一种基于机器学习的SDN流表溢出攻击检测与缓解方法

    公开(公告)号:CN114050928B

    公开(公告)日:2023-02-03

    申请号:CN202111323738.8

    申请日:2021-11-10

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于机器学习的SDN流表溢出攻击检测与缓解方法,属于网络安全领域。所述方法包括:基于OpenFlow协议,轮询OpenvSwitch流表项,形成原始数据;解析流表项的各字段,分为“特征”和“标识”两组,结合网络测量准则,计算流表项的五种特征及其属于“大象流”、“小鼠流”和“攻击流”的标签,作为原始数据集;采用监督学习训练流表项分类模型,并部署在OpenvSwitch中;OpenvSwitch中的实时攻击缓解系统监控流表占用率,若超过阈值,则判定发生流表溢出攻击,系统利用模型预测流表项的驱逐得分并排序,按顺序删除一定数量的流表项以释放流表空间。本发明中的流表溢出攻击检测与缓解方法检测率高,系统开销低,兼容SDN环境,能实现对流表溢出攻击的精准检测和实时缓解。

    一种基于PSO-K算法的LDoS攻击检测方法

    公开(公告)号:CN112261000B

    公开(公告)日:2022-01-25

    申请号:CN202011022723.3

    申请日:2020-09-25

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于粒子群优化和K均值聚类(PSO‑K)算法的低速率拒绝服务(LDoS)攻击检测方法,属于计算机网络安全领域。本发明所述的方法包括:以一个时间窗口为检测单位,实时对数据流量进行采样;并在该时间窗口内为数据流量划分时间片,提取数据流量的数字特征;采用PSO‑K算法对数据流量的特征进行聚类分析,再将聚类结果进行处理;与预先计算获得的阈值进行比较,最后依据判定准则判定数据流量是否存在异常,从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于群体智能优化和无需监督思想的LDoS攻击检测方法具有良好的普适性以及准确性。

    基于RF-GMM的SDN中LDoS攻击检测方法

    公开(公告)号:CN112788063A

    公开(公告)日:2021-05-11

    申请号:CN202110130841.4

    申请日:2021-01-29

    Applicant: 湖南大学

    Abstract: 本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征,增加检测准确率,减少运算量,本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入,对不同的网络状态进行聚类,从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。

    一种基于LR算法的慢速拒绝服务攻击检测方法

    公开(公告)号:CN110719272A

    公开(公告)日:2020-01-21

    申请号:CN201910920763.0

    申请日:2019-09-27

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于LR算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间窗口为检测单位,实时获取检测网络的数据报文;基于LDoS攻击下的网络数据分布形态特征,以提取相关网络数据特征值的方式,对各个时间窗口内数据进行处理,并以提取的特征值作为LR算法的训练输入,完成检测模型构建;对于待检测网络,同样提取的该时间窗口内数据报文的分布形态特征,利用训练完成的LR模型进行攻击检测,并依据相关判定准则判定是否发生LDoS攻击。本发明提出的LR算法针对检测LDoS攻击的应用场景,能高效、快速、自适应地检测LDoS攻击。

    基于流条目数预测的自适应SFTO攻击检测与缓解方法

    公开(公告)号:CN116015847A

    公开(公告)日:2023-04-25

    申请号:CN202211668944.7

    申请日:2022-12-23

    Abstract: 本发明公开了基于流条目数预测的自适应SFTO攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:在SDN交换机实时监测并滑动收集流表流条目数,使用LRCN模型预测流条目数;若未来两秒的流条目预测值达到阈值,收集流表信息并计算八元流表统计特征,根据LightGBM分类模型输出的受攻击概率判断流表是否受到攻击;若检测到攻击,依据受攻击概率和未来一秒流条目数的预测值自适应计算驱逐比例,基于比例对经过LightGBM排序模型排序的流条目进行驱逐,腾出流表空间防止溢出。本方法能实时监测并预测SDN交换机的流条目数,准确检测SFTO攻击并执行主动防御策略,具有较低的漏报率和误报率,且能自适应驱逐攻击流条目防止流表溢出,因此本方法能够有效检测和缓解SFTO攻击。

    一种基于重构异常的慢速拒绝服务攻击检测方法

    公开(公告)号:CN114039781A

    公开(公告)日:2022-02-11

    申请号:CN202111324136.4

    申请日:2021-11-10

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的TCP数据报文,得到TCP样本序列;然后,采用离散小波变换对提取的TCP样本序列进行4层小波分解,得到平滑信号和细节信号,并根据分解后得到的平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号;最后,将重构信号作为输入数据,输入到基于自编码器的异常检测模型中,根据异常检测模型的输出,对该单位时间内的TCP数据报文进行判定检测,若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能在复杂网络环境中有较好的自适应性,并且误报率和漏报率低,对LDoS攻击的检测准确度较高。

    一种基于FSWT时频分布的LDoS攻击检测方法

    公开(公告)号:CN112788057A

    公开(公告)日:2021-05-11

    申请号:CN202110119625.X

    申请日:2021-01-28

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于FSWT时频分布的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括四个步骤,网络流量采集、统计特征提取和特征检测模型构建、LDoS攻击行为判定。首先在路由器上提取TCP流量形成原始网络流量;然后处理原始网络流量获得有效网络流量,使用FSWT时频变换技术获取有效网络流量的时频分布,并计算重要统计特征作为检测依据;通过训练数据的统计特征和标签,训练决策树分类模型作为特征检测模型;以上述训练好的特征检测模型的输出来判断是否发生LDoS攻击。本发明提出的LDoS攻击检测方法,对复杂网络环境中噪声等问题有很好的抗干扰性,该方法能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击的检测性能。

    一种基于AKN算法的慢速拒绝服务攻击检测方法

    公开(公告)号:CN111416819A

    公开(公告)日:2020-07-14

    申请号:CN202010190244.6

    申请日:2020-03-18

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法,属于网络安全领域。该检测方法为:以单位时间将采样TCP报文样本分成若干个检测窗口,根据慢速拒绝服务攻击对其离散程度和波动程度的影响,采用AKN算法对检测窗口特征向量进行聚类分析。根据事先训练出来的无攻击数据获得相应阈值,基于相关攻击判断准则分析聚类簇,判断是否发生慢速拒绝服务攻击。本发明公开的基于AKN算法的慢速拒绝服务攻击检测方法能够在复杂的网络中实现高速率、低消耗、精准度高的慢速拒绝服务攻击检测。

    一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法

    公开(公告)号:CN111444501B

    公开(公告)日:2023-04-18

    申请号:CN202010183134.7

    申请日:2020-03-16

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取单位时间片内待检测网络的混合流量数据,提取网络流量在梅尔频率上的倒谱系数,将其作为度量正常流量和LDoS攻击流量的初始特征;然后采用互信息特征选择算法对已提取的初始特征进行优化选择;最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型,通过该模型对正常流量和LDoS攻击流量进行准确区分,从而达到检测LDoS攻击的目的。本发明提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。

    一种基于频域特征融合的LDoS攻击检测方法

    公开(公告)号:CN112804248B

    公开(公告)日:2022-02-01

    申请号:CN202110120506.6

    申请日:2021-01-28

    Applicant: 湖南大学

    Abstract: 本发明公开了一种基于频域特征融合的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的网络数据报文,得到样本序列;然后,基于离散傅里叶变换和离散小波变换将样本序列从时间域变换到频率域,充分地提取样本序列的频域特征;接着,采用线性判别分析将提取的频域特征进行特征融合得到判定特征,从而能够显著提高特征的分类性能;最后,将判定特征输入到事先训练好的单类分类异常检测模型,并根据异常检测模型的输出,对该单位时间内的网络数据报文进行判定检测,若异常检测模型的输出为‑1,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于频域特征融合的检测方法能高效、快速、准确地检测LDoS攻击。

Patent Agency Ranking