-
公开(公告)号:CN114039780A
公开(公告)日:2022-02-11
申请号:CN202111323570.0
申请日:2021-11-10
Applicant: 湖南大学
IPC: H04L9/40 , H04L41/14 , H04L47/2441 , H04L47/27 , H04L47/10
Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方案,属于计算机网络安全领域。其中所述方案包括:利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量,若为异常,则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单,当攻击者的权重大于阈值时,丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方案可以有效检测低速DoS攻击并快速缓解攻击造成的影响。
-
公开(公告)号:CN114024762A
公开(公告)日:2022-02-08
申请号:CN202111329547.2
申请日:2021-11-11
Applicant: 湖南大学
Abstract: 本发明公开了一种基于S‑R分析和FASSA‑SVM的LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:基于软件定义网络所采用的OpenFlow协议,采集交换机间瓶颈链路的流量,以0.5秒为采样的时间间隔,获取TCP流量序列和UDP流量序列。使用奇异谱分析对TCP流量序列和UDP流量序列去噪,提取去噪后的流量序列特征,对所求流量序列特征进行秩和比分析,完成S‑R分析。基于训练特征集,使用基于萤火虫算法的麻雀搜索算法(FASSA)与支持向量机(SVM)相结合的算法,使用特征值进行训练,得到LDoS攻击检测模型FASSA‑SVM。对于待检测流量序列,将其秩和比特征输入检测模型FASSA‑SVM,最后根据输出的二分类结果,对是否存在LDoS攻击进行判定。本发明提出的基于S‑R分析和FASSA‑SVM的LDoS攻击检测准确率高,误报率、漏报率较低,且能实际部署在SDN控制器上,实现对SDN环境中LDoS攻击的准确检测。
-
公开(公告)号:CN112910889A
公开(公告)日:2021-06-04
申请号:CN202110129267.0
申请日:2021-01-29
Applicant: 湖南大学
Abstract: 本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方案,属于计算机网络安全领域。该方案调用SDN控制平面的API获取交换机的流量序列,使用FGD方法检测LDoS攻击,并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合,精确检测每一次攻击突发。FM方法分析端口流量序列,通过计算每个端口的可疑分数来定位受到攻击的端口,并在交换机上安装流规则,丢弃来自攻击者的攻击流量。本发明公开的方案能够实现细粒度的LDoS攻击检测,有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性,并能够有效地过滤掉攻击流量,保证良性流量的传输。
-
公开(公告)号:CN114039780B
公开(公告)日:2022-08-16
申请号:CN202111323570.0
申请日:2021-11-10
Applicant: 湖南大学
IPC: H04L9/40 , H04L41/14 , H04L47/2441 , H04L47/27 , H04L47/10
Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方法,属于计算机网络安全领域。其中所述方法包括:利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量,若为异常,则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单,当攻击者的权重大于阈值时,丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方法可以有效检测低速DoS攻击并快速缓解攻击造成的影响。
-
公开(公告)号:CN114070601A
公开(公告)日:2022-02-18
申请号:CN202111332817.5
申请日:2021-11-11
Applicant: 湖南大学
Abstract: 本发明公开了一种基于EMDR‑WE算法的LDoS攻击检测方法,属于计算机网络安全领域。其中所述的方法包括:鉴于LDoS攻击下TCP流量序列呈现出高复杂度的特点,组合近似熵、样本熵、模糊熵、排列熵四种特征熵量化攻击窗口和正常窗口的TCP流量序列复杂度。首先构造一种经验模态分解并重构TCP流量序列的预处理模型,通过该模型过滤TCP流量序列的噪声成分并得到TCP流量的滑动窗口序列,提取各窗口的四种特征熵。接着利用熵权法赋予信息贡献度大的特征熵更高的权重,得到各TCP流量窗口的复杂度的综合评分。与逻辑回归训练得出的阈值比较,综合评分高于阈值的窗口被判定为存在LDoS攻击。本发明提出的基于经验模态分解、重构和熵权法的LDoS攻击检测方法能准确地检测LDoS攻击且性能稳定。
-
Patent Agency Ranking
公开(公告)号:CN114050928A
公开(公告)日:2022-02-15
申请号:CN202111323738.8
申请日:2021-11-10
Applicant: 湖南大学
Abstract: 本发明公开了一种基于机器学习的SDN流表溢出攻击检测与缓解方法,属于网络安全领域。所述方法包括:基于OpenFlow协议,轮询OpenvSwitch流表项,形成原始数据;解析流表项的各字段,分为“特征”和“标识”两组,结合网络测量准则,计算流表项的五种特征及其属于“大象流”、“小鼠流”和“攻击流”的标签,作为原始数据集;采用监督学习训练流表项分类模型,并部署在OpenvSwitch中;OpenvSwitch中的实时攻击缓解系统监控流表占用率,若超过阈值,则判定发生流表溢出攻击,系统利用模型预测流表项的驱逐得分并排序,按顺序删除一定数量的流表项以释放流表空间。本发明中的流表溢出攻击检测与缓解方法检测率高,系统开销低,兼容SDN环境,能实现对流表溢出攻击的精准检测和实时缓解。
-
公开(公告)号:CN117978500A
公开(公告)日:2024-05-03
申请号:CN202410145141.6
申请日:2024-02-01
Applicant: 湖南大学
IPC: H04L9/40 , H04L61/4511
Abstract: 本发明公开了一种基于多查询的跳板式DNS泛洪攻击检测与缓解方法,所述方法包括:将待检测攻击转换成计数结构BeauCoup中的查询形式,当某条流抽取的彩票数超过阈值时,交换机发出警报将该可疑流的身份信息上报至控制器;同时交换机开启一段持续数秒的白名单收集期,将符合一定规则的正常DNS会话加入白名单列表;收集期结束后,如果一个可疑流中的报文不属于白名单列表,则需接受包诊断;对于DNS放大攻击,将包长度作为信号序列,使用z‑score算法筛选良性数据包,对于随机子域攻击和NXDomain攻击,分别针对子域和父域展开可读性检查。本发明可在高速流量转发场景下综合防御多种跳板式DNS泛洪攻击,减少良性流量的误杀,以增强对正常用户的保护。
-
公开(公告)号:CN115865401B
公开(公告)日:2024-04-19
申请号:CN202211277245.X
申请日:2022-10-19
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案,属于计算机网络安全领域。其中所述方案包括:基于滑动窗口采集数据,计算端口净值系数,判断测试数据的端口净值系数是否在阈值范围内,得到端口监控结果,若结果为正常则继续端口监控,若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类,得到流量监控结果,若结果为正常,则返回端口监控,若为异常,则计算每条UDP流的变异系数和自相关系数,将其与设定的阈值比较,若在阈值范围外则认定其为攻击流,加入黑名单。若出现重复放入黑名单的流,则下发流规则丢弃该流,并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。
-
公开(公告)号:CN115967524A
公开(公告)日:2023-04-14
申请号:CN202211307563.6
申请日:2022-10-25
Applicant: 湖南大学
IPC: H04L9/40
Abstract: 本发明属于计算机网络安全领域,公开了一种基于P4‑MSC的DRDoS攻击检测与缓解系统,包括反射特征提取模块、流量特征提取模块、攻击判定与缓解模块、P4近似除法工具模块。流量信息的捕获和特征提取的工作部署在数据平面,减轻了控制器的负担。反射端交换机利用“后窗协助前窗”的存储方式和P4近似除法工具模块收集计算一个窗口内的包负载最大反射倍数作为反射特征,受害端交换机统计一个窗口内流经该处的数据包的TCP总负载和UDP总负载作为流量特征。上述特征被上报至控制器后,若反射特征超过设定的阈值,并且最近一段时间的流量特征呈现UDP带宽大于TCP带宽的特点,控制器认定DRDoS攻击发生,下发一条带有攻击流身份信息的缓解表项,在网络瘫痪前实现有效的缓解。
-
公开(公告)号:CN114024762B
公开(公告)日:2022-08-16
申请号:CN202111329547.2
申请日:2021-11-11
Applicant: 湖南大学
Abstract: 本发明公开了一种基于S‑R分析和FASSA‑SVM的LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:采集软件定义网络(SDN)中交换机间瓶颈链路的流量,获取TCP流量序列和UDP流量序列。使用奇异谱分析对流量序列去噪,提取去噪后的流量序列特征,对所求流量序列特征进行秩和比分析,得到训练特征集,完成S‑R分析。基于训练特征集,使用基于萤火虫算法的麻雀搜索算法(FASSA)与支持向量机(SVM)相结合的算法进行训练,得到LDoS攻击检测模型FASSA‑SVM。对于待检测流量序列,将其秩和比特征输入检测模型FASSA‑SVM,最后根据二分类结果判定是否存在LDoS攻击。本发明公开的方法准确率高,误报率、漏报率较低,且能实际部署在SDN控制器上,实现对SDN环境中LDoS攻击的准确检测。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.016 seconds)
