type
status
date
slug
summary
tags
category
icon
password
本篇文章大部分内容不具备严谨的学术认识与表述,仅作为竞赛导向的试探性调研。请勿作为学习参考!
Towards sFlow and adaptive polling sampling for deep learning based DDoS detection in SDN
出处/时间:
出处:Future Generation Computer Systems【二区顶刊】
时间:2020.Oct
内容:
关键词:物联网、数据层采样策略、对比分析
算法特点/性能/创新点说明:在SDN中系统比较sFlow和自适应轮询对DDoS检测的影响,相比传统SDN方案在检测精度、资源开销(CPU、内存、网络带宽)和实时性上有提升。具体来说,使用采样技术在数据层筛过一轮后再交给控制层算法,这个东西严格来讲应该不属于机器学习的范畴但是是个可以用来吹牛的方向。。deepseek做了个表放在下面对比分析一下文章里提到的两个采样方式↓
维度 | sFlow采样 | 自适应轮询采样 |
采样触发 | 数据包到达时随机触发 | 固定或动态时间间隔触发 |
数据粒度 | 细粒度(基于单个包) | 粗粒度(基于流统计信息) |
资源消耗 | 低(仅处理部分包头) | 较高(需频繁查询交换机计数器) |
适用场景 | 高吞吐量网络,需快速检测 | 流量波动大的场景,需动态响应 |
论文实验结果 | 95%检测率,4%误报率,CPU占用50% | 92%检测率,8%误报率,CPU占用74% |
评价:
这篇文章使用的也是模拟拓扑的架构,和物联网挂上钩,但是不影响我们对这篇文章的理论参考,这篇文章里没仔细研究算法策略,只讲了采样方式对性能的影响,我们要是只打算跑通小样例的话好像也用不到采样方式,总归还是先放在这里,有需要的话可以看下技术细节。
XGBoost Classifier for DDoS Attack Detection and Analysis in SDN-Based Cloud
出处/时间:
出处:2018 IEEE International Conference on Big Data and Smart Computing (BigComp)【亚太会议,无评级】
时间:2018
内容:
关键词:XGBoost 算法、flooding attack泛洪攻击、
算法特点/性能/创新点说明:“在本文中,我们首先描述了 SDN 的架构。控制器的结构特性使其容易受到 DDoS 攻击。此外,我们详细分析了 DDoS 攻击对控制器的攻击机制,这构成了本文的研究问题。然后,参考 [8] 中使用的仿真工具,使用 Mininet 来模拟网络拓扑,使用 POX 作为控制器来构建我们的系统模型,并使用 Hyenae 进行攻击,使用 TcpDump 来收集流量情报。最后,在 SDN 控制器中采用 XGBoost 算法作为检测方法。与其他分类器相比,DDoS 泛洪攻击检测结果表明,XGBoost 比其他分类器执行准确、误报、有效的分类”
数据集:在Knowledge Discovery and Data mining (KDD) Cup 1999 dataset( TCP 连接基本特征(9 个特征)、TCP 连接内容特征(13 个特征)、基于时间的网络流量统计特征(9 个特征)和基于主机的网络流量统计特征(10 个特征))中选择了其中九个关键特征用于训练
评价:
XGBoost算法可扩展性强,适合网络规模不断扩张的情况。只讨论了flood攻击的形式,没有提反射放大攻击。是这篇文章的时间有点早了,选择性参考一下吧。另外SDN的文章里往往都会着重说控制器被攻击的问题,评委要是懂行的话说不定会问这个问题,后面可以想一下怎么办。
Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN
出处/时间:
出处:2017 9th International Conference on Communication Systems and Networks (COMSNETS)【会议】
时间:2017
内容:
关键词:攻击树与攻击模型、特征分析
算法特点/性能/创新点说明:提出一种一种攻击模型,用于识别和分类 SDN 中 DDoS 攻击的各种可能性
这个图算是把各种攻击的特征都标明了,可以根据这个做参照选择数据集中的哪些特征做分析
评价:
上一篇论文的一篇参考文献,这篇只是分析了ddos攻击特征,算是理论研究方面的文章吧。可以根据这个决定一下我们究竟要做哪种/哪些类型的攻击分类。
Adversarial Deep Learning approach detection and defense against DDoS attacks in SDN environments
出处:
出处:Future Generation Computer Systems【二区顶刊】
时间:21.Dec
内容:
关键词:对抗性 DDoS 攻击、生成性对抗网络(GAN)
算法特点/性能/创新点说明:对抗性DDoS攻击是指被错误分类的被判定为假阴性的攻击类型,原文:“The adversarial DDoS attacks refer to the type of violation to carry out a network attack causing misclassifications, where an attack is classified as normal (false negative).”
使用香农熵对数据特征进行量化,将分类特征(如IP地址、端口)转换为数值特征,捕捉流量集中/分散模式。
使用CICDDoS 2019数据集
评价:
文章里有比较详细地说明整个模块的系统架构(数据收集、数据处理、检测模块、缓解机制),包括定量分析和定性分析的数据特征选择和处理方式,如果后面要做GAN的话可以着重读一下算法说明,不论选什么架构都可以读一下这里的采样和处理部分,挺有参考意义的。用的数据集和那篇胶囊网络的是一个。可以看一下这个数据集。
A mathematical theory of communication
评价:
1948年的香农开山论文……放这里主要是想多补充一些关于信息熵做特征分析的东西。
可通过以下步骤利用信息熵量化其集中/分散模式:
通过处理可以把后端各种信息整合成数字信息拿去训练。python应该有对应的库可以自动做这个(ds:使用Python的
scipy.stats.entropy或自定义函数实现熵值计算,结合Pandas进行时间窗口统计)CapsRule: Explainable Deep Learning for Classifying Network Attacks
出处:
出处:IEEE Transactions on Neural Networks and Learning Systems【一区顶刊!】
时间:24.Sept
内容:
关键词:带动态路由机制的前馈胶囊网络、可解释规则提取
算法特点/性能/创新点说明:使用前馈神经网络结构,通过胶囊的向量激活值捕获输入特征的语义信息,优化规则提取路径。不同的数据特征被放在多维向量再进行向量归一化,利用耦合系数递归追踪关键特征,生成if-then规则。追求强解释性但是牺牲了部分规则保真度。
使用CICDDoS2019数据集。(但是文中说通过规则分析发现了这个数据集里面有一些标签错误。)
评价:
这篇论文比较现代,使用的方法可能复现起来有点难度,并且我们的项目应该也不需要硬要求规则可解释或者高效率这些,做到这个程度算是业界前沿了吧……
Human-guided auto-labeling for network traffic data: The GELM approach
出处:
出处:Neural Networks【一区】
时间:22.Jun
内容:
关键词:自动标记、广义极限学习机、M-P GI广义逆矩阵加速
算法特点/性能/创新点说明:在特征选择、初始参数设定等环节引入人类知识,提升标签的语义准确性。训练速度快,效率高。具体而言就是人来选择关键特征然后赋权,计算加权后进行二分类(是攻击/不是攻击)
广义极限学习机的单隐层结构足够简单,可以使用广义逆直接进行快速反向传播。
评价:
不太能理解为什么这会算是一区的论文,感觉好水……不过实现起来应该不难,可以作为保底实现策略(大概)。
Deep Generative Learning Models for Cloud Intrusion Detection Systems
出处:
出处:IEEE Transactions on Cybernetics【一区】
时间:22.Apr
内容:
关键词:数据不平衡、生成对抗网络
算法特点/性能/创新点说明:论文提出两种深度生成模型(CDAAE和CDAAE-KNN),用于解决云入侵检测系统(IDS)中的数据不平衡问题,重点提升对低速率DDoS攻击和应用层DDoS攻击的检测能力。通过生成恶意样本增强训练数据,结合传统分类算法(如SVM、决策树、随机森林),在多个数据集上验证了模型的有效性。
文中提到说使用将攻击类型标签嵌入编码器和解码器,定向生成特定攻击的样本再拿去训练,另外使用KNN算法识别生成样本中靠近分类边界的样本。加入这些样本可以调整生成样本数量,控制少数类与多数类的比例,避免训练过拟合。
评价:
文章里针对云DDoS攻击、低速率攻击、应用层攻击等特殊攻击形式在SECTION V里面有详细的指出在哪些数据集的子集里面包含这些特殊类型的攻击模式。感觉目前提到的热点方向都是诸如云计算、物联网等的高实时性要求的情况,讲故事的时候可以当作项目情景。
A Deep Learning Based DDoS Detection System in Software-Defined Networking (SDN)
出处:
出处:arXiv
时间:16.Nov
内容:
关键词:多向量攻击检测、模块化、
算法特点/性能/创新点说明:将整个检测系统抽象成三个模块:
i) 流量收集器和流安装程序 (TCFI)
ii) 功能提取器 (FE)
iii) 流量分类器 (TC)
针对TCP\UDP\ICMP等协议,论文里分别列出了在流量分析中选择的特征,利用SAE(堆叠自编码器)进行特征降维和分类,最终区分正常流量与7种多向量DDoS攻击
支持对SDN架构下的两种攻击类型:控制平面(控制器资源耗尽攻击)和数据平面(传统DDoS)的双重检测
使用真实家庭网络流量与实验室模拟攻击混合数据集,增强模型泛化性。
评价:
可以再着重读一下这一篇,做的工作比较基础,可能我们能参考的东西会多一些。
Detection and defense of DDoS attack–based on deep learning in OpenFlow‐based SDN
出处:
出处:International Journal of Communication Systems【四区】
时间:18.Jan
内容:
关键词:双向递归神经网络(RNN)
算法特点/性能/创新点说明:基于OpenFlow的SDN环境中,利用深度学习技术检测和防御DDoS攻击。通过构建双向递归神经网络(RNN)结合LSTM和CNN的深度学习模型,从网络流量序列中学习攻击模式,并动态生成流表规则以清洗攻击流量。实验表明,该模型在检测准确率和实时防御效果上优于传统机器学习方法。
文章里提到了三种不同的架构(LSTM, CNN/LSTM,GRU, and 3LSTM deep learning network model),给出了他们的模型架构、神经元规模、激活函数等对比分析。
使用ISCX2012数据集(500万包级数据),为了消除数据偏差使用的也是将攻击数据与合法数据混合的形式。
评价:
这篇文章提到的性能开销和硬件要求太大了,感觉按这个思路来做搞不来。问了下AI说现在数据集更适合选CIC-IDS2017。
Machine Learning Techniques to Detect a DDoS Attack in SDN: A Systematic Review
出处:
出处:Applied Sciences【3区】
时间:23.Feb
内容:
关键词:文献综述
算法特点/性能/创新点说明:覆盖2018-2022年的最新研究,整合多种算法与数据集
算法:决策树 (DT)、K 最近邻 (KNN)、支持向量机 (SVM)、K-Mean 聚类等的简要介绍和算法特点分析
评价:
这篇文章算是很全面的总结了前些年的相关工作的内容了。文章的图表里覆盖了超级多的深度学习策略、数据集等等,还有配套的利弊分析和使用频率统计。感觉可以多看找找灵感。里面提到的后续的研究方向(实时检测、数据动态更新)现在已经有相关研究了,这些都是可以试着去当作前沿创新点的。务必要再仔细研究一下这一篇
Deep Learning-based Slow DDoS Attack Detection in SDN-based Networks
出处:
出处:2020 IEEE Conference on Network Function Virtualization and Software Defined Networks【会议论文对标二区】
时间:20.Nov
内容:
关键词:混合CNN-LSTM模型、慢速HTTP DDoS攻击
算法特点/性能/创新点说明:使用的是自己搓的数据集,宣称的自己准确率(99.998%)、精确度(99.989%)、召回率(100%)等指标感觉真实性存疑。。
评价:
仅针对HTTP慢速DDoS攻击,未覆盖其他协议其他类型攻击;这篇文有点水,没有精读的营养。
- 作者:CreamGreen.
- 链接:www.creamgreen.com/article/1db555f7-8779-80a1-8ce9-c1f2054b9df5
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。