公开(公告)号：CN115277103A

公开(公告)日：2022-11-01

申请号：CN202210764685.1

申请日：2022-06-29

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  张磊磊 ,  李恩晗

IPC: H04L9/40

Abstract: 本发明提出一种DDoS攻击检测方法、DDoS攻击流量过滤方法、装置，方法包括：将进入可编程交换机数据平面的数据包划分为多个观察窗口，分别计算每一个观察窗口内的源IP地址的地址熵与目的IP地址的地址熵；依据源IP地址的地址熵与目的IP地址的地址熵，判断当前观察窗口中是否含有DDoS攻击流量；若当前观察窗口中的DDoS攻击状态为DDoS攻击发生，则判别当前数据包是否属于DDoS攻击流量；若当前数据包的目的IP地址被判别为被攻击者，将指向被攻击者的数据包识别为攻击数据包并丢弃。该方法将DDoS攻击检测与防御的机制完整的实现在可编程交换机上，不依赖控制面和远程服务器，有效避免了数据面与控制平面交互过程带来的额外开销。

公开(公告)号：CN115102716A

公开(公告)日：2022-09-23

申请号：CN202210580579.8

申请日：2022-05-25

Applicant: 中国科学院计算技术研究所

Inventor： 李恩晗 ,  李振宇 ,  张磊磊 ,  武文浩 ,  王阳

IPC: H04L9/40 ,  H04L43/0888

Abstract: 本发明提出一种基于自适应采样阈值的网络大流检测方法，包括：可编程交换机根据预设的本地阈值，将在时间间隔中数据包计数大于本地阈值的数据流作为候选流，在当前时间间隔结束时将候选流及其对应的数据包计数以报告表的方式发往中心控制器；中心控制器根据所有可编程交换机的报告表，以各候选流对应的数据包计数之和，作为网络中所有流量的流量总值，根据流量总值和预设检测精度得到全局阈值，将数据包计数大于全局阈值的候选流作为网络大流，并根据网络流量的时间特性，更新可编程交换机本地阈值。本发明具有更加优秀的精确度，在可编程交换机上占用较小的内存，且通信数据包不会因为通信原因增加网络负担、加重网络拥塞对网络造成负面影响。