公开(公告)号：CN114039781A

公开(公告)日：2022-02-11

申请号：CN202111324136.4

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  高辰郡 ,  张冬朔 ,  代锐 ,  刘泊儒 ,  高新翔 ,  张诗涵

IPC: H04L9/40

Abstract: 本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：首先，获取路由器中的TCP数据报文，得到TCP样本序列；然后，采用离散小波变换对提取的TCP样本序列进行4层小波分解，得到平滑信号和细节信号，并根据分解后得到的平滑信号进行重构，得到表示TCP趋势变化和概貌信息的重构信号；最后，将重构信号作为输入数据，输入到基于自编码器的异常检测模型中，根据异常检测模型的输出，对该单位时间内的TCP数据报文进行判定检测，若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值，则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能在复杂网络环境中有较好的自适应性，并且误报率和漏报率低，对LDoS攻击的检测准确度较高。

公开(公告)号：CN109729090B

公开(公告)日：2021-06-01

申请号：CN201910004190.7

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  郑凯 ,  冯叶 ,  唐柳 ,  张斯琦 ,  王曦茵

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法，属于计算机网络安全领域。其中所述方法包括：实时提取一个检测单元内的TCP流量和UDP流量的原始数据，对其进行数据清洗，并计算出网络中的总流量；利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析，有效地分离正常样本和异常样本；通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量，并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标；依据相关的判别准则，将决策值与预先设定的阈值相比较，以达到检测慢速拒绝服务攻击的目的。本发明提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。

公开(公告)号：CN112788057A

公开(公告)日：2021-05-11

申请号：CN202110119625.X

申请日：2021-01-28

Applicant: 湖南大学

Inventor： 汤澹 ,  严裕东 ,  冯叶 ,  郑芷青 ,  张冬朔 ,  徐柳深

IPC: H04L29/06

Abstract: 本发明公开了一种基于FSWT时频分布的LDoS攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，网络流量采集、统计特征提取和特征检测模型构建、LDoS攻击行为判定。首先在路由器上提取TCP流量形成原始网络流量；然后处理原始网络流量获得有效网络流量，使用FSWT时频变换技术获取有效网络流量的时频分布，并计算重要统计特征作为检测依据；通过训练数据的统计特征和标签，训练决策树分类模型作为特征检测模型；以上述训练好的特征检测模型的输出来判断是否发生LDoS攻击。本发明提出的LDoS攻击检测方法，对复杂网络环境中噪声等问题有很好的抗干扰性，该方法能够准确提取网络流量在时频域中的特征信息，提高特征的准确性，增强LDoS攻击的检测性能。

公开(公告)号：CN111416819A

公开(公告)日：2020-07-14

申请号：CN202010190244.6

申请日：2020-03-18

Applicant: 湖南大学

Inventor： 汤澹 ,  王曦茵 ,  冯叶 ,  张冬朔 ,  陈静文 ,  刘宇 ,  詹思佳

IPC: H04L29/06 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法，属于网络安全领域。该检测方法为：以单位时间将采样TCP报文样本分成若干个检测窗口，根据慢速拒绝服务攻击对其离散程度和波动程度的影响，采用AKN算法对检测窗口特征向量进行聚类分析。根据事先训练出来的无攻击数据获得相应阈值，基于相关攻击判断准则分析聚类簇，判断是否发生慢速拒绝服务攻击。本发明公开的基于AKN算法的慢速拒绝服务攻击检测方法能够在复杂的网络中实现高速率、低消耗、精准度高的慢速拒绝服务攻击检测。

公开(公告)号：CN110650145A

公开(公告)日：2020-01-03

申请号：CN201910920919.5

申请日：2019-09-26

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  代锐 ,  吴佳宸 ,  严裕东 ,  陈静文 ,  唐柳

IPC: H04L29/06

Abstract: 本发明公开了一种基于自适应密度聚类(SA-DBSCAN)算法的低速率拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：对采样数据按固定时间划分为多个待测数据单元，计算每个数据单元的方差和平均差作为特征值；基于SA-DBSCAN算法对待测数据自适应地进行密度聚类，得到聚类结果，包含0、1、2三种标签，其中0表示噪声单元，1表示正常数据单元，2表示发生低速率拒绝服务攻击的数据单元；最后对密度聚类得到的噪声单元进一步分析，判定该噪声单元是否为发生低速率拒绝服务攻击的数据单元。本发明提出的基于SA-DBSCAN算法的检测方法可以有效地检测出低速率拒绝服务攻击，同时具有处理大数据的能力。

公开(公告)号：CN110572413A

公开(公告)日：2019-12-13

申请号：CN201910920718.5

申请日：2019-09-27

Applicant: 湖南大学

Inventor： 汤澹 ,  陈藜文 ,  施玮 ,  严裕东 ,  张斯琦 ,  王曦茵 ,  满坚平

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于Elman神经网络的低速率拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：获取网络中经过关键路由器的数据报文形成样本原始值，以固定时间将样本原始值划分为多个检测窗口，以检测窗口为单位进行检测，对该检测窗口内数据报文进行原始数据分析，根据分析数据报文的波动特征和形态变化，提取方差、标准差、极差和平均值四个特征值；根据提取的特征值，添加两类标签区分发生LDoS攻击和未发生LDoS攻击两种类别，采用Elman神经网络，进行训练分类；输入待检测数据到训练好的Elman神经网络进行检测。依据神经网络输出结果与标签对比判定，判断该检测窗口内是否发生LDoS攻击。本发明提出的基于Elman神经网络的检测方法能高效、快速、自适应地检测LDoS攻击。

公开(公告)号：CN109150838A

公开(公告)日：2019-01-04

申请号：CN201810820673.X

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  施玮 ,  满坚平 ,  罗能光 ,  代锐 ,  冯叶 ,  唐柳 ,  陈炫宇 ,  郑凯

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416

Abstract: 本发明公开了一种针对慢速拒绝服务攻击的综合检测方法，属于网络安全领域。其中所述方法包括：实时获取检测网络的TCP流量，对单位时间内的TCP流量进行采样处理，形成样本原始值，该方法采用两次检测的方式，首先通过分析该单位时间内样本原始值的波动形态的异常特征并计算波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析该单位时间内样本分析值的分布形态的异常特征并计算异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。本发明提出的两次检测综合的检测方法能高效、快速、自适应地检测慢速拒绝服务攻击。

公开(公告)号：CN116707888A

公开(公告)日：2023-09-05

申请号：CN202310636029.8

申请日：2023-05-31

Applicant: 湖南大学

Inventor： 汤澹 ,  李欣萌 ,  郑芷青 ,  杨秋伟 ,  左晨光 ,  张文惠

IPC: H04L9/40 ,  G06F18/2113 ,  G06F18/213 ,  G06F18/27 ,  G06N20/00

Abstract: 本发明公开了一种基于CRITIC方法和机器学习的SFTO攻击检测缓解方法，属于计算机网络安全领域。其中所述的方法包括：基于滑动窗口对OpenVSwitch软件交换机采集，获取交换机流表项信息，提取四元检测特征，使用CRITIC方法计算各特征权重，对检测特征进行加权计算检测分数，并结合阈值进行攻击检测判定；提取并计算单条流表项缓解特征，输入攻击缓解模型进行判定，若判定为攻击流表项则加入驱逐列表进行删除；计算驱逐列表中各流表项匹配的源IP频率，安装流表项丢弃所有来自频率超过阈值的IP的数据包以切断攻击源。本发明提出的SFTO攻击检测缓解方法具有较高的准确率和较低的误报、漏报率，能够实际部署在SDN交换机上，是一种有效的SFTO攻击检测缓解方法。

公开(公告)号：CN116488935A

公开(公告)日：2023-07-25

申请号：CN202310617903.3

申请日：2023-05-29

Applicant: 湖南大学重庆研究院

Inventor： 汤澹 ,  王思苑 ,  林汉臣 ,  梁伟 ,  肖晟 ,  陈可可

IPC: H04L9/40 ,  H04L49/90

Abstract: 本发明针对SDN中数据层交换机面临的慢速DDoS攻击安全隐患，公开了一种基于MWD‑CFM的SDN慢速DDoS攻击检测与缓解框架，通过部署在控制层对交换机进行周期性的监控，在多窗口联合检测模块的配合下，通过多个窗口分别提取特征共同进行检测来判断攻击是否发生，Fisher Score算法减小了特征本身的维度差异造成的影响，多窗口机制增强了特征的可用性以及有效性，校正特征缓解模块首先对流规则的特征进行了校正，增强了特征的识别度，然后使用多层感知机对每一条流规则进行识别分类，删除属于恶意类型的攻击流规则。该方法能够在慢速DDoS攻击还在早期阶段就将其检测，并清理恶意攻击流，保证交换机的流表有足够的空间为合法的正常流提供及时的流规则安装与处理。

公开(公告)号：CN111444501B

公开(公告)日：2023-04-18

申请号：CN202010183134.7

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  施玮 ,  王曦茵 ,  陈静文 ,  张斯琦 ,  严裕东 ,  张冬朔 ,  冯叶

IPC: G06F21/55 ,  G06F18/214

Abstract: 本发明公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：实时获取单位时间片内待检测网络的混合流量数据，提取网络流量在梅尔频率上的倒谱系数，将其作为度量正常流量和LDoS攻击流量的初始特征；然后采用互信息特征选择算法对已提取的初始特征进行优化选择；最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型，通过该模型对正常流量和LDoS攻击流量进行准确区分，从而达到检测LDoS攻击的目的。本发明提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。