公开(公告)号：CN112291193B

公开(公告)日：2022-11-11

申请号：CN202011015908.1

申请日：2020-09-24

Applicant: 湖南大学

Inventor： 汤澹 ,  郑芷青 ,  严裕东 ,  王曦茵 ,  王思苑 ,  张嘉怡

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种基于NCS‑SVM的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间窗口为检测单位，实时获取检测网络的TCP流量，对该时间窗口内TCP流量进行原始数据解析，采用逆向云生成器将时间窗口内的TCP流量映射到云空间中生成正态云模型，并使用其期望曲线刻画TCP流量的分布形态特征；根据事先利用无攻击的TCP流量生成的基准云模型作为计算相似度的基准，定量计算该时间窗口内TCP流量对应的云模型与基准云模型之间的相似度，并将相似度输入到预先训练的支持向量机分类器中，根据相关判定准则，是否存在因LDoS攻击导致的TCP流量分布形态异常，导致该时间窗口云模型和基准云模型相似度远小于1，来检测该时间窗口内是否受到LDoS攻击。本发明提出的基于TCP流量分布形态特征的检测方法能高效、快速地检测LDoS攻击。

公开(公告)号：CN112910889B

公开(公告)日：2022-05-13

申请号：CN202110129267.0

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  王曦茵 ,  张斯琦 ,  施玮 ,  陈静文 ,  王小彩

IPC: H04L9/40 ,  H04L67/10

Abstract: 本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方法，属于计算机网络安全领域。该方法调用SDN控制平面的API获取交换机的流量序列，使用FGD方法检测LDoS攻击，并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。本发明公开的方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性，并能够有效地过滤掉攻击流量，保证良性流量的传输。

公开(公告)号：CN112804250B

公开(公告)日：2022-05-13

申请号：CN202110130808.1

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  陈静文 ,  冯叶 ,  王曦茵 ,  李欣萌

IPC: H04L9/40 ,  G06N20/20

Abstract: 本发明公开了基于集成学习和寻峰算法的LDoS攻击检测与缓解方法，属于计算机网络安全领域。其中所述方法包括：利用SDN控制器采集一段时间流经瓶颈链路的流量作为训练数据。使用滑动窗口将训练数据划分为多个检测窗口并标记。标记分为正常（无LDoS攻击）和异常（发生LDoS攻击）。计算检测窗口TCP流量的平均值，变异系数，平均绝对时间导数与波形累积长度作为特征。将标记和特征输入集成学习算法以训练分类器。使用分类器对实时采集的测试数据进行分类得到类标记。若为异常，则基于寻峰算法定位攻击者并丢弃攻击流。反之继续实时采样。本发明提出的LDoS攻击检测与缓解方法可以有效检测LDoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN112788063A

公开(公告)日：2021-05-11

申请号：CN202110130841.4

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  张冬朔 ,  王曦茵 ,  郑芷青 ,  王思苑 ,  张诗涵

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法，属于网络安全领域。其中所述方法包括：本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量，滑动划分检测窗口，并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征，增加检测准确率，减少运算量，本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入，对不同的网络状态进行聚类，从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。

公开(公告)号：CN111444501B

公开(公告)日：2023-04-18

申请号：CN202010183134.7

申请日：2020-03-16

Applicant: 湖南大学

Inventor： 汤澹 ,  施玮 ,  王曦茵 ,  陈静文 ,  张斯琦 ,  严裕东 ,  张冬朔 ,  冯叶

IPC: G06F21/55 ,  G06F18/214

Abstract: 本发明公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：实时获取单位时间片内待检测网络的混合流量数据，提取网络流量在梅尔频率上的倒谱系数，将其作为度量正常流量和LDoS攻击流量的初始特征；然后采用互信息特征选择算法对已提取的初始特征进行优化选择；最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型，通过该模型对正常流量和LDoS攻击流量进行准确区分，从而达到检测LDoS攻击的目的。本发明提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。

公开(公告)号：CN109726553B

公开(公告)日：2023-02-03

申请号：CN201910004189.4

申请日：2019-01-03

Applicant: 湖南大学

Inventor： 汤澹 ,  郑凯 ,  罗能光 ,  唐柳 ,  吴小雪 ,  詹思佳 ,  王曦茵 ,  陈静文

IPC: G06F21/55

Abstract: 本发明公开了一种基于共享近邻密度聚类和离群因子(SNN‑LOF)算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：通过设定固定的采样时间间隔，在一段长度时间内获取到关键路由中的流量数据信息。对流量数据进行切分，形成若干个检测单元，统计每个检测单元中TCP流量、总流量的离散属性，形成检测数据样本。对检测样本构造共享近邻相似度矩阵，并以此作为密度度量进行密度聚类，形成划分后的簇集。引入已知数据样本，利用离群因子算法计算引入数据的离群因子，根据判定准则对簇集进行归类，判断是否存在慢速拒绝服务攻击。本发明提出的基于SNN‑LOF算法的检测方法能准确、快速、高效的检测慢速拒绝服务攻击。

公开(公告)号：CN114039780A

公开(公告)日：2022-02-11

申请号：CN202111323570.0

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  王曦茵 ,  高辰郡 ,  王小彩 ,  高新翔

IPC: H04L9/40 ,  H04L41/14 ,  H04L47/2441 ,  H04L47/27 ,  H04L47/10

Abstract: 本发明公开了基于流量系数的低速DoS攻击实时响应方案，属于计算机网络安全领域。其中所述方案包括：利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量，若为异常，则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单，当攻击者的权重大于阈值时，丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方案可以有效检测低速DoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN112910889A

公开(公告)日：2021-06-04

申请号：CN202110129267.0

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  王曦茵 ,  张斯琦 ,  施玮 ,  陈静文 ,  王小彩

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方案，属于计算机网络安全领域。该方案调用SDN控制平面的API获取交换机的流量序列，使用FGD方法检测LDoS攻击，并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。本发明公开的方案能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性，并能够有效地过滤掉攻击流量，保证良性流量的传输。

公开(公告)号：CN112804250A

公开(公告)日：2021-05-14

申请号：CN202110130808.1

申请日：2021-01-29

Applicant: 湖南大学

Inventor： 汤澹 ,  张斯琦 ,  陈静文 ,  冯叶 ,  王曦茵 ,  李欣萌

IPC: H04L29/06 ,  G06N20/20

Abstract: 本发明公开了基于集成学习和寻峰算法的LDoS攻击检测与缓解方案，属于计算机网络安全领域。其中所述方法包括：利用SDN控制器采集一段时间流经瓶颈链路的流量作为训练数据。使用滑动窗口将训练数据划分为多个检测窗口并标记。标记分为正常(无LDoS攻击)和异常(发生LDoS攻击)。计算检测窗口TCP流量的平均值，变异系数，平均绝对时间导数与波形累积长度作为特征。将标记和特征输入集成学习算法以训练分类器。使用分类器对实时采集的测试数据进行分类得到类标记。若为异常，则基于寻峰算法定位攻击者并丢弃攻击流。反之继续实时采样。本发明提出的LDoS攻击检测与缓解方案可以有效检测LDoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN111600877A

公开(公告)日：2020-08-28

申请号：CN202010406743.4

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 施玮 ,  唐柳 ,  汤澹 ,  满坚平 ,  王曦茵 ,  张冬朔 ,  郑芷青 ,  王思苑

IPC: H04L29/06

Abstract: 本发明公开了一种基于多流量特征和Adaboost(MF-Ada)算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法内容包括：在单位时间内，抓取网络关键路由节点中的所有相关数据报文，形成训练样本和测试样本；对训练样本和测试样本进行特征提取和特征选择，得到训练样本的最佳特征数据和测试样本的最佳特征数据；用训练样本的最佳特征数据训练Adaboost分类模型，使Adaboost分类模型学习并记忆LDoS攻击的特征，得到可用于LDoS攻击检测的模型；用训练后的Adaboost分类模型对测试样本的最佳特征数据进行检测。根据判定准则，判断该最佳特征数据对应的单位时间内是否发生LDoS攻击。本发明提出的基于MF-Ada算法的检测方法具有较低的误报率和漏报率以及自适应调整参数的优点，是一种检测性能较好的LDoS攻击检测方法。