公开(公告)号：CN109729090A

公开(公告)日：2019-05-07

申请号：CN201910004190.7

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  郑凯 ,  冯叶 ,  唐柳 ,  张斯琦 ,  王曦茵

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法，属于计算机网络安全领域。其中所述方法包括：实时提取一个检测单元内的TCP流量和UDP流量的原始数据，对其进行数据清洗，并计算出网络中的总流量；利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析，有效地分离正常样本和异常样本；通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量，并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标；依据相关的判别准则，将决策值与预先设定的阈值相比较，以达到检测慢速拒绝服务攻击的目的。本发明提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。

公开(公告)号：CN111600876B

公开(公告)日：2021-07-27

申请号：CN202010406379.1

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  詹思佳 ,  张斯琦 ,  刘宇 ,  王思苑 ,  解子朝

IPC: H04L29/06

Abstract: 本发明公开了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：对网络流量进行实时采样，并分类统计网络流量的数据包的数量；提取网络流量的时域和频域的多种特征来构造联合特征，并以此作为MFOPA算法的输入数据；利用MFOPA算法对联合特征进行特征融合，从而形成新的低维特征集，并通过离群概率分析来计算该新特征集的离群概率；制定相应的攻击判定标准，并根据离群概率是否超过阈值来确定网络流量中是否包含慢速拒绝服务攻击流量。所述方法能有效地检测慢速拒绝服务攻击，且具有较高的检测准确率、较低的误报率和漏报率、较强的自适应能力。

公开(公告)号：CN109729090B

公开(公告)日：2021-06-01

申请号：CN201910004190.7

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  郑凯 ,  冯叶 ,  唐柳 ,  张斯琦 ,  王曦茵

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法，属于计算机网络安全领域。其中所述方法包括：实时提取一个检测单元内的TCP流量和UDP流量的原始数据，对其进行数据清洗，并计算出网络中的总流量；利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析，有效地分离正常样本和异常样本；通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量，并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标；依据相关的判别准则，将决策值与预先设定的阈值相比较，以达到检测慢速拒绝服务攻击的目的。本发明提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。

公开(公告)号：CN110572413A

公开(公告)日：2019-12-13

申请号：CN201910920718.5

申请日：2019-09-27

Applicant: 湖南大学

Inventor： 汤澹 ,  陈藜文 ,  施玮 ,  严裕东 ,  张斯琦 ,  王曦茵 ,  满坚平

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于Elman神经网络的低速率拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：获取网络中经过关键路由器的数据报文形成样本原始值，以固定时间将样本原始值划分为多个检测窗口，以检测窗口为单位进行检测，对该检测窗口内数据报文进行原始数据分析，根据分析数据报文的波动特征和形态变化，提取方差、标准差、极差和平均值四个特征值；根据提取的特征值，添加两类标签区分发生LDoS攻击和未发生LDoS攻击两种类别，采用Elman神经网络，进行训练分类；输入待检测数据到训练好的Elman神经网络进行检测。依据神经网络输出结果与标签对比判定，判断该检测窗口内是否发生LDoS攻击。本发明提出的基于Elman神经网络的检测方法能高效、快速、自适应地检测LDoS攻击。

公开(公告)号：CN109150838A

公开(公告)日：2019-01-04

申请号：CN201810820673.X

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  施玮 ,  满坚平 ,  罗能光 ,  代锐 ,  冯叶 ,  唐柳 ,  陈炫宇 ,  郑凯

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种针对慢速拒绝服务攻击的综合检测方法，属于网络安全领域。其中所述方法包括：实时获取检测网络的TCP流量，对单位时间内的TCP流量进行采样处理，形成样本原始值，该方法采用两次检测的方式，首先通过分析该单位时间内样本原始值的波动形态的异常特征并计算波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析该单位时间内样本分析值的分布形态的异常特征并计算异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。本发明提出的两次检测综合的检测方法能高效、快速、自适应地检测慢速拒绝服务攻击。

公开(公告)号：CN111600877A

公开(公告)日：2020-08-28

申请号：CN202010406743.4

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 施玮 ,  唐柳 ,  汤澹 ,  满坚平 ,  王曦茵 ,  张冬朔 ,  郑芷青 ,  王思苑

IPC: H04L29/06

Abstract: 本发明公开了一种基于多流量特征和Adaboost(MF-Ada)算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法内容包括：在单位时间内，抓取网络关键路由节点中的所有相关数据报文，形成训练样本和测试样本；对训练样本和测试样本进行特征提取和特征选择，得到训练样本的最佳特征数据和测试样本的最佳特征数据；用训练样本的最佳特征数据训练Adaboost分类模型，使Adaboost分类模型学习并记忆LDoS攻击的特征，得到可用于LDoS攻击检测的模型；用训练后的Adaboost分类模型对测试样本的最佳特征数据进行检测。根据判定准则，判断该最佳特征数据对应的单位时间内是否发生LDoS攻击。本发明提出的基于MF-Ada算法的检测方法具有较低的误报率和漏报率以及自适应调整参数的优点，是一种检测性能较好的LDoS攻击检测方法。

公开(公告)号：CN109729091A

公开(公告)日：2019-05-07

申请号：CN201910004666.7

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  唐柳 ,  冯叶 ,  詹思佳 ,  施玮 ,  满坚平 ,  陈静文 ,  罗能光

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：获取单位时间内网络关键路由节点中的相关数据报文，形成训练样本和测试样本；对训练样本和测试样本进行特征计算，并生成相应的特征图；用训练样本的特征图训练CNN模型，使CNN模型学习并记忆慢速拒绝服务攻击的特征，最终得到可用于慢速拒绝服务攻击检测的模型；用训练后的CNN模型对测试样本的特征图进行检测，根据判定准则，判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。本发明提出的基于多特征融合和CNN算法的检测方法能高精度、自适应地检测网络中的慢速拒绝服务攻击。

公开(公告)号：CN109120600A

公开(公告)日：2019-01-01

申请号：CN201810818118.3

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  冯叶 ,  詹思佳 ,  郑凯 ,  施玮 ,  代锐 ,  陈静文 ,  吴小雪 ,  满坚平

IPC: H04L29/06

Abstract: 本发明公开了一种基于流量频数分布特征的LDoS快速检测方法，属于网络安全领域。其中所述方法包括：获取单位时长内检测网络的有效TCP和其它数据流量，基于频数分析的方法，对获取到的数据流量进行处理，获得其频数分布特征向量。根据计算获得的频数分布特征向量，使用直方图距离公式，与事先训练出来该拓扑网络的正常数据流量频数分布特征进行定量分析，依据相关判定准则判定，是否存在因LDoS攻击而导致的有效TCP和其它数据流量频数分布异常，从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于流量频数分布特征的LDoS快速检测方法，误报率和漏报率较低，检测准确度较高，空间复杂度和时间复杂度低，运行时间短，检测速度快。

公开(公告)号：CN111600876A

公开(公告)日：2020-08-28

申请号：CN202010406379.1

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  詹思佳 ,  张斯琦 ,  刘宇 ,  王思苑 ,  解子朝

IPC: H04L29/06

Abstract: 本发明公开了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：对网络流量进行实时采样，并分类统计网络流量的数据包的数量；提取网络流量的时域和频域的多种特征来构造联合特征，并以此作为MFOPA算法的输入数据；利用MFOPA算法对联合特征进行特征融合，从而形成新的低维特征集，并通过离群概率分析来计算该新特征集的离群概率；制定相应的攻击判定标准，并根据离群概率是否超过阈值来确定网络流量中是否包含慢速拒绝服务攻击流量。所述方法能有效地检测慢速拒绝服务攻击，且具有较高的检测准确率、较低的误报率和漏报率、较强的自适应能力。

公开(公告)号：CN110719270A

公开(公告)日：2020-01-21

申请号：CN201910914381.7

申请日：2019-09-26

Applicant: 湖南大学

Inventor： 汤澹 ,  陈静文 ,  施玮 ,  王曦茵 ,  张冬朔 ,  张斯琦 ,  满坚平

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于模糊C均值(FCM)算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间片为检测单位，实时获取待测网络的数据报文，计算该时间片内数据报文的特征值，使用离差标准化操作避免某类数据权重过高；根据提取的该时间片内数据报文的特征值，基于事先使用FCM算法训练得到的聚类中心和聚类标签，使用隶属度计算方法对该时间片进行分类，依据聚类标签确定该时间片是否发生慢速拒绝服务攻击，从而确定相应的检测窗口内是否发生慢速拒绝服务攻击。本发明提出的基于FCM算法的检测方法能准确、高效地检测慢速拒绝服务攻击。