5.6. Anomaly Mitigation Up to this

5.6. Anomaly Mitigation

Up to this point, we have shown the results of using either native OF methods or sFlow-
based methods to perform anomaly detection tasks in our network. In this section, we aim to
demonstrate the added value of the OF protocol in such a mechanism and the reason to
implement the sFlow-based approach as a module under the same SDN environment.
In this experiment, we took advantage of the same datasets, along with the same DDoS
attack that was previously used to produce the entropy values shown in Figure 4. Once the
Anomaly Detection algorithm has detected the anomaly and identified it as a DDoS TCP
attack to port N of host A, the Anomaly Mitigation module can drop the corresponding
malicious traffic. Figure 8(a) shows the entropy values of the corresponding network metrics
when a DDoS attack is identified, in the case where the Attack Mitigation module is used (red
dotted line) or not (blue line). It is obvious that once the attack is identified and mitigated, the
entropy values return to the expected range. In Figures 8(b) and 8(c), we depict the mitigation
of an indicative worm and port scanning attack respectively. As we can observe, the entropy
values of Source-IP and Destination-Port for the worm attack, as well as the entropy values of
Source-IP and Destination-IP for the port scanning attack, return to the expected range, once
the attack has been detected and mitigated.
We have used a time-window of 30 seconds across all our experiments, at the end of which
the anomaly detection process takes place, analyzing all the collected flow statistics until that
point. Consequently, the Anomaly Mitigation is aware of the combination of variables {A, N}
mentioned above. It is commonly accepted that a simplistic way to mitigate a detected DDoS
attack is to cut-off the host under attack. This is due to the fact that attackers are counted in
thousands and it would be inefficient to insert that many rules, cutting-off each attacker one
by one. Hence, the Anomaly Mitigation module inserts a new flow-rule regarding the victim
host, as shown on Table 7 with action Drop. The rule actually consists of two flow-entries
representing a bidirectional connection. Along with these values, we assign a priority value higher than the priority of all forwarding flow-entries. Finally, we set a specific soft-timeout
value, so that the two flow-entries will expire in a predefined amount of time, since they
receive an idle state flag.
In case of a Worm or Port Scanning attack mitigation, we use the exact same logic
mentioned above for the DDoS attack. The only difference is the wildcarded fields inserted in
the flow for mitigating each type of attack. More specifically, in case of a worm attack, we
aim to cut off the host “A” attacking a specific destination port “N”. On the other hand, in
case we target the mitigation of a Port Scanning attack, it is a common practice to cut off the
host “A” performing the attack, and set the destination IP field to cover a whole subnet “B”
(we employed classful subnets for simplicity). The reason behind setting the whole subnet
and not just the detected destination IP(s) under attack is that, in all likelihood, the same
attacker will try to scan the ports of more than one hosts of the same subnet, trying to find
vulnerabilities.

5.6. Anomaly Mitigation 
 
Up to this point, we have shown the results of using either native OF methods or sFlow-
based methods to perform anomaly detection tasks in our network. In this section, we aim to 
demonstrate the added value of the OF protocol in such a mechanism and the reason to 
implement the sFlow-based approach as a module under the same SDN environment. 
 In this experiment, we took advantage of the same datasets, along with the same DDoS 
attack that was previously used to produce the entropy values shown in Figure 4. Once the 
Anomaly Detection algorithm has detected the anomaly and identified it as a DDoS TCP 
attack to port N of host A, the Anomaly Mitigation module can drop the corresponding 
malicious traffic. Figure 8(a) shows the entropy values of the corresponding network metrics 
when a DDoS attack is identified, in the case where the Attack Mitigation module is used (red 
dotted line) or not (blue line). It is obvious that once the attack is identified and mitigated, the 
entropy values return to the expected range. In Figures 8(b) and 8(c), we depict the mitigation 
of an indicative worm and port scanning attack respectively. As we can observe, the entropy 
values of Source-IP and Destination-Port for the worm attack, as well as the entropy values of 
Source-IP and Destination-IP for the port scanning attack, return to the expected range, once 
the attack has been detected and mitigated. 
We have used a time-window of 30 seconds across all our experiments, at the end of which 
the anomaly detection process takes place, analyzing all the collected flow statistics until that 
point. Consequently, the Anomaly Mitigation is aware of the combination of variables {A, N} 
mentioned above. It is commonly accepted that a simplistic way to mitigate a detected DDoS 
attack is to cut-off the host under attack. This is due to the fact that attackers are counted in 
thousands and it would be inefficient to insert that many rules, cutting-off each attacker one 
by one. Hence, the Anomaly Mitigation module inserts a new flow-rule regarding the victim 
host, as shown on Table 7 with action Drop. The rule actually consists of two flow-entries 
representing a bidirectional connection. Along with these values, we assign a priority value higher than the priority of all forwarding flow-entries. Finally, we set a specific soft-timeout 
value, so that the two flow-entries will expire in a predefined amount of time, since they 
receive an idle state flag. 
 In case of a Worm or Port Scanning attack mitigation, we use the exact same logic 
mentioned above for the DDoS attack. The only difference is the wildcarded fields inserted in 
the flow for mitigating each type of attack. More specifically, in case of a worm attack, we 
aim to cut off the host “A” attacking a specific destination port “N”. On the other hand, in 
case we target the mitigation of a Port Scanning attack, it is a common practice to cut off the 
host “A” performing the attack, and set the destination IP field to cover a whole subnet “B” 
(we employed classful subnets for simplicity). The reason behind setting the whole subnet 
and not just the detected destination IP(s) under attack is that, in all likelihood, the same 
attacker will try to scan the ports of more than one hosts of the same subnet, trying to find 
vulnerabilities.

0/5000

Từ: -

Sang: -

Kết quả (Việt) 1: [Sao chép]

Sao chép!

5,6. Bất thường giảm nhẹ

đến thời điểm này, chúng tôi đã cho thấy các kết quả của việc sử dụng một trong hai nguồn gốc của phương pháp hoặc sFlow-
dựa trên phương pháp để thực hiện nhiệm vụ phát hiện bất thường trong mạng của chúng tôi. Trong phần này, chúng tôi mong muốn
chứng minh giá trị gia tăng của giao thức của một cơ chế và nguyên nhân để
sFlow dựa trên phương pháp tiếp cận thực hiện như là một mô-đun dưới môi trường SDN tương tự.
Trong thử nghiệm này, chúng tôi đã lợi dụng các datasets cùng, cùng với cùng một DDoS
tấn công trước đây được sử dụng để sản xuất các giá trị dữ liệu ngẫu nhiên Hiển thị trong hình 4. Một khi các
thuật toán phát hiện bất thường đã phát hiện thấy sự bất thường và xác định nó là một TCP DDoS
tấn công cảng N của máy chủ lưu trữ A, các mô-đun bất thường giảm nhẹ có thể thả tương ứng
lưu lượng truy cập độc hại. Con số 8(a) cho thấy các giá trị dữ liệu ngẫu nhiên của các số liệu mạng tương ứng
khi một cuộc tấn công DDoS được xác định, trong trường hợp nơi các mô-đun tấn công giảm nhẹ được sử dụng (đỏ
dòng rải rác) hay không (đường màu xanh). Nó là rõ ràng rằng một khi các cuộc tấn công xác định và giảm nhẹ, các
dữ liệu ngẫu nhiên giá trị trở về phạm vi dự kiến. Trong con số 8(b) và 8(c), chúng tôi mô tả giảm nhẹ
một chỉ sâu và cổng quét tấn công tương ứng. Như chúng tôi có thể quan sát, entropy
giá trị của nguồn-IP và điểm đến-Port cho cuộc tấn công sâu, cũng như các giá trị dữ liệu ngẫu nhiên của
nguồn-IP và điểm đến-IP cho cổng quét tấn công, trở về phạm vi dự kiến, một lần
cuộc tấn công đã được phát hiện và giảm nhẹ.
Chúng tôi đã sử dụng một cửa sổ thời gian 30 giây trên tất cả các thí nghiệm của chúng tôi, vào cuối
quá trình phát hiện bất thường diễn ra, phân tích tất cả các số liệu thống kê thu thập dòng chảy cho đến khi đó
điểm. Do đó, giảm nhẹ bất thường là nhận thức được sự kết hợp của các biến {A, N}
đã đề cập ở trên. Nó thường được chấp nhận rằng một cách đơn giản để giảm thiểu một DDoS phát hiện
tấn công là để cắt các máy chủ bị tấn công. Điều này là do thực tế rằng những kẻ tấn công được tính
hàng ngàn và nó sẽ là không hiệu quả để chèn rằng nhiều quy tắc, Máy cắt mỗi kẻ tấn công một
bởi một. Do đó, các mô-đun bất thường giảm nhẹ chèn một dòng chảy quy tắc mới liên quan đến các nạn nhân
lưu trữ, như được hiển thị trên bảng 7 với hành động thả. Quy tắc thực sự bao gồm của hai dòng chảy-mục
đại diện cho một kết nối hai chiều. Cùng với những giá trị này, chúng tôi chỉ định một giá trị ưu tiên cao hơn mức ưu tiên của tất cả các chuyển tiếp lưu lượng-mục. Cuối cùng, chúng tôi thiết lập một cụ thể mềm-thời gian chờ
giá trị, vì vậy mà hai dòng chảy-mục sẽ hết hạn trong một khoảng thời gian, kể từ khi họ được xác định trước
nhận được một lá cờ tiểu bang nhàn rỗi.
Trường hợp của một sâu hoặc cổng quét giảm nhẹ tấn công, chúng tôi sử dụng cùng một logic chính xác
đã nói ở trên cho cuộc tấn công DDoS. Sự khác biệt duy nhất là wildcarded vào lĩnh vực
dòng cho giảm nhẹ mỗi kiểu tấn công. Cụ thể hơn, trong trường hợp một cuộc tấn công sâu, chúng tôi
nhằm mục đích để cắt ra máy chủ lưu trữ "A" tấn công một cổng đích cụ thể "N". Mặt khác, trong
trường hợp chúng tôi nhắm mục tiêu giảm nhẹ của một Port Scanning tấn công, nó là một thực tế phổ biến để cắt các
lưu trữ "Một" thực hiện cuộc tấn công, và thiết lập trường đích IP để trang trải một mạng con toàn bộ "B"
(chúng tôi sử dụng classful mạng con vì đơn giản hơn). Lý do đằng sau thiết lập toàn bộ mạng con
và không chỉ IP(s) phát hiện điểm đến dưới tấn công là rằng, trong khả năng tất cả, giống
kẻ tấn công sẽ cố gắng để quét các cổng của nhiều hơn một máy chủ của mạng con cùng, cố gắng tìm
lỗ hổng.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 2:[Sao chép]

Sao chép!

5.6. Bất thường giảm nhẹ Tính đến thời điểm này, chúng tôi đã cho thấy kết quả của việc sử dụng một trong hai nguồn gốc của phương pháp hoặc sFlow- phương pháp dựa trên thực hiện nhiệm vụ phát hiện bất thường trong mạng của chúng tôi. Trong phần này, chúng tôi hướng đến chứng minh giá trị gia tăng của của giao thức trong một cơ chế như vậy và lý do để thực hiện phương pháp sFlow dựa trên như là một module dưới cùng một môi trường SDN. Trong thí nghiệm này, chúng tôi đã tận dụng các bộ dữ liệu giống nhau, cùng với các công DDoS tương tự tấn công mà trước đây đã được sử dụng để sản xuất các giá trị dữ liệu ngẫu nhiên thể hiện trong hình 4. Sau khi thuật toán phát hiện bất thường đã phát hiện sự bất thường và xác định nó như là một công DDoS TCP tấn công vào cổng N của máy chủ A, các mô-đun bất thường giảm nhẹ có thể thả tương ứng với lưu lượng truy cập độc hại. Hình 8 (a) cho thấy các giá trị dữ liệu ngẫu nhiên các số liệu mạng tương ứng khi một cuộc tấn công DDoS được xác định, trong trường hợp các mô-đun tấn công giảm thiểu được sử dụng (màu đỏ đường chấm chấm) hay không (đường màu xanh). Rõ ràng là một cuộc tấn công được xác định và giảm nhẹ, các giá trị dữ liệu ngẫu nhiên trở lại phạm vi dự kiến. Trong hình 8 (b) và 8 (c), chúng tôi mô tả giảm nhẹ của một con sâu chỉ và cổng quét tấn công tương ứng. Như chúng ta có thể quan sát, các dữ liệu ngẫu nhiên giá trị của nguồn-IP và Điểm đến cổng cho cuộc tấn công sâu, cũng như các giá trị entropy của nguồn-IP và Destination IP cho cuộc tấn công quét cổng, trở về phạm vi dự kiến, một khi các cuộc tấn công đã được phát hiện và giảm thiểu. Chúng tôi đã sử dụng một cửa sổ thời gian 30 giây trên tất cả các thí nghiệm của chúng tôi, vào cuối mà quá trình phát hiện bất thường diễn ra, phân tích tất cả các số liệu thống kê lưu lượng thu thập cho đến khi có điểm. Do đó, bất thường giảm nhẹ là nhận thức sự kết hợp của các biến {A, N} đề cập ở trên. Nó thường được chấp nhận một cách đơn giản để giảm thiểu một DDoS phát hiện tấn công là để cắt các máy chủ bị tấn công. Điều này là do thực tế là những kẻ tấn công được tính trong hàng ngàn và nó sẽ là không hiệu quả để chèn nhiều quy tắc, cắt-off mỗi kẻ tấn công một người một. Do đó, các mô-đun bất thường giảm nhẹ chèn một dòng chảy quy định mới liên quan đến các nạn nhân máy chủ, như thể hiện trên Bảng 7 với Drop hành động. Quy tắc thực sự bao gồm hai dòng chảy mục đại diện cho một kết nối hai chiều. Cùng với những giá trị này, chúng tôi chỉ định một giá trị ưu tiên cao hơn so với các ưu tiên của tất cả các chuyển tiếp lưu lượng-mục. Cuối cùng, chúng tôi thiết lập một thời gian chờ mềm cụ thể giá trị, do đó hai dòng chảy mục sẽ hết hạn trong một khoảng thời gian xác định trước, kể từ khi họ nhận được một lá cờ trạng thái nhàn rỗi. Trong trường hợp của một Worm hay Port quét giảm nhẹ tấn công, chúng tôi sử dụng chính xác cùng một logic đã đề cập ở trên cho cuộc tấn công DDoS. Sự khác biệt duy nhất là các lĩnh vực wildcarded lắp vào dòng chảy để giảm thiểu từng loại tấn công. Cụ thể hơn, trong trường hợp một cuộc tấn công sâu, chúng tôi nhằm mục đích để cắt đứt các host "A" tấn công một cổng đích cụ thể "N". Mặt khác, trong trường hợp chúng tôi nhắm mục tiêu giảm nhẹ của một cuộc tấn công Cảng quét, nó là một thực tế phổ biến để cắt đứt các host "A" thực hiện các cuộc tấn công, và thiết lập các lĩnh vực IP đích để trang trải một subnet toàn bộ "B" (chúng tôi sử dụng mạng con classful vì đơn giản). Lý do đằng sau việc thiết lập toàn bộ mạng con và không chỉ IP đích phát hiện (s) bị tấn công là, trong tất cả các khả năng, cùng kẻ tấn công sẽ cố gắng để quét các cổng của nhiều hơn một máy chủ của cùng một mạng con, cố gắng tìm lỗ hổng.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 3:[Sao chép]

Sao chép!

đang được dịch, vui lòng đợi..

Các ngôn ngữ khác

Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.