公开(公告)号：CN112804250A

公开(公告)日：2021-05-14

申请号：CN202110130808.1

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  陈静文 ,  冯叶 ,  王曦茵 ,  李欣萌

IPC: H04L29/06 ,  G06N20/20

Abstract: 本发明公开了基于集成学习和寻峰算法的LDoS攻击检测与缓解方案，属于计算机网络安全领域。其中所述方法包括：利用SDN控制器采集一段时间流经瓶颈链路的流量作为训练数据。使用滑动窗口将训练数据划分为多个检测窗口并标记。标记分为正常(无LDoS攻击)和异常(发生LDoS攻击)。计算检测窗口TCP流量的平均值，变异系数，平均绝对时间导数与波形累积长度作为特征。将标记和特征输入集成学习算法以训练分类器。使用分类器对实时采集的测试数据进行分类得到类标记。若为异常，则基于寻峰算法定位攻击者并丢弃攻击流。反之继续实时采样。本发明提出的LDoS攻击检测与缓解方案可以有效检测LDoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN114039780B

公开(公告)日：2022-08-16

申请号：CN202111323570.0

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  王曦茵 ,  高辰郡 ,  王小彩 ,  高新翔

IPC: H04L9/40 ,  H04L41/14 ,  H04L47/2441 ,  H04L47/27 ,  H04L47/10

Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方法，属于计算机网络安全领域。其中所述方法包括：利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量，若为异常，则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单，当攻击者的权重大于阈值时，丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方法可以有效检测低速DoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN112788062B

公开(公告)日：2022-03-01

申请号：CN202110130818.5

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  陈静文 ,  王曦茵 ,  代锐 ,  张斯琦 ,  郑思桥

IPC: H04L9/40

Abstract: 本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：以固定的采样间隔实时获取关键交换机中的聚合流量报文，按照固定的时间长度和步长划分为时间窗口后，计算时间窗口内流量数据的六维特征值；根据时间窗口内流量数据的特征值，基于事先训练得到的ET模型对该时间窗口进行分类，得到分类结果；若分类为发生了LDoS攻击的实时窗口数量，大于预先设定的阈值，则认为当前网络受到了LDoS攻击；使用EDR算法定位受攻击的交换机端口，利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。

公开(公告)号：CN111294362B

公开(公告)日：2021-07-27

申请号：CN202010183854.3

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  冯叶 ,  张斯琦 ,  陈静文 ,  王曦茵 ,  张冬朔 ,  严裕东 ,  施玮

IPC: H04L29/06

Abstract: 本发明公开了一种基于分形残差的LDoS攻击实时检测方法，属于网络安全领域。其中所述方法包括：获取单位时长内检测网络的数据流量，基于滑动窗口的概念，对获取到的数据流量进行处理，获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值，使用拟合残差公式，计算Hurst滑动窗口的分形残差值，将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值，与事先训练出来的决策阈值进行比较，依据相关判定准则判定，是否存在因LDoS攻击而导致的网络流量的分形残差值异常，从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法，误报率和漏报率较低，检测准确度较高，实时性好。

公开(公告)号：CN111444501A

公开(公告)日：2020-07-24

申请号：CN202010183134.7

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  施玮 ,  王曦茵 ,  陈静文 ,  张斯琦 ,  严裕东 ,  张冬朔 ,  冯叶

IPC: G06F21/55 ,  G06K9/62

Abstract: 本发明公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：实时获取单位时间片内待检测网络的混合流量数据，提取网络流量在梅尔频率上的倒谱系数，将其作为度量正常流量和LDoS攻击流量的初始特征；然后采用互信息特征选择算法对已提取的初始特征进行优化选择；最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型，通过该模型对正常流量和LDoS攻击流量进行准确区分，从而达到检测LDoS攻击的目的。本发明提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。

公开(公告)号：CN109729090A

公开(公告)日：2019-05-07

申请号：CN201910004190.7

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  郑凯 ,  冯叶 ,  唐柳 ,  张斯琦 ,  王曦茵

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法，属于计算机网络安全领域。其中所述方法包括：实时提取一个检测单元内的TCP流量和UDP流量的原始数据，对其进行数据清洗，并计算出网络中的总流量；利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析，有效地分离正常样本和异常样本；通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量，并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标；依据相关的判别准则，将决策值与预先设定的阈值相比较，以达到检测慢速拒绝服务攻击的目的。本发明提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。

公开(公告)号：CN112788062A

公开(公告)日：2021-05-11

申请号：CN202110130818.5

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  陈静文 ,  王曦茵 ,  代锐 ,  张斯琦 ,  郑思桥

IPC: H04L29/06

Abstract: 本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：以固定的采样间隔实时获取关键交换机中的聚合流量报文，按照固定的时间长度和步长划分为时间窗口后，计算时间窗口内流量数据的六维特征值；根据时间窗口内流量数据的特征值，基于事先训练得到的ET模型对该时间窗口进行分类，得到分类结果；若分类为发生了LDoS攻击的实时窗口数量，大于预先设定的阈值，则认为当前网络受到了LDoS攻击；使用EDR算法定位受攻击的交换机端口，利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。

公开(公告)号：CN112350994A

公开(公告)日：2021-02-09

申请号：CN202011054835.7

申请日：2020-09-28

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  代锐 ,  孟子煜 ,  郑芷青 ,  张诗涵

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于TC‑UTR算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间单位作为周期，采集路由器中的所有TCP和UDP数据包作为检测单元并计算其方差和香农熵作为特征值，所有检测单元的特征数据集。之后将数据集作为输入，使用两步聚类算法，首先对特征数据集进行预聚类，接着对预聚类得到的子簇进行正式聚类，进而实现二度聚类。之后我们为每一个簇计算其UTR值，并且将其与无慢速拒绝服务攻击下的阈值Ω进行比较，若UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。本发明提出的基于TC‑UTR算法的慢速拒绝服务攻击检测方法误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间和时间复杂度低，是一种有效检测慢速拒绝服务攻击的方法。

公开(公告)号：CN111600876A

公开(公告)日：2020-08-28

申请号：CN202010406379.1

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  詹思佳 ,  张斯琦 ,  刘宇 ,  王思苑 ,  解子朝

IPC: H04L29/06

Abstract: 本发明公开了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：对网络流量进行实时采样，并分类统计网络流量的数据包的数量；提取网络流量的时域和频域的多种特征来构造联合特征，并以此作为MFOPA算法的输入数据；利用MFOPA算法对联合特征进行特征融合，从而形成新的低维特征集，并通过离群概率分析来计算该新特征集的离群概率；制定相应的攻击判定标准，并根据离群概率是否超过阈值来确定网络流量中是否包含慢速拒绝服务攻击流量。所述方法能有效地检测慢速拒绝服务攻击，且具有较高的检测准确率、较低的误报率和漏报率、较强的自适应能力。

公开(公告)号：CN111294362A

公开(公告)日：2020-06-16

申请号：CN202010183854.3

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  冯叶 ,  张斯琦 ,  陈静文 ,  王曦茵 ,  张冬朔 ,  严裕东 ,  施玮

IPC: H04L29/06

Abstract: 本发明公开了一种基于分形残差的LDoS攻击实时检测方法，属于网络安全领域。其中所述方法包括：获取单位时长内检测网络的数据流量，基于滑动窗口的概念，对获取到的数据流量进行处理，获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值，使用拟合残差公式，计算Hurst滑动窗口的分形残差值，将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值，与事先训练出来的决策阈值进行比较，依据相关判定准则判定，是否存在因LDoS攻击而导致的网络流量的分形残差值异常，从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法，误报率和漏报率较低，检测准确度较高，实时性好。