 基于深度学习的实时 DDoS 攻击检测[J]. 电信科学, 2017,33(7): 53-65. |
LI C H , SUN Z J , YUAN X Y ,et al. Real-time DDoS attack detection based on deep learning[J]. Telecommunications Science, 2017,33(7): 53-65. | |
[19] | LIU C , SUN W , CHAO W . Convolution neural network for relation extraction[C]// International Conference on Advanced Data Mining and Applications (ADMA 2013). 2013: 231-242. |
[20] | HINTON G E , SRIVASTAVA N , KRIZHEVSKY A ,et al. Improving neural networks by preventing co-adaptation of feature detectors[J]. Computer Science, 2012,3(4): 212-223. |
[21] | SRIVASTAVA N , HINTON G , KRIZHEVSKY A ,et al. Dropout:a simple way to prevent neural networks from overfitting[J]. Journal of Machine Learning Research, 2014,15(1): 1929-1958. |
[1] | 陈东昱, 陈华, 范丽敏, 付一方, 王舰. 基于深度学习的随机性检验策略研究[J]. 通信学报, 2023, 44(6): 23-33. |
[2] | 李荣鹏, 汪丙炎, 张宏纲, 赵志峰. 知识增强的语义通信接收端设计[J]. 通信学报, 2023, 44(6): 70-76. |
[3] | 马帅, 裴科, 祁华艳, 李航, 曹雯, 王洪梅, 熊海良, 李世银. 基于生成模型的地磁室内高精度定位算法研究[J]. 通信学报, 2023, 44(6): 211-222. |
[4] | 王东滨, 吴东哲, 智慧, 郭昆, 张勖, 时金桥, 张宇, 陆月明. 软件定义网络抗拒绝服务攻击的流表溢出防护[J]. 通信学报, 2023, 44(2): 1-11. |
[5] | 沙宗轩, 霍如, 孙闯, 汪硕, 黄韬. 基于深度强化学习的转发效能感知流量调度算法[J]. 通信学报, 2022, 43(8): 30-40. |
[6] | 杨洁, 董标, 付雪, 王禹, 桂冠. 基于轻量化分布式学习的自动调制分类方法[J]. 通信学报, 2022, 43(7): 134-142. |
[7] | 杨秀璋, 彭国军, 李子川, 吕杨琦, 刘思德, 李晨光. 基于Bert和BiLSTM-CRF的APT攻击实体识别及对齐研究[J]. 通信学报, 2022, 43(6): 58-70. |
[8] | 燕昺昊, 刘勤让, 沈剑良, 汤先拓, 梁栋. 软件定义网络中一种快速无循环路径迁移策略[J]. 通信学报, 2022, 43(5): 24-35. |
[9] | 廖勇, 王世义. 高速移动环境下基于RM-Net的大规模MIMO CSI反馈算法[J]. 通信学报, 2022, 43(5): 166-176. |
[10] | 廖育荣, 王海宁, 林存宝, 李阳, 方宇强, 倪淑燕. 基于深度学习的光学遥感图像目标检测研究进展[J]. 通信学报, 2022, 43(5): 190-203. |
[11] | 赵增华, 童跃凡, 崔佳洋. 基于域自适应的Wi-Fi指纹设备无关室内定位模型[J]. 通信学报, 2022, 43(4): 143-153. |
[12] | 吴平, 常朝稳, 左志斌, 马莹莹. 基于地址重载的SDN分组转发验证[J]. 通信学报, 2022, 43(3): 88-100. |
[13] | 李传煌, 陈泱婷, 唐晶晶, 楼佳丽, 谢仁华, 方春涛, 王伟明, 陈超. QL-STCT:一种SDN链路故障智能路由收敛方法[J]. 通信学报, 2022, 43(2): 131-142. |
[14] | 谢丽霞, 李雪鸥, 杨宏宇, 张良, 成翔. 基于样本特征强化的APT攻击多阶段检测方法[J]. 通信学报, 2022, 43(12): 66-76. |
[15] | 廖勇, 程港, 李玉杰. 基于深度展开的大规模MIMO系统CSI反馈算法[J]. 通信学报, 2022, 43(12): 77-88. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|