-
公开(公告)号:CN111600877A
公开(公告)日:2020-08-28
申请号:CN202010406743.4
申请日:2020-05-14
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于多流量特征和Adaboost(MF-Ada)算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法内容包括:在单位时间内,抓取网络关键路由节点中的所有相关数据报文,形成训练样本和测试样本;对训练样本和测试样本进行特征提取和特征选择,得到训练样本的最佳特征数据和测试样本的最佳特征数据;用训练样本的最佳特征数据训练Adaboost分类模型,使Adaboost分类模型学习并记忆LDoS攻击的特征,得到可用于LDoS攻击检测的模型;用训练后的Adaboost分类模型对测试样本的最佳特征数据进行检测。根据判定准则,判断该最佳特征数据对应的单位时间内是否发生LDoS攻击。本发明提出的基于MF-Ada算法的检测方法具有较低的误报率和漏报率以及自适应调整参数的优点,是一种检测性能较好的LDoS攻击检测方法。
-
公开(公告)号:CN112804248A
公开(公告)日:2021-05-14
申请号:CN202110120506.6
申请日:2021-01-28
Applicant: 湖南大学
Abstract: 本发明公开了一种基于频域特征融合的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的网络数据报文,得到样本序列;然后,基于离散傅里叶变换和离散小波变换将样本序列从时间域变换到频率域,充分地提取样本序列的频域特征;接着,采用线性判别分析将提取的频域特征进行特征融合得到判定特征,从而能够显著提高特征的分类性能;最后,将判定特征输入到事先训练好的单类分类异常检测模型,并根据异常检测模型的输出,对该单位时间内的网络数据报文进行判定检测,若异常检测模型的输出为‑1,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于频域特征融合的检测方法能高效、快速、准确地检测LDoS攻击。
-
公开(公告)号:CN112261000A
公开(公告)日:2021-01-22
申请号:CN202011022723.3
申请日:2020-09-25
Applicant: 湖南大学
Abstract: 本发明公开了一种基于粒子群优化和K均值聚类(PSO‑K)算法的低速率拒绝服务(LDoS)攻击检测方法,属于计算机网络安全领域。本发明所述的方法包括:以一个时间窗口为检测单位,实时对数据流量进行采样;并在该时间窗口内为数据流量划分时间片,提取数据流量的数字特征;采用PSO‑K算法对数据流量的特征进行聚类分析,再将聚类结果进行处理;与预先计算获得的阈值进行比较,最后依据判定准则判定数据流量是否存在异常,从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于群体智能优化和无需监督思想的LDoS攻击检测方法具有良好的普适性以及准确性。
-
公开(公告)号:CN112202791A
公开(公告)日:2021-01-08
申请号:CN202011068857.9
申请日:2020-09-28
Applicant: 湖南大学
Abstract: 本发明公开了一种基于P‑F方法的软件定义网络(SDN)慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取SDN交换机中的流表信息,基于OpenFlow协议,对单位时间窗口内的流量条目及其数据进行采样统计;提取网络特征值,并依据网络协议种类,将所提取的特征值分为攻击效果P与攻击特征F两组;根据P与F两组特征值,利用梯度提升树‑逻辑回归(GBDT‑LR)与双滑片‑K峰值(DSS‑KB)算法分别构建基于P与F的检测模型;根据待测时间窗口内的网络数据,基于两种检测模型检测结论的综合分析,判定待检测时间窗口内是否同时出现网络形态异常和LDoS攻击流,从而检测该窗口内是否发生LDoS攻击。本发明提出的P‑F方法对于LDoS攻击检测率高,误报、漏报率低,自适应性强,且该方法能运行在SDN控制器上,针对SDN环境中的LDoS攻击,能够实现精准、实时的检测。
-
公开(公告)号:CN111294362A
公开(公告)日:2020-06-16
申请号:CN202010183854.3
申请日:2020-03-16
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于分形残差的LDoS攻击实时检测方法,属于网络安全领域。其中所述方法包括:获取单位时长内检测网络的数据流量,基于滑动窗口的概念,对获取到的数据流量进行处理,获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值,使用拟合残差公式,计算Hurst滑动窗口的分形残差值,将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值,与事先训练出来的决策阈值进行比较,依据相关判定准则判定,是否存在因LDoS攻击而导致的网络流量的分形残差值异常,从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法,误报率和漏报率较低,检测准确度较高,实时性好。
-
Patent Agency Ranking
公开(公告)号:CN110719270A
公开(公告)日:2020-01-21
申请号:CN201910914381.7
申请日:2019-09-26
Applicant: 湖南大学
Abstract: 本发明公开了一种基于模糊C均值(FCM)算法的慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间片为检测单位,实时获取待测网络的数据报文,计算该时间片内数据报文的特征值,使用离差标准化操作避免某类数据权重过高;根据提取的该时间片内数据报文的特征值,基于事先使用FCM算法训练得到的聚类中心和聚类标签,使用隶属度计算方法对该时间片进行分类,依据聚类标签确定该时间片是否发生慢速拒绝服务攻击,从而确定相应的检测窗口内是否发生慢速拒绝服务攻击。本发明提出的基于FCM算法的检测方法能准确、高效地检测慢速拒绝服务攻击。
-
公开(公告)号:CN110661802A
公开(公告)日:2020-01-07
申请号:CN201910920902.X
申请日:2019-09-27
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于PCA-SVM算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:对网络中某一时间段内的数据流量信息进行实时采样,提取其中的TCP流量并划分时间片;采用主成分分析法(PCA)对原始样本矩阵进行特征选择,提取出对分类最有益的特征得到主成分样本矩阵;对于主成分样本矩阵中的每一个时间片,根据是否受到LDoS攻击时TCP流量表现出的不同特点,利用支持向量机(SVM)算法训练得到的决策函数作为分类模型进行特征映射;根据决策函数计算得到的不同标签值,将每个时间片分类到存在LDoS攻击的类别或者不存在LDoS攻击的类别中,从而实现对于LDoS攻击的检测。本发明提出的基于PCA-SVM算法的检测方法能准确、高效、快速、自适应地检测LDoS攻击。
-
公开(公告)号:CN114039781B
公开(公告)日:2023-02-03
申请号:CN202111324136.4
申请日:2021-11-10
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的TCP数据报文,得到TCP样本序列;然后,采用离散小波变换对TCP样本序列进行4层小波分解,得到平滑信号和细节信号,并根据平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号;最后,将重构信号输入到基于自编码器的异常检测模型中,根据异常检测模型的输出,对该单位时间内的TCP数据报文进行判定检测,若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能高效、快速、准确地检测LDoS攻击。
-
公开(公告)号:CN115664777A
公开(公告)日:2023-01-31
申请号:CN202211293208.8
申请日:2022-10-21
Applicant: 湖南大学重庆研究院
IPC: H04L9/40 , H04L45/655 , H04L45/74
Abstract: 本发明公开了基于两级阈值的慢速流表溢出攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:部署在SDN交换机上实时监测交换机流表的占用率,当流表占用率达到一级阈值时对流表进行采样并计算流表特征,然后启动攻击检测。若检测到慢速流表溢出攻击,进入攻击缓解模块的恶意流驱逐模式,对分类为恶意的流规则进行驱逐;当流表占用率达到二级阈值时,进入缓解模块的防止流表溢出模式,按比例驱逐流表中疑似恶意的流规则,腾出流表空间防止溢出。本方法能够实时监测交换机的流表状态,准确地检测慢速流表溢出攻击,具有较低的漏报率和误报率,且能够准确识别恶意流规则并进行驱逐,因此本方法能够有效检测和缓解SDN环境中的慢速流表溢出攻击。
-
公开(公告)号:CN112788063B
公开(公告)日:2022-03-01
申请号:CN202110130841.4
申请日:2021-01-29
Applicant: 湖南大学
Abstract: 本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征,增加检测准确率,减少运算量,本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入,对不同的网络状态进行聚类,从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.018 seconds)
