-
公开(公告)号:CN112788058B
公开(公告)日:2022-11-11
申请号:CN202110121874.2
申请日:2021-01-28
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了一种基于SDN控制器的LDoS攻击检测与缓解方案,属于计算机网络安全领域。该方案实现步骤为:固定采样时间和采样间隔,在采样时间内基于采样间隔周期性地调用SDN控制平面的API,获取交换机的端口流量和流表流量,并结合轻量级端口异常检测方法和LightGBM分类模型,根据获取的流量信息判断网络在采样时间内是否存在LDoS攻击。若攻击存在,该方案通过Smith‑Waterman算法定位受攻击端口,并下发流表规则丢弃攻击流量。本发明公开的方案可以实现高速率、低消耗、高精准度的LDoS攻击检测,并能够有效地过滤掉攻击流量,达到缓解攻击的目的。
-
公开(公告)号:CN112788062A
公开(公告)日:2021-05-11
申请号:CN202110130818.5
申请日:2021-01-29
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:以固定的采样间隔实时获取关键交换机中的聚合流量报文,按照固定的时间长度和步长划分为时间窗口后,计算时间窗口内流量数据的六维特征值;根据时间窗口内流量数据的特征值,基于事先训练得到的ET模型对该时间窗口进行分类,得到分类结果;若分类为发生了LDoS攻击的实时窗口数量,大于预先设定的阈值,则认为当前网络受到了LDoS攻击;使用EDR算法定位受攻击的交换机端口,利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。
-
公开(公告)号:CN112291193A
公开(公告)日:2021-01-29
申请号:CN202011015908.1
申请日:2020-09-24
Applicant: 湖南大学
Abstract: 本发明公开了一种基于NCS‑SVM的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间窗口为检测单位,实时获取检测网络的TCP流量,对该时间窗口内TCP流量进行原始数据解析,采用逆向云生成器将时间窗口内的TCP流量映射到云空间中生成正态云模型,并使用其期望曲线刻画TCP流量的分布形态特征;根据事先利用无攻击的TCP流量生成的基准云模型作为计算相似度的基准,定量计算该时间窗口内TCP流量对应的云模型与基准云模型之间的相似度,并将相似度输入到预先训练的支持向量机分类器中,根据相关判定准则,是否存在因LDoS攻击导致的TCP流量分布形态异常,导致该时间窗口云模型和基准云模型相似度远小于1,来检测该时间窗口内是否受到LDoS攻击。本发明提出的基于TCP流量分布形态特征的检测方法能高效、快速地检测LDoS攻击。
-
公开(公告)号:CN112202791A
公开(公告)日:2021-01-08
申请号:CN202011068857.9
申请日:2020-09-28
Applicant: 湖南大学
Abstract: 本发明公开了一种基于P‑F方法的软件定义网络(SDN)慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取SDN交换机中的流表信息,基于OpenFlow协议,对单位时间窗口内的流量条目及其数据进行采样统计;提取网络特征值,并依据网络协议种类,将所提取的特征值分为攻击效果P与攻击特征F两组;根据P与F两组特征值,利用梯度提升树‑逻辑回归(GBDT‑LR)与双滑片‑K峰值(DSS‑KB)算法分别构建基于P与F的检测模型;根据待测时间窗口内的网络数据,基于两种检测模型检测结论的综合分析,判定待检测时间窗口内是否同时出现网络形态异常和LDoS攻击流,从而检测该窗口内是否发生LDoS攻击。本发明提出的P‑F方法对于LDoS攻击检测率高,误报、漏报率低,自适应性强,且该方法能运行在SDN控制器上,针对SDN环境中的LDoS攻击,能够实现精准、实时的检测。
-
公开(公告)号:CN111294362A
公开(公告)日:2020-06-16
申请号:CN202010183854.3
申请日:2020-03-16
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于分形残差的LDoS攻击实时检测方法,属于网络安全领域。其中所述方法包括:获取单位时长内检测网络的数据流量,基于滑动窗口的概念,对获取到的数据流量进行处理,获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值,使用拟合残差公式,计算Hurst滑动窗口的分形残差值,将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值,与事先训练出来的决策阈值进行比较,依据相关判定准则判定,是否存在因LDoS攻击而导致的网络流量的分形残差值异常,从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法,误报率和漏报率较低,检测准确度较高,实时性好。
-
Patent Agency Ranking
公开(公告)号:CN110719270A
公开(公告)日:2020-01-21
申请号:CN201910914381.7
申请日:2019-09-26
Applicant: 湖南大学
Abstract: 本发明公开了一种基于模糊C均值(FCM)算法的慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间片为检测单位,实时获取待测网络的数据报文,计算该时间片内数据报文的特征值,使用离差标准化操作避免某类数据权重过高;根据提取的该时间片内数据报文的特征值,基于事先使用FCM算法训练得到的聚类中心和聚类标签,使用隶属度计算方法对该时间片进行分类,依据聚类标签确定该时间片是否发生慢速拒绝服务攻击,从而确定相应的检测窗口内是否发生慢速拒绝服务攻击。本发明提出的基于FCM算法的检测方法能准确、高效地检测慢速拒绝服务攻击。
-
公开(公告)号:CN110661802A
公开(公告)日:2020-01-07
申请号:CN201910920902.X
申请日:2019-09-27
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于PCA-SVM算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:对网络中某一时间段内的数据流量信息进行实时采样,提取其中的TCP流量并划分时间片;采用主成分分析法(PCA)对原始样本矩阵进行特征选择,提取出对分类最有益的特征得到主成分样本矩阵;对于主成分样本矩阵中的每一个时间片,根据是否受到LDoS攻击时TCP流量表现出的不同特点,利用支持向量机(SVM)算法训练得到的决策函数作为分类模型进行特征映射;根据决策函数计算得到的不同标签值,将每个时间片分类到存在LDoS攻击的类别或者不存在LDoS攻击的类别中,从而实现对于LDoS攻击的检测。本发明提出的基于PCA-SVM算法的检测方法能准确、高效、快速、自适应地检测LDoS攻击。
-
公开(公告)号:CN109726553A
公开(公告)日:2019-05-07
申请号:CN201910004189.4
申请日:2019-01-03
Applicant: 湖南大学
Abstract: 本发明公开了一种基于共享近邻密度聚类和离群因子(SNN-LOF)算法的慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:通过设定固定的采样时间间隔,在一段长度时间内获取到关键路由中的流量数据信息。对流量数据进行切分,形成若干个检测单元,统计每个检测单元中TCP流量、总流量的离散属性,形成检测数据样本。对检测样本构造共享近邻相似度矩阵,并以此作为密度度量进行密度聚类,形成划分后的簇集。引入已知数据样本,利用离群因子算法计算引入数据的离群因子,根据判定准则对簇集进行归类,判断是否存在慢速拒绝服务攻击。本发明提出的基于SNN-LOF算法的检测方法能准确、快速、高效的检测慢速拒绝服务攻击。
-
公开(公告)号:CN114039780B
公开(公告)日:2022-08-16
申请号:CN202111323570.0
申请日:2021-11-10
Applicant: 湖南大学
IPC: H04L9/40 , H04L41/14 , H04L47/2441 , H04L47/27 , H04L47/10
Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方法,属于计算机网络安全领域。其中所述方法包括:利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量,若为异常,则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单,当攻击者的权重大于阈值时,丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方法可以有效检测低速DoS攻击并快速缓解攻击造成的影响。
-
公开(公告)号:CN112788063B
公开(公告)日:2022-03-01
申请号:CN202110130841.4
申请日:2021-01-29
Applicant: 湖南大学
Abstract: 本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征,增加检测准确率,减少运算量,本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入,对不同的网络状态进行聚类,从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。
-
-
-
-
-
-
-
-
-
Search Results
29
records
(took 0.021 seconds)
