-
公开(公告)号:CN111600878A
公开(公告)日:2020-08-28
申请号:CN202010406757.6
申请日:2020-05-14
Applicant: 湖南大学
Abstract: 本发明公开了一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括四个步骤,分别是样本采集、特征提取、异常检测模型构建和异常判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布,选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型,以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。本发明提出的低速率拒绝服务攻击检测方法能克服复杂网络环境中偶然因素所带来的检测性能下降等问题,具有较好的自适应性、较高的准确率以及较低的误报率和漏报率。
-
公开(公告)号:CN111600877A
公开(公告)日:2020-08-28
申请号:CN202010406743.4
申请日:2020-05-14
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于多流量特征和Adaboost(MF-Ada)算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法内容包括:在单位时间内,抓取网络关键路由节点中的所有相关数据报文,形成训练样本和测试样本;对训练样本和测试样本进行特征提取和特征选择,得到训练样本的最佳特征数据和测试样本的最佳特征数据;用训练样本的最佳特征数据训练Adaboost分类模型,使Adaboost分类模型学习并记忆LDoS攻击的特征,得到可用于LDoS攻击检测的模型;用训练后的Adaboost分类模型对测试样本的最佳特征数据进行检测。根据判定准则,判断该最佳特征数据对应的单位时间内是否发生LDoS攻击。本发明提出的基于MF-Ada算法的检测方法具有较低的误报率和漏报率以及自适应调整参数的优点,是一种检测性能较好的LDoS攻击检测方法。
-
公开(公告)号:CN109729091A
公开(公告)日:2019-05-07
申请号:CN201910004666.7
申请日:2019-01-03
Applicant: 湖南大学
Abstract: 本发明公开了一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:获取单位时间内网络关键路由节点中的相关数据报文,形成训练样本和测试样本;对训练样本和测试样本进行特征计算,并生成相应的特征图;用训练样本的特征图训练CNN模型,使CNN模型学习并记忆慢速拒绝服务攻击的特征,最终得到可用于慢速拒绝服务攻击检测的模型;用训练后的CNN模型对测试样本的特征图进行检测,根据判定准则,判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。本发明提出的基于多特征融合和CNN算法的检测方法能高精度、自适应地检测网络中的慢速拒绝服务攻击。
-
公开(公告)号:CN109120600A
公开(公告)日:2019-01-01
申请号:CN201810818118.3
申请日:2018-07-24
Applicant: 湖南大学
IPC: H04L29/06
Abstract: 本发明公开了一种基于流量频数分布特征的LDoS快速检测方法,属于网络安全领域。其中所述方法包括:获取单位时长内检测网络的有效TCP和其它数据流量,基于频数分析的方法,对获取到的数据流量进行处理,获得其频数分布特征向量。根据计算获得的频数分布特征向量,使用直方图距离公式,与事先训练出来该拓扑网络的正常数据流量频数分布特征进行定量分析,依据相关判定准则判定,是否存在因LDoS攻击而导致的有效TCP和其它数据流量频数分布异常,从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于流量频数分布特征的LDoS快速检测方法,误报率和漏报率较低,检测准确度较高,空间复杂度和时间复杂度低,运行时间短,检测速度快。
-
公开(公告)号:CN119094222A
公开(公告)日:2024-12-06
申请号:CN202411292065.8
申请日:2024-09-14
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明基于IP欺骗攻击的攻击者无法篡改数据包的网络路径这一事实,提出了一种基于加权网络路径量化算法的网络内IP欺骗攻击防御方法,该方法通过提出的加权网络路径量化算法对攻击数据包进行识别和过滤以达到防御IP欺骗攻击的目的,加权网络路径量化算法通过数据包网络路径的数学特征来反应路径的唯一性,并能够应对合法路由的变化,实现较高的攻击识别准确率和较低的吞吐量消耗。该方法可以完全部署在可编程数据平面,为企业或组织内部网络提供线速率的IP欺骗攻击防御。
-
Patent Agency Ranking
公开(公告)号:CN118118229A
公开(公告)日:2024-05-31
申请号:CN202410147920.X
申请日:2024-02-01
Applicant: 湖南大学
Abstract: 本发明针对DLDoS攻击单源平均速率低隐蔽性高且目前学术界缺乏对DLDoS攻击防御方法的研究的特点,提出了一个可在可编程数据平面在线捕获DLDoS攻击源的算法Top‑kBurster,并基于Top‑k Burster实现了一个DLDoS攻击在线捕获器——Shrew Killer,Shrew Killer首先按照网络流量特征对可能发生的DLDoS攻击进行预警,然后根据预警启动攻击流在线捕获器,根据Top‑k Burster算法对每流进行特征量化,并在线收集特征量化值最高的一定数量的源信息作为攻击源。Shrew Killer在较小的片上空间开销下可以实现较高的识别准确率。
-
公开(公告)号:CN115664754B
公开(公告)日:2024-04-26
申请号:CN202211276858.1
申请日:2022-10-18
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了一种基于无序程度的慢速流表溢出攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:该方法通过轮询交换机中的流表,收集流表信息,提取流表的shapelets特征、统计特征和无序程度特征,构建攻击检测模型,从而判断是否发生慢速流表溢出攻击;若发生了攻击,则提取流规则的六个特征,对正常和恶意流规则分类,并将恶意流规则加入待驱逐流规则列表,并保护数量少但传输数据量大的大流。最后,SDN交换机会删除所有恶意流规则,从而缓解慢速流表溢出攻击。该方法能够实际部署在SDN交换机中,实现对慢速流表溢出攻击的实时检测与缓解,检测准确率较高,且误报率和漏报率低,因此该方法可普适于检测与缓解SDN中的慢速流表溢出攻击。
-
公开(公告)号:CN115589326B
公开(公告)日:2024-04-19
申请号:CN202211308258.9
申请日:2022-10-25
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了FIN的LDoS攻击实时检测与缓解方法,属于网络安全领域。其中所述的方法为:收集可编程交换机中采集的流量特征数据,特征包括TCP流量分布熵与TCP数据包数;基于定长前缀匹配实现近似对数运算中结果的小数部分估计、基于广义二项式展开实现近似指数运算,并基于前二者实现除法运算,克服可编程交换机指令缺陷;将收集的特征数据训练LDoS攻击检测模型,基于最长前缀匹配的离差标准化、激活函数与VLIW架构的并行化向量内积操作实现可编程交换机中LDoS攻击检测模型部署;基于有限状态机定义部署于数据平面的LDoS攻击缓解程序,使用基于草图存储的周期性每流字节统计定位攻击流。本发明所述方法能完全部署于数据平面,对LDoS攻击的检测与缓解更加及时。
-
公开(公告)号:CN114070609B
公开(公告)日:2023-03-28
申请号:CN202111344163.8
申请日:2021-11-15
Applicant: 湖南大学
IPC: H04L9/40 , G06F17/16 , G06F18/2413
Abstract: 本发明公开了一种基于格拉姆角场的低速率拒绝服务攻击检测方法,属于计算机网络安全领域。本发明所述的方法包括:对于每一个单位时间窗口,实时获取软件定义网络交换机中的流表信息,提取TCP原始流量数据和UDP原始流量数据;并用格拉姆角场算法分别对采集到的TCP原始流量数据和UDP原始流量数据进行处理,获得TCP流量图片模型和UDP流量图片模型;进而提取两个模型共五个的颜色矩特征作为AHP算法的输入;在用AHP算法对其进行打分后,将分数输入到K临近值分类器,若K临近值分类器的输出标签值与存在攻击时设定的标签值相符,则判定该时间窗口内网络发生了低速率拒绝服务攻击。本发明提出的基于格拉姆角场的低速率拒绝服务攻击检测方法可在网络中部署进行实时监测,具有良好的普适性和准确性。
-
公开(公告)号:CN114039781B
公开(公告)日:2023-02-03
申请号:CN202111324136.4
申请日:2021-11-10
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的TCP数据报文,得到TCP样本序列;然后,采用离散小波变换对TCP样本序列进行4层小波分解,得到平滑信号和细节信号,并根据平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号;最后,将重构信号输入到基于自编码器的异常检测模型中,根据异常检测模型的输出,对该单位时间内的TCP数据报文进行判定检测,若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能高效、快速、准确地检测LDoS攻击。
-
-
-
-
-
-
-
-
-
Search Results
99
records
(took 0.019 seconds)
