公开(公告)号：CN112437037A

公开(公告)日：2021-03-02

申请号：CN202010988472.8

申请日：2020-09-18

Applicant: 清华大学

Inventor： 王之梁 ,  杨家海 ,  程鑫 ,  张世泽 ,  李子木

IPC: H04L29/06

Abstract: 本申请公开了一种基于sketch的DDoS洪泛攻击检测方法及装置，其中，方法包括：在系统开始运行时，控制系统进入第一预设状态，并学习系统参数；当第一预设状态结束，控制系统进入第二预设状态，其中，在每一检测周期，生成相应的Sketch，以统计该检测周期的网络流量，Scur代表当前检测周期的Sketch，而Slast代表上一个处于第二预设状态下的Sketch，根据滑动操作和Hellinger距离计算Scur和Slast的差异度，同时生成动态阈值，以在差异度大于动态阈值时，则控制系统进入第三预设状态；当系统处于第三预设状态时，生成相应的异常Sketch。该方法可以在有限的空间消耗下快速有效地检测DDoS洪泛攻击，并且通过滑动操作以获取异常bucket，可以有效识别攻击者。

公开(公告)号：CN112270346A

公开(公告)日：2021-01-26

申请号：CN202011127566.2

申请日：2020-10-20

Applicant: 清华大学

Inventor： 杨家海 ,  樊琳娜 ,  张世泽 ,  王之梁 ,  段晨鑫

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于半监督学习的物联网设备识别方法及装置，该方法包括：获取待识别设备的流量信息，通过特征抽取得到所述待识别设备的原始特征；将所述原始特征输入卷积神经网络得到嵌入特征，将所述嵌入特征输入两个全连接层，根据所述两个全连接层的输出结果识别所述待识别设备类型。该方法解决了有监督机器学习方法需要大量标签的问题，设计了一种半监督学习的物联网设备识别方法，能够利用少量有标签数据在被动流量中达到较高的设备识别精度且能发现新的设备类型。