-
公开(公告)号:CN117997637A
公开(公告)日:2024-05-07
申请号:CN202410269209.1
申请日:2024-03-11
申请人: 湖南大学
IPC分类号: H04L9/40 , H04L41/16 , G06N3/0464
摘要: 本发明公开了基于深度时间序列嵌入分析的实时恶意流量检测系统,属于计算机网络安全领域。其中所述的深度时间序列嵌入分析为:以网络流数据为检测单位,首先使用深度学习模型GRU RNN对时间序列状的网络流数据进行建模,接着构建VAE将网络流数据嵌入为概率分布的表示,最后利用嵌入的概率分布与预设的先验分布之间的KL相似度来反映网络流数据是否离群,以检测对应的网络流是否为恶意的;本发明所述的实时恶意流量检测系统采用C++开发并利用Intel DPDK加速数据包的处理,能够在高速流量转发场景下实时地收集网络流数据并对其进行鲁棒性的检测;另外,本发明所述的实时恶意流量检测系统能够即插即用地部署于基于通用处理器的网络转发设备。
-
公开(公告)号:CN117978500A
公开(公告)日:2024-05-03
申请号:CN202410145141.6
申请日:2024-02-01
申请人: 湖南大学
IPC分类号: H04L9/40 , H04L61/4511
摘要: 本发明公开了一种基于多查询的跳板式DNS泛洪攻击检测与缓解方法,所述方法包括:将待检测攻击转换成计数结构BeauCoup中的查询形式,当某条流抽取的彩票数超过阈值时,交换机发出警报将该可疑流的身份信息上报至控制器;同时交换机开启一段持续数秒的白名单收集期,将符合一定规则的正常DNS会话加入白名单列表;收集期结束后,如果一个可疑流中的报文不属于白名单列表,则需接受包诊断;对于DNS放大攻击,将包长度作为信号序列,使用z‑score算法筛选良性数据包,对于随机子域攻击和NXDomain攻击,分别针对子域和父域展开可读性检查。本发明可在高速流量转发场景下综合防御多种跳板式DNS泛洪攻击,减少良性流量的误杀,以增强对正常用户的保护。
-
公开(公告)号:CN117938527A
公开(公告)日:2024-04-26
申请号:CN202410143047.7
申请日:2024-02-01
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明公开了一种数据平面中基于ANN和启发式规则的TCP协议滥用防御方法,属于计算机网络安全领域。其中所述的方法包括:对于乐观ACK,选择ACK序号步长作为特征,收集特征数据后,通过ANN将流检测为正常流和可疑流,再使用启发式的交换机规则对可疑流进行丢包处理。对于ECN滥用,选择交换机出口队列长度作为特征,收集特征数据后,通过ANN将流检测为正常情况下的流和拥塞情况下的流,最后使用基于数据平面编写的数据包处理逻辑对流进行修改报文的处理,使流符合ECN的规则。本发明提出的方法可以防御这两种类型的TCP协议滥用,是一种有效的TCP协议滥用防御方法。
-
公开(公告)号:CN117938526A
公开(公告)日:2024-04-26
申请号:CN202410141234.1
申请日:2024-02-01
申请人: 湖南大学
IPC分类号: H04L9/40 , H04L43/0894
摘要: 本发明公开了一种基于可编程数据平面的LDoS攻击检测与缓解方法,属于计算机网络安全领域,其中所述的方法包括:首先,根据LDoS攻击发起时的流量特点,选取UDP包传输速率、TCP字节传输速率和TCP波动系数三个特征进行提取。然后收集提取的特征制作数据集,输入机器学习训练模型构造分类树,并将分类树映射到匹配‑动作表中从而将其部署在可编程数据平面。接着将提取的特征输入分类树,将流量分为合法流量、基于UDP包的LDoS攻击流量和基于TCP包的攻击流量三类。最后,检测到LDoS攻击时,根据攻击类型选择对应的方法缓解。本发明提出的LDoS攻击检测与缓解方法具有较好的灵活性和可扩展性,同时兼具高精度与低延迟,是一种有效的LDoS攻击检测及缓解方法。
-
公开(公告)号:CN115865401B
公开(公告)日:2024-04-19
申请号:CN202211277245.X
申请日:2022-10-19
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案,属于计算机网络安全领域。其中所述方案包括:基于滑动窗口采集数据,计算端口净值系数,判断测试数据的端口净值系数是否在阈值范围内,得到端口监控结果,若结果为正常则继续端口监控,若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类,得到流量监控结果,若结果为正常,则返回端口监控,若为异常,则计算每条UDP流的变异系数和自相关系数,将其与设定的阈值比较,若在阈值范围外则认定其为攻击流,加入黑名单。若出现重复放入黑名单的流,则下发流规则丢弃该流,并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。
-
公开(公告)号:CN115580480B
公开(公告)日:2024-04-02
申请号:CN202211311205.2
申请日:2022-10-25
申请人: 湖南大学
摘要: 本发明公开了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法,属于计算机网络安全领域。其中所述的方法包括:基于滑动窗口对OpenVSwitch软件交换机采集,获取交换机流表项数,并使用卡尔曼滤波预测下一时刻的流表项数,根据阈值判定是否进行攻击检测;提取交换机流表整体特征,输入攻击检测模型进行攻击检测判定;提取交换机单条流表项特征,输入攻击缓解模型进行判定,若判定为攻击流表项则加入驱逐列表进行删除;若流表项数仍超过设定的正常值,计算每条流表项的重要性得分,基于阈值驱逐重要性得分低的流表项。本发明提出的FTO攻击检测缓解方法具有较高的准确率和较低的误报、漏报率,能够实际部署在SDN交换机上,是一种有效的FTO攻击检测缓解方法。
-
公开(公告)号:CN115967524A
公开(公告)日:2023-04-14
申请号:CN202211307563.6
申请日:2022-10-25
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明属于计算机网络安全领域,公开了一种基于P4‑MSC的DRDoS攻击检测与缓解系统,包括反射特征提取模块、流量特征提取模块、攻击判定与缓解模块、P4近似除法工具模块。流量信息的捕获和特征提取的工作部署在数据平面,减轻了控制器的负担。反射端交换机利用“后窗协助前窗”的存储方式和P4近似除法工具模块收集计算一个窗口内的包负载最大反射倍数作为反射特征,受害端交换机统计一个窗口内流经该处的数据包的TCP总负载和UDP总负载作为流量特征。上述特征被上报至控制器后,若反射特征超过设定的阈值,并且最近一段时间的流量特征呈现UDP带宽大于TCP带宽的特点,控制器认定DRDoS攻击发生,下发一条带有攻击流身份信息的缓解表项,在网络瘫痪前实现有效的缓解。
-
公开(公告)号:CN115664754A
公开(公告)日:2023-01-31
申请号:CN202211276858.1
申请日:2022-10-18
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明公开了一种基于无序程度的慢速流表溢出攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:该方法通过轮询交换机中的流表,收集流表信息,提取流表的shapelets特征、统计特征和无序程度特征,构建攻击检测模型,从而判断是否发生慢速流表溢出攻击;若发生了攻击,则提取流规则的六个特征,对正常和恶意流规则分类,并将恶意流规则加入待驱逐流规则列表,并保护数量少但传输数据量大的大流。最后,SDN交换机会删除所有恶意流规则,从而缓解慢速流表溢出攻击。该方法能够实际部署在SDN交换机中,实现对慢速流表溢出攻击的实时检测与缓解,检测准确率较高,且误报率和漏报率低,因此该方法可普适于检测与缓解SDN中的慢速流表溢出攻击。
-
公开(公告)号:CN115589326A
公开(公告)日:2023-01-10
申请号:CN202211308258.9
申请日:2022-10-25
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明公开了FIN的LDoS攻击实时检测与缓解方法,属于网络安全领域。其中所述的方法为:收集可编程交换机中采集的流量特征数据,特征包括TCP流量分布熵与TCP数据包数;基于定长前缀匹配实现近似对数运算中结果的小数部分估计、基于广义二项式展开实现近似指数运算,并基于前二者实现除法运算,克服可编程交换机指令缺陷;将收集的特征数据训练LDoS攻击检测模型,基于最长前缀匹配的离差标准化、激活函数与VLIW架构的并行化向量内积操作实现可编程交换机中LDoS攻击检测模型部署;基于有限状态机定义部署于数据平面的LDoS攻击缓解程序,使用基于草图存储的周期性每流字节统计定位攻击流。本发明所述方法能完全部署于数据平面,对LDoS攻击的检测与缓解更加及时。
-
公开(公告)号:CN112788058B
公开(公告)日:2022-11-11
申请号:CN202110121874.2
申请日:2021-01-28
申请人: 湖南大学
IPC分类号: H04L9/40
摘要: 本发明公开了一种基于SDN控制器的LDoS攻击检测与缓解方案,属于计算机网络安全领域。该方案实现步骤为:固定采样时间和采样间隔,在采样时间内基于采样间隔周期性地调用SDN控制平面的API,获取交换机的端口流量和流表流量,并结合轻量级端口异常检测方法和LightGBM分类模型,根据获取的流量信息判断网络在采样时间内是否存在LDoS攻击。若攻击存在,该方案通过Smith‑Waterman算法定位受攻击端口,并下发流表规则丢弃攻击流量。本发明公开的方案可以实现高速率、低消耗、高精准度的LDoS攻击检测,并能够有效地过滤掉攻击流量,达到缓解攻击的目的。
-
-
-
-
-
-
-
-
-
搜索结果
95 条记录 (耗时 0.026 秒)
