公开(公告)号：CN115664777A

公开(公告)日：2023-01-31

申请号：CN202211293208.8

申请日：2022-10-21

Applicant: 湖南大学重庆研究院

Inventor： 汤澹 ,  张冬朔 ,  郑芷青 ,  秦拯 ,  刘泊儒 ,  海日娜

IPC: H04L9/40 ,  H04L45/655 ,  H04L45/74

Abstract: 本发明公开了基于两级阈值的慢速流表溢出攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：部署在SDN交换机上实时监测交换机流表的占用率，当流表占用率达到一级阈值时对流表进行采样并计算流表特征，然后启动攻击检测。若检测到慢速流表溢出攻击，进入攻击缓解模块的恶意流驱逐模式，对分类为恶意的流规则进行驱逐；当流表占用率达到二级阈值时，进入缓解模块的防止流表溢出模式，按比例驱逐流表中疑似恶意的流规则，腾出流表空间防止溢出。本方法能够实时监测交换机的流表状态，准确地检测慢速流表溢出攻击，具有较低的漏报率和误报率，且能够准确识别恶意流规则并进行驱逐，因此本方法能够有效检测和缓解SDN环境中的慢速流表溢出攻击。

公开(公告)号：CN114039780B

公开(公告)日：2022-08-16

申请号：CN202111323570.0

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  王曦茵 ,  高辰郡 ,  王小彩 ,  高新翔

IPC: H04L9/40 ,  H04L41/14 ,  H04L47/2441 ,  H04L47/27 ,  H04L47/10

Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方法，属于计算机网络安全领域。其中所述方法包括：利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量，若为异常，则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单，当攻击者的权重大于阈值时，丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方法可以有效检测低速DoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN112788063B

公开(公告)日：2022-03-01

申请号：CN202110130841.4

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  张冬朔 ,  王曦茵 ,  郑芷青 ,  王思苑 ,  张诗涵

IPC: H04L9/40 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法，属于网络安全领域。其中所述方法包括：本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量，滑动划分检测窗口，并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征，增加检测准确率，减少运算量，本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入，对不同的网络状态进行聚类，从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。

公开(公告)号：CN112788062B

公开(公告)日：2022-03-01

申请号：CN202110130818.5

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  陈静文 ,  王曦茵 ,  代锐 ,  张斯琦 ,  郑思桥

IPC: H04L9/40

Abstract: 本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：以固定的采样间隔实时获取关键交换机中的聚合流量报文，按照固定的时间长度和步长划分为时间窗口后，计算时间窗口内流量数据的六维特征值；根据时间窗口内流量数据的特征值，基于事先训练得到的ET模型对该时间窗口进行分类，得到分类结果；若分类为发生了LDoS攻击的实时窗口数量，大于预先设定的阈值，则认为当前网络受到了LDoS攻击；使用EDR算法定位受攻击的交换机端口，利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。

公开(公告)号：CN114070601A

公开(公告)日：2022-02-18

申请号：CN202111332817.5

申请日：2021-11-11

Applicant: 湖南大学

Inventor： 汤澹 ,  王小彩 ,  李欣萌 ,  刘泊儒 ,  姚苏庭 ,  郑思桥

IPC: H04L9/40 ,  G06K9/00 ,  G06K9/62

Abstract: 本发明公开了一种基于EMDR‑WE算法的LDoS攻击检测方法，属于计算机网络安全领域。其中所述的方法包括：鉴于LDoS攻击下TCP流量序列呈现出高复杂度的特点，组合近似熵、样本熵、模糊熵、排列熵四种特征熵量化攻击窗口和正常窗口的TCP流量序列复杂度。首先构造一种经验模态分解并重构TCP流量序列的预处理模型，通过该模型过滤TCP流量序列的噪声成分并得到TCP流量的滑动窗口序列，提取各窗口的四种特征熵。接着利用熵权法赋予信息贡献度大的特征熵更高的权重，得到各TCP流量窗口的复杂度的综合评分。与逻辑回归训练得出的阈值比较，综合评分高于阈值的窗口被判定为存在LDoS攻击。本发明提出的基于经验模态分解、重构和熵权法的LDoS攻击检测方法能准确地检测LDoS攻击且性能稳定。

公开(公告)号：CN114050928A

公开(公告)日：2022-02-15

申请号：CN202111323738.8

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  严裕东 ,  张冬朔 ,  王思苑 ,  王小彩 ,  李诗宇

IPC: H04L9/40 ,  G06K9/62 ,  G06N20/00

Abstract: 本发明公开了一种基于机器学习的SDN流表溢出攻击检测与缓解方法，属于网络安全领域。所述方法包括：基于OpenFlow协议，轮询OpenvSwitch流表项，形成原始数据；解析流表项的各字段，分为“特征”和“标识”两组，结合网络测量准则，计算流表项的五种特征及其属于“大象流”、“小鼠流”和“攻击流”的标签，作为原始数据集；采用监督学习训练流表项分类模型，并部署在OpenvSwitch中；OpenvSwitch中的实时攻击缓解系统监控流表占用率，若超过阈值，则判定发生流表溢出攻击，系统利用模型预测流表项的驱逐得分并排序，按顺序删除一定数量的流表项以释放流表空间。本发明中的流表溢出攻击检测与缓解方法检测率高，系统开销低，兼容SDN环境，能实现对流表溢出攻击的精准检测和实时缓解。

公开(公告)号：CN114021135A

公开(公告)日：2022-02-08

申请号：CN202111344820.9

申请日：2021-11-15

Applicant: 湖南大学

Inventor： 汤澹 ,  郑芷青 ,  王思苑 ,  高辰郡 ,  李欣萌 ,  马浩

IPC: G06F21/56

Abstract: 本发明公开了一种基于R‑SAX的LDoS攻击检测与防御方法，属于计算机网络安全领域。其中所述方法包括：利用软件定义网络控制器基于滑动窗口采集训练数据。使用R‑SAX算法完成训练数据中各窗口流量序列序列符号化，基于多数表决的思想使用哈希表构建异常SAX单词表作为检测模型。实时采集网络流量形成当前检测窗口，使用检测模型判定当前窗口是否受到攻击。若判定受到攻击且未进行攻击防御，利用R‑SAX算法定位疑似攻击者的IP加入黑名单，并累积一个可疑分数，若可疑分数超过阈值，判定该IP为攻击者IP，下发流规则丢弃来自攻击者的流量并将该IP从黑名单中移除。本发明提出的攻击检测与防御方法可以实时检测LDoS攻击并快速防御LDoS攻击。

公开(公告)号：CN112202791B

公开(公告)日：2021-07-27

申请号：CN202011068857.9

申请日：2020-09-28

Applicant: 湖南大学

Inventor： 汤澹 ,  严裕东 ,  王曦茵 ,  陈静文 ,  张冬朔 ,  解子朝 ,  王思苑

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于P‑F方法的软件定义网络(SDN)慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：实时获取SDN交换机中的流表信息，基于OpenFlow协议，对单位时间窗口内的流量条目及其数据进行采样统计；提取网络特征值，并依据网络协议种类，将所提取的特征值分为攻击效果P与攻击特征F两组；根据P与F两组特征值，利用梯度提升树‑逻辑回归(GBDT‑LR)与双滑片‑K峰值(DSS‑KB)算法分别构建基于P与F的检测模型；根据待测时间窗口内的网络数据，基于两种检测模型检测结论的综合分析，判定待检测时间窗口内是否同时出现网络形态异常和LDoS攻击流，从而检测该窗口内是否发生LDoS攻击。本发明提出的P‑F方法对于LDoS攻击检测率高，误报、漏报率低，自适应性强，且该方法能运行在SDN控制器上，针对SDN环境中的LDoS攻击，能够实现精准、实时的检测。

公开(公告)号：CN111294362B

公开(公告)日：2021-07-27

申请号：CN202010183854.3

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  冯叶 ,  张斯琦 ,  陈静文 ,  王曦茵 ,  张冬朔 ,  严裕东 ,  施玮

IPC: H04L29/06

Abstract: 本发明公开了一种基于分形残差的LDoS攻击实时检测方法，属于网络安全领域。其中所述方法包括：获取单位时长内检测网络的数据流量，基于滑动窗口的概念，对获取到的数据流量进行处理，获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值，使用拟合残差公式，计算Hurst滑动窗口的分形残差值，将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值，与事先训练出来的决策阈值进行比较，依据相关判定准则判定，是否存在因LDoS攻击而导致的网络流量的分形残差值异常，从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法，误报率和漏报率较低，检测准确度较高，实时性好。

公开(公告)号：CN112788058A

公开(公告)日：2021-05-11

申请号：CN202110121874.2

申请日：2021-01-28

Applicant: 湖南大学

Inventor： 汤澹 ,  王曦茵 ,  施玮 ,  王思苑 ,  郑芷青 ,  刘泊儒

IPC: H04L29/06

Abstract: 本发明公开了一种基于SDN控制器的LDoS攻击检测与缓解方案，属于计算机网络安全领域。该方案实现步骤为：固定采样时间和采样间隔，在采样时间内基于采样间隔周期性地调用SDN控制平面的API，获取交换机的端口流量和流表流量，并结合轻量级端口异常检测方法和LightGBM分类模型，根据获取的流量信息判断网络在采样时间内是否存在LDoS攻击。若攻击存在，该方案通过Smith‑Waterman算法定位受攻击端口，并下发流表规则丢弃攻击流量。本发明公开的方案可以实现高速率、低消耗、高精准度的LDoS攻击检测，并能够有效地过滤掉攻击流量，达到缓解攻击的目的。