摘要：软件定义网络（software defined networking,SDN）是一种新型网络创新架构，其分离了控制平面与转发平面，使得网络管理更为灵活。借助SDN控制与转发分离的思想，在SDN基础上引入一个集中式安全中心，在数据平面设备上采集数据，用于对网络流量进行分析，通过熵值计算和分类算法判断异常流量行为。对于检测到的网络异常情况，安全中心通过与SDN控制器的接口通告SDN控制器上的安全处理模块，进行流表策略的下发，进而缓解网络异常行为。通过本系统可以在不影响SDN控制器性能的情况下，快速检测网络中的异常行为，并通过SDN下发流表策略对恶意攻击用户进行限制，同时对SDN控制器进行保护。

为解决软件定义网络（software defined network，SDN）控制器易受分布式拒绝服务（distributed denial of service，DDoS）攻击的问题，提出了一种基于Sibson距离的DDoS攻击检测方法。首先，针对现有SDN控制器负载过重问题，设计了一种分层式DDoS攻击检测架构，通过采用多个代理控制器来减轻主控制器负荷；其次，针对现有DDoS攻击检测误报率高的问题，提出了一种基于Sibson距离DDoS攻击检测算法，在提高检测时效性和保证检测精度的同时，加强对正常突发流的识别能力。仿真实验表明，该方法能有效区分攻击流和正常突发流，提高了网络的稳健性。

软件定义网络是一种全新的网络架构，集中控制是其主要优势，但若受到DDoS 攻击则会造成信息不可达，也容易造成单点失效。为了有效地识别DDoS攻击，提出了一种SDN环境下基于BP神经网络的DDoS攻击检测方法。该方法获取OpenFlow交换机的流表项，分析SDN环境下DDoS攻击特性，提取出与攻击相关的流表匹配成功率、流表项速率等六个重要特征；通过分析六个相关特征值的变化，采用BP神经网络算法对训练样本进行分类，实现对DDoS攻击的检测。实验结果表明，该方法在有效提高识别率的同时，降低了检测时间。通过在软件定义网络环境中的部署，验证了该方法的有效性。

结合DDoS攻击检测方法的最新研究情况，对DDoS攻击检测技术进行系统分析和研究，对不同检测方法进行比较，讨论了当前该领域存在的问题及今后研究的方向。

网络安全状况不佳现在引起了计算机安全专家社区之外的广泛关注。 这是一个受欢迎的发展，因为很明显，网络攻击会带来沉重的代价，并且攻击率正在增加。 有理由相信，由于各种原因，包括与网络安全投资相关的正外部性的存在，用于确保网络安全的社会资源不足。 本文选择一个网络安全问题进行仔细分析，即分布式拒绝服务攻击（“DDOS”）。 本文重点介绍 DDOS 攻击，因为它们从法律角度来看非常有趣。 在这种情况下，网络安全投资的正外部性问题就很明显了，在 DDOS 攻击中以某种方式牵连的多种类型的各方提供了许多可能的法律或监管压力对象。 大多数关于 DDOS 攻击的评论都集中在发布不安全代码的软件开发人员的角色上，这些代码的弱点后来被利用来发起 DDOS 攻击，以及未能采取基本步骤来保护他们机器的计算机用户。 在回顾了这种情况的原因，并探讨了对 DDOS 攻击所涉及的各类各方施加法律压力的可能性后，本文得出的结论是，通过关注软件不安全性来解决问题可能是最有效的。 鼓励改进软件安全性的一种方法是对低于合理安全标准的软件的疏忽承担责任。 在此类诉讼中，DDOS 攻击的受害者将是一个很好的原告。 受害者可能会遭受集中损失，从而提供足够的起诉动机。 此外，DDOS 攻击的受害者不会像未能安装补丁的最终用户那样受到共同疏忽的指控。 DDOS 攻击的受害者对不安全软件制造商提出的疏忽索赔是一个复杂的索赔，它在疏忽调查的各个阶段提出了重要的政策问题：注意义务、注意标准和近因。 拟议的侵权索赔必须解决传统上法院不愿就纯粹经济损失的疏忽判给损害赔偿的问题。 它还必须确定软件制造商和 DDOS 受害者之间存在足够密切的关系，这将证明有责任保护原告免受第三方蓄意有害行为的影响——这一疏忽的理由，除其他外，在房东租客关系。 对在这种情况下是否应存在注意义务的调查提供了一个机会，可以引发当前关于物理空间的隐喻是否适合用于网络空间的法律推理的辩论。 关键互联网相关软件的准垄断厂商是网络空间的“建筑师”还是“房东”？

现有的DDoS防御方法大多是针对传统IPv4网络提出的，而且它们的防御实时性还有待进一步提高。针对这种情况，提出了一种IPv6环境下实时防御DDoS的新方法，其核心思想是首先在受害者自治系统内建立决策判据树，然后依据决策判据1和2对该树进行实时监控，如果发现攻击，就发送过滤消息通知有关实体在受害端和源端一起对攻击包进行过滤，从而保护受害者。实验证明，该方法能够在秒钟数量级检测到攻击并且对攻击包进行过滤，能有效地防范多个DDoS攻击源。另外，该方法还能准确地区分攻击流和高业务流，可以在不恢复攻击路径的情况下直接追踪到攻击源所在的自治系统（甚至是子网）。

分布式拒绝服务攻击预警初探 大数据 安全众测 培训与认证 安全 安全防御

#资源达人分享计划#

#资源达人分享计划#

提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法。相比其他方法，该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复，也适用于反射类型的DDoS攻击路径恢复。此外，通过巧妙运用方程组惟一解判定原理对路由IP实施编码，运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证，不需要ISP路由拓扑，便能够在被攻击点相应的解码并高效可靠地恢复出真实的攻击路径。分析表明，该方法能与IPv4协议较好地兼容，具有较好的抗干扰性。