- Văn bản
- Lịch sử
5.2. Dataset and traffic generation
5.2. Dataset and traffic generation
Aiming to evaluate our anomaly detection and mitigation mechanism’s performance in a
wide range of network environments, we collected benign traffic at three different locations
from the campus network of the National Technical University of Athens (NTUA). Initially,
we evaluated the performance in a low network traffic environment, by utilizing packet traces
from our laboratory at the School of Electrical and Computer Engineering. In this way, we
can emulate the network traffic conditions of a SOHO environment, with an average traffic
load of 50Mbps and about 35 active hosts.
For further evaluation of our proposed mechanism, we experimented with higher traffic of
about 100Mbps to emulate a larger enterprise environment. Hence, we captured network
traffic from a part of the NTUA campus. Finally, in order to emulate the network traffic
conditions of a small ISP, we captured packet traces from the entire NTUA campus. The
average traffic load at the given time was around 500Mbps. Trace files of 50Mbps and
100Mbps contain captured network traffic of a whole week, while the trace file of NTUA
campus was two days long due to the significant size of files produced by capturing such high
traffic rates. These trace files were employed in our experiments in order to evaluate the
accuracy and detection capabilities of the native OpenFlow and sFlow approaches.
Tcpreplay tool [31] is used to replay captured packet trace files, injecting the generated
traffic to a specific Ethernet port. Tcpreplay is able to replay the captured traffic at the speed
it was captured. For our attack traces, we employed Scapy [32], a programmable tool that
permits sending packet sequences with arbitrary protocol field values (e.g. src/dst IP address,
port, etc.). Thus, in order to emulate a DDoS attack, we constructed SYN packets with a
predefined set of destination IP address and port, and a random and constantly changed set of
source IP address and port. Worm propagation scenario used the same generated traffic as the
previous one, except from the fact that the destination IP address/port pair was random, while
the source pair was predefined. Finally, for the Portscan scenario we constructed and injected
packets with a specific source and destination IP address, while the source and destination
ports were randomly selected in each packet.
Aiming to evaluate our anomaly detection and mitigation mechanism’s performance in a
wide range of network environments, we collected benign traffic at three different locations
from the campus network of the National Technical University of Athens (NTUA). Initially,
we evaluated the performance in a low network traffic environment, by utilizing packet traces
from our laboratory at the School of Electrical and Computer Engineering. In this way, we
can emulate the network traffic conditions of a SOHO environment, with an average traffic
load of 50Mbps and about 35 active hosts.
For further evaluation of our proposed mechanism, we experimented with higher traffic of
about 100Mbps to emulate a larger enterprise environment. Hence, we captured network
traffic from a part of the NTUA campus. Finally, in order to emulate the network traffic
conditions of a small ISP, we captured packet traces from the entire NTUA campus. The
average traffic load at the given time was around 500Mbps. Trace files of 50Mbps and
100Mbps contain captured network traffic of a whole week, while the trace file of NTUA
campus was two days long due to the significant size of files produced by capturing such high
traffic rates. These trace files were employed in our experiments in order to evaluate the
accuracy and detection capabilities of the native OpenFlow and sFlow approaches.
Tcpreplay tool [31] is used to replay captured packet trace files, injecting the generated
traffic to a specific Ethernet port. Tcpreplay is able to replay the captured traffic at the speed
it was captured. For our attack traces, we employed Scapy [32], a programmable tool that
permits sending packet sequences with arbitrary protocol field values (e.g. src/dst IP address,
port, etc.). Thus, in order to emulate a DDoS attack, we constructed SYN packets with a
predefined set of destination IP address and port, and a random and constantly changed set of
source IP address and port. Worm propagation scenario used the same generated traffic as the
previous one, except from the fact that the destination IP address/port pair was random, while
the source pair was predefined. Finally, for the Portscan scenario we constructed and injected
packets with a specific source and destination IP address, while the source and destination
ports were randomly selected in each packet.
0/5000
5.2. bộ dữ liệu và lưu lượng truy cập thế hệ
nhằm đánh giá hiệu suất của chúng tôi bất thường phát hiện và giảm nhẹ cơ chế của trong một
đa dạng của môi trường mạng, chúng tôi thu thập lành tính giao thông tại ba địa điểm khác nhau
từ mạng cơ sở của các quốc gia kỹ thuật đại học Athens (NTUA). Ban đầu,
chúng tôi đánh giá hiệu suất trong một môi trường lưu lượng truy cập thấp mạng, bằng cách sử dụng gói dấu vết
từ phòng thí nghiệm của chúng tôi tại trường điện và kỹ thuật máy tính. Bằng cách này, chúng tôi
có thể mô phỏng các điều kiện lưu lượng truy cập mạng của một môi trường SOHO, với một lưu lượng truy cập trung bình
tải của 50Mbps và máy chủ hoạt động khoảng 35.
Để tiếp tục đánh giá của cơ chế đề xuất của chúng tôi, chúng tôi đã thử nghiệm với lưu lượng truy cập cao của
về 100Mbps để mô phỏng một môi trường doanh nghiệp lớn hơn. Do đó, chúng tôi bắt giữ mạng
lưu lượng truy cập từ một phần của khuôn viên trường NTUA. Cuối cùng, để mô phỏng lưu lượng truy cập mạng
điều kiện của một ISP nhỏ, chúng tôi bắt giữ gói dấu vết từ khuôn viên trường NTUA toàn bộ. Các
lưu lượng truy cập trung bình tải lúc thời gian nhất định đã xung quanh 500Mbps. theo dõi tập tin của 50Mbps và
100Mbps chứa lưu lượng mạng được chụp một tuần toàn bộ, trong khi các tập tin theo dõi của NTUA
khuôn viên trường là hai ngày dài do đáng kể kích thước tập tin được sản xuất bằng cách chiếm như vậy cao
tỷ lệ lưu lượng truy cập. Những tập tin này theo dõi được sử dụng trong các thí nghiệm của chúng tôi để đánh giá các
khả năng chính xác và phát hiện phương pháp tiếp cận OpenFlow và sFlow bản địa.
Tcpreplay công cụ [31] được sử dụng để phát lại tập tin theo dõi bắt gói, chèn các tạo ra
lưu lượng truy cập đến một cổng Ethernet cụ thể. Tcpreplay có thể phát lại lưu lượng truy cập được quay ở tốc độ
nó đã bị bắt. Cho chúng tôi dấu vết tấn công, chúng tôi sử dụng Scapy [32], một lập trình công cụ đó
cho phép gửi gói trình tự với bất kỳ giao thức giá trị trường (ví dụ như địa chỉ IP src/dst,
port, vv.). Do đó, để mô phỏng một cuộc tấn công DDoS, chúng tôi xây dựng SYN gói với một
được xác định trước tập hợp điểm đến địa chỉ IP và cổng và một ngẫu nhiên và liên tục thay đổi các thiết lập của
nguồn địa chỉ IP và cổng. Sâu tuyên truyền kịch bản sử dụng lưu lượng truy cập tạo ra tương tự như các
trước một, ngoại trừ từ thực tế là đích IP địa chỉ/cảng cặp là ngẫu nhiên, trong khi
cặp nguồn được xác định trước. Cuối cùng, cho các kịch bản Portscan chúng tôi xây dựng và tiêm
gói với một nguồn cụ thể và các địa chỉ IP đích, trong khi các nguồn và đích
cổng đã được lựa chọn ngẫu nhiên trong mỗi gói tin.
nhằm đánh giá hiệu suất của chúng tôi bất thường phát hiện và giảm nhẹ cơ chế của trong một
đa dạng của môi trường mạng, chúng tôi thu thập lành tính giao thông tại ba địa điểm khác nhau
từ mạng cơ sở của các quốc gia kỹ thuật đại học Athens (NTUA). Ban đầu,
chúng tôi đánh giá hiệu suất trong một môi trường lưu lượng truy cập thấp mạng, bằng cách sử dụng gói dấu vết
từ phòng thí nghiệm của chúng tôi tại trường điện và kỹ thuật máy tính. Bằng cách này, chúng tôi
có thể mô phỏng các điều kiện lưu lượng truy cập mạng của một môi trường SOHO, với một lưu lượng truy cập trung bình
tải của 50Mbps và máy chủ hoạt động khoảng 35.
Để tiếp tục đánh giá của cơ chế đề xuất của chúng tôi, chúng tôi đã thử nghiệm với lưu lượng truy cập cao của
về 100Mbps để mô phỏng một môi trường doanh nghiệp lớn hơn. Do đó, chúng tôi bắt giữ mạng
lưu lượng truy cập từ một phần của khuôn viên trường NTUA. Cuối cùng, để mô phỏng lưu lượng truy cập mạng
điều kiện của một ISP nhỏ, chúng tôi bắt giữ gói dấu vết từ khuôn viên trường NTUA toàn bộ. Các
lưu lượng truy cập trung bình tải lúc thời gian nhất định đã xung quanh 500Mbps. theo dõi tập tin của 50Mbps và
100Mbps chứa lưu lượng mạng được chụp một tuần toàn bộ, trong khi các tập tin theo dõi của NTUA
khuôn viên trường là hai ngày dài do đáng kể kích thước tập tin được sản xuất bằng cách chiếm như vậy cao
tỷ lệ lưu lượng truy cập. Những tập tin này theo dõi được sử dụng trong các thí nghiệm của chúng tôi để đánh giá các
khả năng chính xác và phát hiện phương pháp tiếp cận OpenFlow và sFlow bản địa.
Tcpreplay công cụ [31] được sử dụng để phát lại tập tin theo dõi bắt gói, chèn các tạo ra
lưu lượng truy cập đến một cổng Ethernet cụ thể. Tcpreplay có thể phát lại lưu lượng truy cập được quay ở tốc độ
nó đã bị bắt. Cho chúng tôi dấu vết tấn công, chúng tôi sử dụng Scapy [32], một lập trình công cụ đó
cho phép gửi gói trình tự với bất kỳ giao thức giá trị trường (ví dụ như địa chỉ IP src/dst,
port, vv.). Do đó, để mô phỏng một cuộc tấn công DDoS, chúng tôi xây dựng SYN gói với một
được xác định trước tập hợp điểm đến địa chỉ IP và cổng và một ngẫu nhiên và liên tục thay đổi các thiết lập của
nguồn địa chỉ IP và cổng. Sâu tuyên truyền kịch bản sử dụng lưu lượng truy cập tạo ra tương tự như các
trước một, ngoại trừ từ thực tế là đích IP địa chỉ/cảng cặp là ngẫu nhiên, trong khi
cặp nguồn được xác định trước. Cuối cùng, cho các kịch bản Portscan chúng tôi xây dựng và tiêm
gói với một nguồn cụ thể và các địa chỉ IP đích, trong khi các nguồn và đích
cổng đã được lựa chọn ngẫu nhiên trong mỗi gói tin.
đang được dịch, vui lòng đợi..
5.2. Bộ dữ liệu và lưu lượng truy cập thế hệ
Với mục tiêu để đánh giá phát hiện bất thường của chúng tôi và thực hiện cơ chế giảm nhẹ trong một
loạt các môi trường mạng, chúng tôi thu thập lưu lượng truy cập lành tính ở ba địa điểm khác nhau
từ mạng khuôn viên của Đại học Kỹ thuật Quốc gia Athens (NTUA). Ban đầu, chúng tôi đánh giá hiệu quả hoạt động trong một môi trường mạng lưới giao thông thấp, bằng cách sử dụng dấu vết gói từ phòng thí nghiệm của chúng tôi tại Trường điện và Kỹ thuật Máy tính. Bằng cách này, chúng ta có thể mô phỏng các điều kiện lưu lượng mạng của một môi trường SOHO, với lưu lượng trung bình tải 50Mbps và khoảng 35 máy chủ hoạt động. Đối với đánh giá thêm về cơ chế đề xuất của chúng tôi, chúng tôi đã thử nghiệm với lưu lượng truy cập cao hơn về tốc độ 100Mbps để giả lập một doanh nghiệp lớn hơn môi trường. Do đó, chúng tôi bắt mạng giao thông từ một phần của khuôn viên trường NTUA. Cuối cùng, để cạnh tranh với các mạng lưới giao thông điều kiện của một ISP nhỏ, chúng tôi bắt dấu vết gói dữ liệu từ toàn bộ khuôn viên NTUA. Các tải lưu lượng trung bình tại thời điểm nhất định là khoảng 500Mbps. Theo dõi các tập tin của 50Mbps và 100Mbps chứa bắt mạng lưới giao thông của toàn bộ một tuần, trong khi các tập tin dấu vết của NTUA trường kéo dài hai ngày do kích thước của các tập tin quan trọng được sản xuất bằng cách bắt cao như vậy giá giao thông. Những tập tin dấu vết đã được sử dụng trong các thí nghiệm của chúng tôi để đánh giá chính xác khả năng phát hiện có sự OpenFlow bản địa và phương pháp tiếp cận sFlow. Tcpreplay công cụ [31] được sử dụng để phát lại các tập tin dấu vết gói tin bị bắt, tiêm tạo ra lưu lượng truy cập đến một cổng Ethernet cụ thể. Tcpreplay có thể phát lại các lưu lượng được với tốc độ nó đã được bắt. Cho dấu vết cuộc tấn công của chúng tôi, chúng tôi sử dụng Scapy [32], một công cụ lập trình cho phép gửi các chuỗi gói tin với giá trị trường tùy ý giao thức (ví dụ: src / dst địa chỉ IP, cổng, vv.) Vì vậy, để mô phỏng một cuộc tấn công DDoS, chúng tôi xây dựng các gói SYN với một bộ được xác định trước điểm đến địa chỉ IP và cổng, và một tập hợp ngẫu nhiên và liên tục thay đổi của địa chỉ IP nguồn và cổng. Kịch bản tuyên truyền sâu sử dụng lưu lượng được tạo ra giống như trước đó, ngoại trừ từ thực tế là các cặp điểm đến địa chỉ IP / cổng là ngẫu nhiên, trong khi các cặp nguồn đã được xác định trước. Cuối cùng, cho các kịch bản Portscan chúng tôi xây dựng và tiêm gói tin với một nguồn và địa chỉ IP đích cụ thể, trong khi nguồn và đích cổng được chọn ngẫu nhiên trong mỗi gói.
Với mục tiêu để đánh giá phát hiện bất thường của chúng tôi và thực hiện cơ chế giảm nhẹ trong một
loạt các môi trường mạng, chúng tôi thu thập lưu lượng truy cập lành tính ở ba địa điểm khác nhau
từ mạng khuôn viên của Đại học Kỹ thuật Quốc gia Athens (NTUA). Ban đầu, chúng tôi đánh giá hiệu quả hoạt động trong một môi trường mạng lưới giao thông thấp, bằng cách sử dụng dấu vết gói từ phòng thí nghiệm của chúng tôi tại Trường điện và Kỹ thuật Máy tính. Bằng cách này, chúng ta có thể mô phỏng các điều kiện lưu lượng mạng của một môi trường SOHO, với lưu lượng trung bình tải 50Mbps và khoảng 35 máy chủ hoạt động. Đối với đánh giá thêm về cơ chế đề xuất của chúng tôi, chúng tôi đã thử nghiệm với lưu lượng truy cập cao hơn về tốc độ 100Mbps để giả lập một doanh nghiệp lớn hơn môi trường. Do đó, chúng tôi bắt mạng giao thông từ một phần của khuôn viên trường NTUA. Cuối cùng, để cạnh tranh với các mạng lưới giao thông điều kiện của một ISP nhỏ, chúng tôi bắt dấu vết gói dữ liệu từ toàn bộ khuôn viên NTUA. Các tải lưu lượng trung bình tại thời điểm nhất định là khoảng 500Mbps. Theo dõi các tập tin của 50Mbps và 100Mbps chứa bắt mạng lưới giao thông của toàn bộ một tuần, trong khi các tập tin dấu vết của NTUA trường kéo dài hai ngày do kích thước của các tập tin quan trọng được sản xuất bằng cách bắt cao như vậy giá giao thông. Những tập tin dấu vết đã được sử dụng trong các thí nghiệm của chúng tôi để đánh giá chính xác khả năng phát hiện có sự OpenFlow bản địa và phương pháp tiếp cận sFlow. Tcpreplay công cụ [31] được sử dụng để phát lại các tập tin dấu vết gói tin bị bắt, tiêm tạo ra lưu lượng truy cập đến một cổng Ethernet cụ thể. Tcpreplay có thể phát lại các lưu lượng được với tốc độ nó đã được bắt. Cho dấu vết cuộc tấn công của chúng tôi, chúng tôi sử dụng Scapy [32], một công cụ lập trình cho phép gửi các chuỗi gói tin với giá trị trường tùy ý giao thức (ví dụ: src / dst địa chỉ IP, cổng, vv.) Vì vậy, để mô phỏng một cuộc tấn công DDoS, chúng tôi xây dựng các gói SYN với một bộ được xác định trước điểm đến địa chỉ IP và cổng, và một tập hợp ngẫu nhiên và liên tục thay đổi của địa chỉ IP nguồn và cổng. Kịch bản tuyên truyền sâu sử dụng lưu lượng được tạo ra giống như trước đó, ngoại trừ từ thực tế là các cặp điểm đến địa chỉ IP / cổng là ngẫu nhiên, trong khi các cặp nguồn đã được xác định trước. Cuối cùng, cho các kịch bản Portscan chúng tôi xây dựng và tiêm gói tin với một nguồn và địa chỉ IP đích cụ thể, trong khi nguồn và đích cổng được chọn ngẫu nhiên trong mỗi gói.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Listening
- Thanks to being a multinational language
- 3.2. Architectural components Our work r
- Code Allocations:
- decidedinternationalother
- What is your phone number
- Competence checked & Allocated by(Direct
- Miss my house,want to eat seafood,walk f
- keeps
- Review points considered in this stage:
- lack
- religionquite
- holds
- tailored licensing plan
- religionquitequickly
- For the ZF criterion, the matrix equaliz
- Hai bên không tiết lộ bất kỳ thông tin l
- vào ngày quốc khánh những lá cờ được nhì
- VOV: However, it is alleged overseas tha
- sought harmony in a limited palette of c
- religionquitequicklyable
- In a native OF environment flow statisti
- Treated in the Meeting of the Certificat
- able
