Carvalho L F , Fernandes G , Rodrigues J J P C , et al. A novel anomaly detection system to assist network management in SDN environment[C]// IEEE International Conference on Communications. IEEE, 2017.

C类。本文提出一种辅助网络管理的异常检测系统，算法运行在controller，分为四个模块：

statistic collection module

controller定期向switch发送收集信息请求，并以统计的形式将特征（如源/目的IP,源/目的port等）存入profile中$X={n_1,\cdots,n_i,\cdots,n_N}$，其中$n_i$表示特征i发生次数，这样便可获得熵的信息：$H(X)=-\sum_(i=1)^N(\frac{n_i}{S})log_2(\frac{n_i}{S})$,其中，$S=\sum_{i=1}^{N}n_i$

Anomaly Detection Module

本模块目的是找到异常流。首先，从profile里获得正常流信息，信息存放在$P_{n \times a}$矩阵中，n是收集信息次数，a是信息维度，因此$p_{ij}$代表了第i个时间段的第j个特征。如果一个事件偏离profile太远，即被定义为异常，如果异常库没有该异常相关信息而将其存储并之后再检测。（这里并没有讲它是怎么计算偏移的，应该是通过熵）.有的常规流量也会有异常特征，这通过添加白名单来解决。

Mitigation Module

检测到异常就将异常流信息发送至缓解模块，缓解模块将信息插入流表以禁止恶意流量交付。

Reporting Module

向管理员提供一些有用的信息，如未知异常。

本篇感觉总体感觉价值不大。