SDN中基于MS-KNN算法的LFA檢測方法

收稿日期：2022-01-19；修回日期：2022-04-01" 基金項目：國家自然科學基金資助項目（62072217，61672269）

作者簡介：孫文悅（1997-），男，江蘇鹽城人，碩士，主要研究方向為網絡安全；王昌達（1971-），男（通信作者），江蘇鎮江人，教授，博導，博士，主要研究方向為網絡安全、信息安全、計算機網絡等（changda@ujs.edu.cn）．

摘 要：針對一種新型的DDoS攻擊—鏈路泛洪攻擊（link-flooding attack，LFA）難以檢測的問題，提出了SDN中基于MS-KNN（mean shift-K nearest neighbor）方法的LFA檢測方法。首先通過搭建SDN實驗平臺，模擬LFA并構建LFA數據集；然后利用改進的加權歐氏距離均值漂移（mean shift，MS）算法對LFA數據集進行分類；最后利用K近鄰（K nearest neighbor，KNN）算法判斷分類結果中是否具有LFA數據。實驗結果表明，相較于KNN算法，利用MS-KNN不僅得到了更高的準確率，同時也得到了更低的假陽性率。

關鍵詞：鏈路泛洪攻擊；SDN；均值漂移算法；K近鄰算法；MS-KNN

中圖分類號：TP393.08"" 文獻標志碼：A

文章編號：1001-3695（2022）09-042-2832-05

doi：10.19734/j.issn.1001-3695.2022.01.0058

LFA detection method based on MS-KNN algorithm in SDN

Sun Wenyue，Wang Changda

（School of Computer Science amp; Communication Engineering，Jiangsu University，Zhenjiang Jiangsu 212013，China）

Abstract：To address the problem that a new type of DDoS attack，LFA is difficult to detect，this paper proposed an LFA detection method based on MS-KNN method in SDN.Firstly，this paper simulated LFA and constructed LFA dataset by building an SDN experiment platform.Secondly，it used an improved weighted Euclidean distance MS algorithm to classify the LFA dataset.Finally，it used the KNN algorithm to determine whether LFA data were included in the classification results.The experimental results show that MS-KNN not only obtains a higher accuracy rate，but also has a lower 1 positive rate compared with the KNN algorithm.

Key words：link-flooding attack（LFA）；SDN；mean shift（MS）；K nearest neighbor（KNN）；mean shift-K nearest neighbor（MS-KNN）

0 引言

分布式拒絕服務攻擊（distributed denial of service，DDoS）是網絡安全面臨最嚴重的威脅之一。根據綠盟科技攜手中國電信發布的《2021 DDoS攻擊態勢報告》［1］顯示，DDoS攻擊方式復雜多變、令人防不勝防，2021年DDoS混合攻擊大幅增長，較2020年增長了80.8%。近年來，一種新的DDoS攻擊方式——鏈路泛洪攻擊（link-flooding attack，LFA）被引入［2，3］，這種攻擊可以有效地切斷目標單位（如大學校園、軍事基地、一組能源分配站）的互聯網連接。

與傳統DDoS攻擊不同，LFA攻擊者不是直接向目標服務器發送大量的攻擊流量，而是通過一群傀儡機（或僵尸網絡）攻擊一個特定的鏈路或區域，其目的是阻斷該區域內目標主機與外界網絡的連接。為達目的，傀儡機會向目標區域的誘餌服務器或機器人發送合法、低速率的流量。當流量通過連接這些服務器的關鍵鏈路時，目標鏈接會因鏈路擁塞而被阻斷。這種類型攻擊最顯著的特點是，它使用合法和低速率的流量來實現重大的性能影響，從而使其特別難以檢測、防御［4］。

LFA有Coremelt攻擊［2］和Crossfire攻擊［3］兩種類型。其中：Coremelt攻擊由Studer等人［2］首先提出，它定義了目標鏈路，攻擊者使用一組相互發送數據的傀儡機來淹沒目標鏈路。發動一個Coremelt攻擊有三個步驟：a）選擇網絡中的核心鏈路作為目標鏈路；b）確定哪些傀儡機可以生成穿越目標鏈接的流量；c）在步驟a）中確定的目標鏈路上發送流量，使目標鏈路過載。Crossfire攻擊是Coremelt攻擊的升級版本，它針對于更加復雜的網絡，即同時攻擊復雜網絡中的多個目標鏈路。這種攻擊使用傀儡機作為源，使用一些公共服務器作為目的地，并通過源和目的地之間的通信淹沒目標鏈接。為了確保攻擊的持久性，對手可以動態地改變目標鏈接的集合，這是Coremelt攻擊所不具備的。發動一個Crossfire攻擊有四個步驟：a）構建鏈接地圖；b）計算流密度并選擇目標鏈接進行攻擊設置；c）協調傀儡機分配攻擊流并淹沒目標鏈接；d）滾動攻擊。

LFA流量容易隱藏在正常的網絡流量中，為了在大量數據中發現LFA，需要一個有效方法。

軟件定義網絡（software-defined networking，SDN）是一種新興的網絡范式，以粒度、靈活性和彈性為特點，為防御網絡攻擊提供了新思路。SDN通常有三個基本特征［5］：a）控制平面和數據平面的明確分離，在控制平面作出轉發決策；

b）將網絡邏輯從硬件實現抽象到軟件實現；

c）使用控制器或網絡操作系統［6］，實現設備的轉發決策。

SDN提供了一種主流的網絡管理架構，該架構擺脫了硬件限制，將網絡中的控制平面和數據平面解耦。控制平面可以通過統一的接口協議（如OpenFlow［7］、P4［8］）對網絡設備進行管理，并規劃轉發規則來定義網絡策略；數據平面根據定義的規則進行處理、轉發數據包等工作。因此，與傳統網絡結構相比，SDN最大的區別在于它具有通過操作流表來靈活定義網絡設備的轉發能力，其轉發決策是基于流而不是基于目的地的，并由數據包包頭中的字段值定義匹配標準和一組操作。在SDN中，流是發送方和接收方設備之間的數據包序列。這種基于流的抽象統一了各種類型網絡設備的行為，如交換機、路由器、防火墻和中間盒［9］。

SDN有幾個優點［10］，如全網視圖、邏輯集中控制、基于軟件的流量分析和轉發規則的動態更新，這些都可以用于更有效的攻擊檢測。因此，SDN架構為檢測LFA提供了良好的平臺。

文獻［11］提出了用RL-Shield來緩解LFA。RL-Shield利用Dirichlet分布和貝葉斯統計量監測源IP行為，并使用hopby-hop技術連接相關的節點對，通過頻繁地改變路徑來實現檢測過程。然而，該方法受網絡拓撲的影響，在真實網絡中可移植性差。文獻［12］提出了一種基于混合SDN的新機制BALANCE。BALANCE使用基于服務的混合SDN，通過在網絡中放置節點，使得控制器能夠統計網絡中所有鏈路的數據，從而實現擁塞檢測。然而，在大型網絡中，統計所有鏈路的流量使得計算開銷非常龐大。文獻［13］提出了一種新型LFA防御系統LFADefender，該系統基于SDN的目標鏈路選擇算法，通過SDN控制器查看全局視圖，動態地跟蹤網絡中的流動路徑，利用探測器發送大量實時探測分組來檢測鏈路擁塞。然而，該系統反應速度不快，攻擊者可能在防御機制生效之前更快地改變目標鏈接。文獻［14］提出了基于損傷概率的LFA檢測，度量的計算考慮網絡中所有節點對之間的最短路徑，在龐大的網絡中需要一個巨大的計算周期。文獻［15］提出了LinkScope，LinkScope使用逐跳和端到端網絡測量方法檢測LFA，但是它需要部署許多額外的探測點，探測點必須跨網絡部署，這在巨大的網絡中造成資源開銷大。探測進度取決于前一天的網絡流量，這會在網絡中引入額外流量。文獻［16］提出了Woodpecker，其使用增量SDN部署來緩解LFA。擁塞檢測模塊應安裝在所有SDN節點上，但是所有節點可能不具備可編程特性和安裝模塊的內存。同樣，文獻［17］提出了軟件定義蜜網。充分利用了SDN全局視圖的優勢來推斷連接蜜網的潛在蜜節點，增加了攻擊者的攻擊成本。然而，該方案沒有考慮到屬性的重要性，而這些屬性可以準確定位現實世界基礎設施中的瓶頸，并且缺乏額外的圖形指標來智能選擇蜂蜜節點。

雖然SDN架構在網絡安全方面的創新具有一些明顯的好處，被認為適用于當今網絡的高帶寬和動態環境［18～20］，但是由于LFA的特性，僅使用SDN架構并不足以檢測LFA。

KNN（K nearest neighbor）［21］，即K-近鄰算法，是一種惰性學習法。其基本思想為：先計算待分類樣本與已知類別的訓練樣本之間的距離或相似度，找到距離或相似度與待分類樣本數據最近的k個鄰居，再根據這些鄰居所屬的類別來判斷待分類樣本數據的類別。所以對于網絡數據的分類，KNN具有較高的準確度與精確度。然而，KNN算法針對大數據的分類問題，存在如下缺點：a）對每一個待分類的文本都要計算它到全體已知樣本的距離才能求得它的k個最近鄰點，而面對大量的網絡數據，計算全體樣本間的距離會產生巨大的開銷；b）在決定測試樣本的類別時，該算法只計算最近鄰的樣本，而當面臨大規模網絡數據時，數據之間特征的不明顯會使分類結果產生偏差。

聚類算法是一種無監督學習算法，其主要功能是降維。LFA流量容易隱藏在正常網絡流量中，為了在大量數據中有效發現LFA的存在，需要聚合相似數據，減少需要分析的數據量。mean shift（MS）算法［22］是一種基于無監督學習的聚類算法，無須預先提供聚類中心的數量。網絡數據可以分為一個或多個集群，并通過分析該集群的特征來識別LFA的存在。但MS算法沒有考慮數據的各種屬性對分類的貢獻程度，導致聚類結果不滿意。因此，如何針對某類數據設置權值，對聚類效果有顯著影響。

本文為了解決KNN算法針對大規模網絡數據的缺點，以及MS算法分類效果不明顯的問題，提出了MS-KNN算法。實驗結果表明，MS-KNN不僅克服了不同類型數據分類效果不明顯的問題，同時也大大減小了計算時間開銷。本文的主要貢獻如下：a）提出了一種基于加權歐氏距離的MS聚類算法，并將其用于LFA網絡流量的分類，解決了MS算法對于LFA流量分類不明顯的問題；b）提出了基于MS-KNN算法的LFA檢測方法，將改進的MS和KNN算法相結合，以改進的MS算法的輸出作為KNN算法的輸入，通過網格搜索和交叉驗證尋找最優參數，得到最優檢測結果；c）在真實的SDN環境下進行實驗，相關數據證實了MS-KNN的有效性，且相較于傳統的KNN算法，MS-KNN算法具有更高的召回率（true positive rate，TPR）、精確率（positive predictive value，PPV）、準確率（accuracy，ACC）和更低的假陽性率（1 positive rate，FPR）。

1 MS-KNN算法

1.1 MS算法原理

MS算法［22］利用概率密度的梯度來尋找局部最優。通過定義核函數，使得隨著樣本與被偏移點的距離不同，其偏移量對均值偏移向量的貢獻不同。最典型的核函數為高斯核與Epanechnikov核［23］。通過定義權重系數，使不同樣本點的重要性不一樣，由此擴展了MS的應用范圍。給定n個數據點，分布在d維歐氏空間Rd，有多變量核密度估計的核K（x），對稱正定帶寬矩陣H，在點x得到的核密度估計為［24］

f（x）=1nhd∑ni=1K（x-xih）（1）

其中：核函數K（x）［24］滿足

K（x）=Ck，dk（‖x‖2）（2）

其中：Ck，d是一個標準化常數，它保證K（x）積分到1。核密度估計在式（1）中的梯度為

fh，k（x）=2Ck，dnhd+2∑ni=1g（‖x-xih‖2）∑ni=1xig（‖x-xih‖2）∑ni=1g（‖x-xih‖2）-x（3）

均值漂移向量由式（3）得出

mh（x）=∑ni=1xig（‖x-xih‖2）∑ni=1g（‖x-xih‖2）-x（4）

均值漂移矢量總是指向密度最大增長的方向。均值移動過程是由后續過程迭代形成的：

a）計算均值漂移向量mh（x）；b）轉換新的中心點yi+1=mh（x）+x。

MS算法使用的歐氏距離將數據屬性之間的差別等同看待，這一點不能滿足實際要求。因此，根據數據屬性的重要性，賦予不同的權重，使歐氏距離優化為加權歐氏距離，以提高聚類性能。兩點間的加權歐氏距離在d維歐氏空間可定義為

D（xi，xj）=‖xi-xj‖=∑dk=1wk|xik-xjk|2（5）

其中：wk（k=1，2，…，d）為權重。

在本文中，MS新的中心點由式（3）和（5）給出

yj+1=∑ni=1xig（∑dk=1wk|xik-xkh|2）∑ni=1g（∑dk=1wk|xik-xkh|2）（6）

其中：h為核帶寬；g（t）為核函數；wk為第k個屬性的權重系數。

由式（5）可知，權重系數對于下一個中心點的計算至關重要，對聚類性能有較大影響。由于LFA的特殊性，傳統的MS算法表現出了明顯不足。鑒于此，本文對檢測LFA的MS算法進行了優化，即使用加權歐氏距離替代傳統的歐氏距離，采用延時率作為加權歐氏距離的權重系數。當網絡中LFA發生后，被攻擊鏈路負載會明顯增加，所以正常數據包和LFA的攻擊數據包時間變化量會有顯著不同。其中，正常數據包時延低且分布離散，而LFA的數據包時延高且分布連續。

在給定的時間周期T內，主鏈路中獲取的數據包時延率TD定義為

TD=∑ni=1txi-txi-1T（7）

其中：n為數據包的個數。因此在一個時間周期T內，網絡中數據包的延時率越大，發生LFA的可能性越大。

1.2 KNN算法原理

KNN算法［21］基本步驟如下：a）計算樣本之間的距離；b）將得到的未知樣本和訓練樣本之間的距離按遞增關系進行排序；c）選取距離最小的k個點；d）確定前k個點所在類別的出現頻率；e）選擇出現頻率最多的類別作為未知樣本的類別。

KNN算法的實現取決于未知樣本和訓練樣本的距離。本文中使用的距離是歐氏距離，由式（5）給出。

1.3 基于MS-KNN算法的LFA檢測方法

鑒于MS以及KNN算法的各種優良性能，將MS與KNN算法相結合，得到可用于LFA有效檢測的MS-KNN方法。其主要步驟如圖1所示。

a）對數據集中進行預處理，包括數據清理和標準化；

b）初始化參數；

c）將數據粗粒化，避免非常近的樣本點都作為起始質心，獲取可以作為起始質心的點；

d）計算均值點到每個樣本點的歐氏距離與高斯核；

e）計算權重；

f）進行一次獨立的均值漂移，計算下一個漂移點的坐標；

g）根據最近鄰將數據分類到最近的簇中，得到n個簇；

h）將得到的n個簇作為輸入，利用網格搜索［25］與交叉驗證［26］得到每個簇使用KNN算法的最優k值、最優權重和最優實現方法；

i）利用得到的最優KNN算法，分析每個簇，得到分析結果。

MS-KNN的時間復雜度與空間復雜度，及其與MS、KNN的比較如表1所示。其中，n為樣本數量；T為迭代次數；k為單個樣本特征維度。

2 實驗與分析

2.1 實驗環境的構建

首先本文根據文獻［2］設計了一個小型網絡，如圖2所示。

該網絡由兩臺配備Intel Core i7-10700 2.90 GHz 八核處理器和16 GB內存的計算機作為傀儡機；同時選擇了五臺配備Intel Core i5-8400 2.80 GHz六核處理器和16 GB內存的計算機作為正常用戶。為了保證它們之間的帶寬足夠高，本文選擇了三臺型號為EdgeCore AS4610-54P的千兆以太網交換機作為轉發設備，這些交換機為支持OpenFlow協議的SDN交換機。控制器方面，本文選擇了RYU控制器。本文將RYU控制器部署在配備兩個Intel Xeon Gold 6248R 3.00 GHz 48核處理器和128 GB內存的服務器上。該服務器被用做整個網絡的控制平面，控制機器人產生攻擊流量，并實現整個網絡的數據收集。完成數據收集后，控制平面在數據中混合來自合法終端主機的流量特征，以生成最終數據集并進行實驗分析。本文所有實驗通過控制器統一分配40核處理器并行運算得到分析結果，其中包括數據集的聚類、網格搜索、交叉驗證以及最終的數據分析。

2.2 數據集

a）來自合法終端主機的流量CIC-IDS2017［27］是加拿大網絡安全研究所構建的能夠可靠測試和驗證的數據集，如表2所示。

該數據集包含良性和最新的常見攻擊，類似于真實的真實世界數據（PCAP）。它還包括使用 CICFlowMeter 和基于時間戳、源和目標 IP、源和目標端口、協議和攻擊（CSV文件）標記流的網絡流量分析結果。考慮到它不包含LFA流，本文只使用它的合法流，提取星期一合法終端主機的特征集，并將其標記為正。

b）傀儡機啟動LFA的流量。由于LFA到目前為止沒有公共數據集，所以本文基于文獻［2，3］模擬LFA來構建該數據集。200 s內具有LFA流量的網絡狀態如圖3所示。在20～80 s時，網絡遭受LFA，此時的網絡吞吐量增加，波動明顯；80～135 s，LFA流量減少，網絡處于較安全狀態，此時網絡吞吐量減少且波動不大；135～185 s，LFA流量增加，網絡吞吐量再次增加且波動較大；185 s之后出于安全狀態，網絡緩慢恢復。

2.3 實驗結果與分析

為了使用不同的數據結構和不同的權重實現KNN算法對該數據集進行初步評估，本文將數據集按照70%/30%的比例劃分為訓練集和測試集，通過TPR、FPR、PPV和ACC 四個指標進行對比，結果如圖4所示。

其中，圖4（a）～（c）的數據顯示了在統一權重下分別用三種方法實現KNN算法對數據的評估。實驗結果表明，圖4（b）和（c）的效果優于圖4（a）。圖4（b）的數據顯示了在統一權重下使用球樹方法［28］，當k值為10時，此時的TPR、PPV、ACC分別達到了98.92%、96.98%、96.75%，FPR降低到了10.99%；圖4（c）的數據顯示了在統一權重下蠻力實現，當k值為3時，TPR、PPV、ACC分別達到了79.66%、96.89%、94.98%，FPR降低到了0.72%。相較于圖4（b），圖4（c）雖然在TPR、PPV、ACC這三個指標上略有不足，但具有更低的FPR。圖4（d）～（f）的數據顯示了在距離倒數的權重下分別用三種方法實現KNN算法對數據的評估。實驗結果表明，圖4（d）～（f）都具有較高的TPR、PPV、ACC。圖4（d）的數據顯示了在距離倒數權重下使用kd樹方法［29］，當k值為19時，TPR、PPV、ACC分別達到了98.57%、97.23%、96.69%，FPR降低到了10.01%；圖4（e）的數據顯示了在距離倒數權重下使用球樹方法，k值為15時，此時的TPR、PPV、ACC分別達到了89.92%、89.79%、95.55%，FPR降低到了2.87%；圖4（f）的數據顯示了在距離倒數權重下使用球樹方法，當k值為49時，TPR、PPV、ACC分別達到了97.06%、97.19%、95.51%，FPR降低到了10.01%。相較于圖4（d）和（f），圖4（e）雖然在TPR、PPV、ACC這三個指標上略有不足，但具有更低的FPR。

TPR=正類被分類為正類樣本數正類樣本總數（8）

FPR=負類被分類為正類樣本數負類樣本總數（9）

PPV=正類被分類為正類樣本數被分類為正類樣本數（10）

ACC=分類正確的樣本數樣本總數（11）

表3給出了使用不同的數據結構和不同的權重實現KNN算法對該數據集進行初步評估的時間消耗，本文發現使用kd樹實現所需的時間最少，蠻力實現所需的時間最多，球樹介于兩者之間。

數據顯示，僅使用KNN算法分析數據集，雖然對于檢測LFA具有較好的效果，但是會帶來較高的FPR，而且檢測需要很長的時間。為了降低FPR以及檢測時間，本文利用MS-KNN方法首先對數據集進行聚類處理，將整個數據集劃分為多個簇，以減少數據量從而減少檢測時間；然后對每個簇使用網格搜索和交叉驗證選取最優參數；最后利用最優參數分析每個簇，得到最優結果，降低FPR。同時為了減少數據集對實驗結果的影響，本文去掉了源地址、目的地址等相關特征，用協議、包長度等特征進行實驗。

通過網格搜索和不同交叉驗證法獲得每個簇的最優參數。結果表明無論是二折、五折、十折交叉驗證法，網格搜索的最優KNN算法的實現方法都是球樹方法，權重基本都是統一權重，僅在十折交叉驗證法下的第一個簇的權重為距離的倒數。對應的在不同交叉驗證法下，每個簇消耗的時間如圖5所示。因此，本文使用最優參數，權重選擇為統一權重，實現方法選擇球樹方法。

圖6和7顯示了MS-KNN方法對數據集的最終檢測效果。圖6給出了各個簇的四個評價指標，TPR、PPV和ACC均達到了99%以上，FPR降低到了1%以下，其中TPR、PPV和ACC最高分別達到了99.99%、99.95%、99.98%，FPR最低達到了0.05%。圖7給出了各個簇使用MS-KNN的檢測時間，相較于表1中KNN算法對數據集的處理時間，MS-KNN大大減少了檢測所需要的時間。綜合數據表明，相較于傳統的KNN算法，MS-KNN方法在用于LFA檢測方面不僅取得了更高的TPR、PPV和ACC，以及更低的FPR，而且大大減少了時間開銷。

3 結束語

針對關鍵鏈路的鏈路泛洪攻擊會造成鏈路擁塞和目標網絡區域斷開等嚴重危害，本文提出了MS-KNN方法，該方法將傳統的MS算法的歐氏距離變換為加權歐氏距離，利用數據包延時率作為加權歐氏距離的加權系數來優化聚類性能，提高了聚類效果。此外，通過網格搜索和交叉驗證法選取KNN算法的最優參數來分析LFA數據集。實驗結果表明，MS-KNN方法對于檢測LFA數據集不僅有較高的TPR、PPV和ACC，而且還有較低的FPR和檢測時間。

本文方法在針對LFA檢測中取得了良好的效果，但是還存在一些不足。在未來的工作中，將構建更加復雜的網絡環境，在更加真實的物理環境中研究全面的網絡流量信息特征；同時，還將致力于研究如何實時動態地檢測網絡流量，進一步驗證LFA檢測方法的實用性。

參考文獻：

［1］綠盟科技.2021 DDoS攻擊態勢報告［R/OL］.（2022-02-09）.https：//www.nsfocus.com.cn/html/2022/92_0209/173.html.（NSFOCUS.2021 DDoS attack situation report［R/OL］.（2022-02-09）.https：//www.nsfocus.com.cn/html/2022/92_0209/173.html.）

［2］Studer A，Perrig A.The Coremelt attack［C］//Proc of European Symposium on Research in Computer Security.Berlin：Springer，2009：37-52.

［3］Kang M S，Lee S B，Gligor V D.The Crossfire attack［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2013：127-141.

［4］Kang M S，Gligor V D，Sekar V.SPIFFY：inducing cost-detectability tradeoffs for persistent link-flooding attacks［C］//Proc of Network and Distributed System Security Symposium.2016：53-55.

［5］Csikor L，Szalay M，Rétvári G，et al.Transition to SDN is HARMLESS：hybrid architecture for migrating legacy ethernet switches to SDN［J］.IEEE/ACM Trans on Networking，2020，28（1）：275-288.

［6］Chica J C C，Imbachi J C，Vega J F B.Security in SDN：a comprehensive survey［J］.Journal of Network and Computer Applications，2020，159：102595.

［7］Isyaku B，Zahid M S M，Kamat M B，et al.Software defined networking flow table management of OpenFlow switches performance and security challenges：a survey［J］.Future Internet，2020，12（9）：article No.147.

［8］夏計強，崔鵬帥，李子勇，等.基于P4的SDN控制—數據平面流規則一致性校驗［J］.計算機應用研究，2022，39（8）：2479-2483，2489.（Xia Jiqiang，Cui Pengshuai，Li Ziyong，et al.P4-based rules consistency verification for SDN control-data plane［J］.Application Research of Computers，2022，39（8）：2479-2483，2489.）

［9］Singh J，Behal S.Detection and mitigation of DDoS attacks in SDN：a comprehensive review，research challenges and future directions［J］.Computer Science Review，2020，37：100279.

［10］賈錕，王君楠，劉峰.SDN環境下的DDoS檢測與緩解機制［J］.信息安全學報，2021，6（1）：17-31.（Jia Kun，Wang Junnan，Liu Feng.DDoS detection and mitigation framework in SDN［J］.Journal of Cyber Security，2021，6（1）：17-31.）

［11］Rezapour A，Tzeng W G.RL-Shield：mitigating target link-flooding attacks using SDN and deep reinforcement learning routing algorithm［J/OL］.IEEE Trans on Dependable and Secure Computing.（2021-10-06）.http：//doi.org/10.1109/tdsc.2021.3118081.

［12］Ravi N，Shalinie S M，Theres D D J.BALANCE：link flooding attack detection and mitigation via hybrid-SDN［J］.IEEE Trans on Network and Service Management，2020，17（3）：1715-1729.

［13］Wang Juan，Wen Ru，Li Jiangqi，et al.Detecting and mitigating target link-flooding attacks using SDN［J］.IEEE Trans on Dependable and Secure Computing，2018，16（6）：944-956.

［14］Liaskos C，Ioannidis S.Network topology effects on the detectability of crossfire attacks［J］.IEEE Trans on Information Forensics and Security，2018，13（7）：1682-1695.

［15］Xue Lei，Ma Xiaobo，Luo Xiapu，et al.LinkScope：toward detecting target link flooding attacks［J］.IEEE Trans on Information Forensics and Security，2018，13（10）：2423-2438.

［16］Wang Lei，Li Qing，Jiang Yong，et al.Woodpecker：detecting and mitigating link-flooding attacks via SDN［J］.Computer Networks，2018，147：1-13.

［17］Kim J，Shin S.Software-defined honeynet：towards mitigating link flooding attacks［C］//Proc of the 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops.Piscataway，NJ：IEEE Press，2017：99-100.

［18］Deb R，Roy S.A comprehensive survey of vulnerability and information security in SDN［J］.Computer Networks，2022，206：108802.

［19］Hande Y，Muddana A.A survey on intrusion detection system for software defined networks（SDN）［J］.International Journal of Business Data Communications and Networking，2020，16（1）：28-47.

［20］Li Wenjuan，Meng Weizhi，Liu Zhiqiang，et al.Towards blockchain-based software-defined networking：security challenges and solutions［J］.IEICE Trans on Information and Systems，2020，103（2）：196-203.

［21］Zhang Shichao.Cost-sensitive KNN classification［J］.Neurocompu-ting，2020，391：234-242.

［22］Zhang Yikun，Chen Yenchi.Kernel smoothing，mean shift，and their learning theory with directional data［J］.Journal of Machine Lear-ning Research，2021，22（154）：1-92.

［23］Huang Kejun，Fu Xiao，Sidiropoulos N D.On convergence of Epanechnikov mean shift［C］//Proc of AAAI Conference on Artificial Intelligence.2018：3263-3270.

［24］Silverman B W.Density estimation for statistics and data analysis［M］.New York：Chapman and Hall，1986.

［25］LeCun Y，Bengio Y，Hinton G.Deep learning［J］.Nature，2015，521（7553）：436-444.

［26］Marcot B G，Hanea A M.What is an optimal value of k in k-fold cross-validation in discrete Bayesian network analysis？［J］.Computatio-nal Statistics，2021，36（3）：2009-2031.

［27］Sharafaldin I，Lashkari A H，Ghorbani A A.Toward generating a new intrusion detection dataset and intrusion traffic characterization［C］//Proc of the 4th International Conference on Information Systems Secu-rity and Privacy.2018：108-116.

［28］Cui Liangze，Zhang Yao，Zhang Runren，et al.A modified efficient KNN method for antenna optimization and design［J］.IEEE Trans on Antennas and Propagation，2020，68（10）：6858-6866.

［29］Xu Yuhua，Yu Yunfeng，Hong Hanshu，et al.DDoS detection using a cloud-edge collaboration method based on entropy-measuring SOM and KD-tree in SDN［J］.Security and Communication Networks，2021，2021：article ID 5594468.