基于DBO-SVM的SDN中LDoS攻击检测方法

    公开(公告)号:CN117938528A

    公开(公告)日:2024-04-26

    申请号:CN202410143545.1

    申请日:2024-02-01

    申请人: 湖南大学

    IPC分类号: H04L9/40 G06N3/006 G06N20/10

    摘要: 本发明公开了一种基于DBO‑SVM的SDN中LDoS攻击检测方法,属于计算机网络安全领域,其中所述方案包括:基于OpenFlow协议使用滑动窗口采集正常网络和受到LDoS攻击网络的TCP和UDP流量序列,并为其标上标签。计算窗口内TCP和UDP的流量特征,并计算特征和标签的互信息值,对互信息值排序,选择前k个互信息值最大的特征作为最优特征组合。通过更新蜣螂的位置以及计算适应度值,更新DBO‑SVM模型参数,直到达到最大迭代次数,使用迭代最终得到的参数训练LDoS攻击检测模型DBO‑SVM。本发明提出的攻击检测方法具有较高的全准率和较低的误报率和漏报率,且能实际部署在SDN控制器上,在SDN中检测LDoS攻击有着良好的效果。

    基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

    公开(公告)号:CN115664752B

    公开(公告)日:2024-04-19

    申请号:CN202211276177.5

    申请日:2022-10-19

    申请人: 湖南大学

    发明人: 汤澹 王思苑

    IPC分类号: H04L9/40

    摘要: 本发明针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患,公开了一种基于ARIMAGini‑DT的慢速流表溢出攻击检测与缓解方法,属于计算机网络安全领域。本发明所述的方法通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中,并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量,再利用不同级的DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则,在缩短识别分类时间的同时也提高了其识别的精度,达到保护交换机有限流表空间的目的。该方法能够在慢速流表溢出攻击还在发起阶段,交换机流表还未饱和时就能将其检测,同时采取缓解策略,持续性地对流表进行监控与保护。

    数据平面中基于机器学习的DLDoS攻击检测与缓解方法

    公开(公告)号:CN115589323B

    公开(公告)日:2024-04-02

    申请号:CN202211272336.4

    申请日:2022-10-18

    申请人: 湖南大学

    发明人: 汤澹 李欣萌

    IPC分类号: H04L9/40 G06N3/048 G06N3/08

    摘要: 本发明公开了一种数据平面中基于机器学习的DLDoS攻击检测与缓解方法,属于计算机网络安全领域。其中所述的方法包括:在数据平面使用P4语言编程数据包处理逻辑,获取软件定义网络中到达交换机的TCP与UDP流量数据并形成检测窗口;使用训练数据训练极限学习机构建DLDoS攻击检测模型,训练中使用鲸鱼优化算法确定参数;将检测模型部署于控制平面进行实时检测,判定网络中是否遭受了攻击;若判定网络遭受了攻击且未部署缓解策略,使用P4语言编程数据平面统计流量信息,以此为依据判定异常IP并上报控制器,控制器基于数据平面编写的数据包处理逻辑部署交换机规则进行攻击缓解。本发明提出的方法可以及时检测到DLDoS攻击并缓解,是一种有效的DLDoS攻击检测及缓解方法。

    一种基于APTS的慢速DoS攻击实时缓解方案

    公开(公告)号:CN115865401A

    公开(公告)日:2023-03-28

    申请号:CN202211277245.X

    申请日:2022-10-19

    申请人: 湖南大学

    IPC分类号: H04L9/40

    摘要: 本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案,属于计算机网络安全领域。其中所述方案包括:基于滑动窗口采集数据,计算端口净值系数,判断测试数据的端口净值系数是否在阈值范围内,得到端口监控结果,若结果为正常则继续端口监控,若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类,得到流量监控结果,若结果为正常,则返回端口监控,若为异常,则计算每条UDP流的变异系数和自相关系数,将其与设定的阈值比较,若在阈值范围外则认定其为攻击流,加入黑名单。若出现重复放入黑名单的流,则下发流规则丢弃该流,并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。

    一种基于机器学习的SDN流表溢出攻击检测与缓解方法

    公开(公告)号:CN114050928B

    公开(公告)日:2023-02-03

    申请号:CN202111323738.8

    申请日:2021-11-10

    申请人: 湖南大学

    IPC分类号: H04L9/40 G06N20/00

    摘要: 本发明公开了一种基于机器学习的SDN流表溢出攻击检测与缓解方法,属于网络安全领域。所述方法包括:基于OpenFlow协议,轮询OpenvSwitch流表项,形成原始数据;解析流表项的各字段,分为“特征”和“标识”两组,结合网络测量准则,计算流表项的五种特征及其属于“大象流”、“小鼠流”和“攻击流”的标签,作为原始数据集;采用监督学习训练流表项分类模型,并部署在OpenvSwitch中;OpenvSwitch中的实时攻击缓解系统监控流表占用率,若超过阈值,则判定发生流表溢出攻击,系统利用模型预测流表项的驱逐得分并排序,按顺序删除一定数量的流表项以释放流表空间。本发明中的流表溢出攻击检测与缓解方法检测率高,系统开销低,兼容SDN环境,能实现对流表溢出攻击的精准检测和实时缓解。

    一种基于径向基函数神经网络的LDoS攻击检测方法

    公开(公告)号:CN115664804A

    公开(公告)日:2023-01-31

    申请号:CN202211311057.4

    申请日:2022-10-25

    申请人: 湖南大学

    摘要: 本发明公开了一种基于径向基函数神经网络的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方案包括:网络流量数据采集,以一定的时间间隔通过SDN控制器采集瓶颈链路交换机上的TCP流量特征值和UDP流量特征值。径向基函数神经网络训练,以整个LDoS攻击过程的网络流量的特征数据作为样本数据,对径向基函数神经网络进行训练,求出输入层和隐含层之间的权值以及隐含层和输出层之间的权值。攻击判定检测,将采集的网络流量特征数据以及径向基函数神经网络的三个参数导入到检测函数中,得到最终的预测值,根据判定方法判断是否遭受到了LDoS攻击。该检测方法具有较高的准确度和较低的误报率,是一种有效的LDoS攻击检测方法。

    一种基于EMDR-WE算法的LDoS攻击检测方法

    公开(公告)号:CN114070601B

    公开(公告)日:2022-11-11

    申请号:CN202111332817.5

    申请日:2021-11-11

    申请人: 湖南大学

    IPC分类号: H04L9/40 G06K9/00 G06K9/62

    摘要: 本发明公开了一种基于EMDR‑WE算法的LDoS攻击检测方法,属于计算机网络安全领域。其中所述的方法包括:鉴于LDoS攻击下TCP流量序列呈现出高复杂度的特点,组合近似熵、样本熵、模糊熵、排列熵四种特征熵量化攻击窗口和正常窗口的TCP流量序列复杂度。首先构造一种经验模态分解并重构TCP流量序列的预处理模型,通过该模型过滤TCP流量序列的噪声成分并得到TCP流量的滑动窗口序列,提取各窗口的四种特征熵。接着利用熵权法赋予信息贡献度大的特征熵更高的权重,得到各TCP流量窗口的复杂度的综合评分。与逻辑回归训练得出的阈值比较,综合评分高于阈值的窗口被判定为存在LDoS攻击。本发明提出的基于经验模态分解、重构和熵权法的LDoS攻击检测方法能准确地检测LDoS攻击且性能稳定。

    一种基于NCS-SVM的LDoS攻击检测方法

    公开(公告)号:CN112291193B

    公开(公告)日:2022-11-11

    申请号:CN202011015908.1

    申请日:2020-09-24

    申请人: 湖南大学

    IPC分类号: H04L9/40 G06K9/62

    摘要: 本发明公开了一种基于NCS‑SVM的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间窗口为检测单位,实时获取检测网络的TCP流量,对该时间窗口内TCP流量进行原始数据解析,采用逆向云生成器将时间窗口内的TCP流量映射到云空间中生成正态云模型,并使用其期望曲线刻画TCP流量的分布形态特征;根据事先利用无攻击的TCP流量生成的基准云模型作为计算相似度的基准,定量计算该时间窗口内TCP流量对应的云模型与基准云模型之间的相似度,并将相似度输入到预先训练的支持向量机分类器中,根据相关判定准则,是否存在因LDoS攻击导致的TCP流量分布形态异常,导致该时间窗口云模型和基准云模型相似度远小于1,来检测该时间窗口内是否受到LDoS攻击。本发明提出的基于TCP流量分布形态特征的检测方法能高效、快速地检测LDoS攻击。

    SDN中基于FGD-FM的LDoS攻击检测与缓解方法

    公开(公告)号:CN112910889B

    公开(公告)日:2022-05-13

    申请号:CN202110129267.0

    申请日:2021-01-29

    申请人: 湖南大学

    IPC分类号: H04L9/40 H04L67/10

    摘要: 本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方法,属于计算机网络安全领域。该方法调用SDN控制平面的API获取交换机的流量序列,使用FGD方法检测LDoS攻击,并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合,精确检测每一次攻击突发。FM方法分析端口流量序列,通过计算每个端口的可疑分数来定位受到攻击的端口,并在交换机上安装流规则,丢弃来自攻击者的攻击流量。本发明公开的方法能够实现细粒度的LDoS攻击检测,有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性,并能够有效地过滤掉攻击流量,保证良性流量的传输。

    基于集成学习和寻峰算法的LDoS攻击检测与缓解方法

    公开(公告)号:CN112804250B

    公开(公告)日:2022-05-13

    申请号:CN202110130808.1

    申请日:2021-01-29

    申请人: 湖南大学

    IPC分类号: H04L9/40 G06N20/20

    摘要: 本发明公开了基于集成学习和寻峰算法的LDoS攻击检测与缓解方法,属于计算机网络安全领域。其中所述方法包括:利用SDN控制器采集一段时间流经瓶颈链路的流量作为训练数据。使用滑动窗口将训练数据划分为多个检测窗口并标记。标记分为正常(无LDoS攻击)和异常(发生LDoS攻击)。计算检测窗口TCP流量的平均值,变异系数,平均绝对时间导数与波形累积长度作为特征。将标记和特征输入集成学习算法以训练分类器。使用分类器对实时采集的测试数据进行分类得到类标记。若为异常,则基于寻峰算法定位攻击者并丢弃攻击流。反之继续实时采样。本发明提出的LDoS攻击检测与缓解方法可以有效检测LDoS攻击并快速缓解攻击造成的影响。