公开(公告)号：CN109067722A

公开(公告)日：2018-12-21

申请号：CN201810820413.2

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  代锐 ,  唐柳 ,  吴小雪 ,  冯叶 ,  施玮 ,  詹思佳 ,  薛芸菲 ,  罗能光

IPC: H04L29/06 ,  G06K9/62

CPC classification number: H04L63/1458 ,  G06K9/6223 ,  H04L63/1416 ,  H04L63/1425

Abstract: 本发明公开了一种基于两步聚类和检测片分析联合算法的LDoS检测方法，属于网络安全领域。其中所述的方法包括：获取服务器(或关键路由器)上的TCP流量，并按固定时长对其进行采样。使用两步聚类方法分析和挖掘TCP流量的离散特征，将离散特征异常的TCP流量划分到可疑簇中。接着将可疑簇中的TCP流量按检测片划分并分析，通过定量度量检测片中TCP流量的波动幅度特征，提出了相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。本发明提出的基于两步聚类和检测片分析联合算法的LDoS检测方法能高效、准确地检测LDoS攻击。

公开(公告)号：CN115865401A

公开(公告)日：2023-03-28

申请号：CN202211277245.X

申请日：2022-10-19

Applicant: 湖南大学

Inventor： 汤澹 ,  代锐 ,  陈静文 ,  杨秋伟 ,  王小彩 ,  陈禹澎

IPC: H04L9/40

Abstract: 本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案，属于计算机网络安全领域。其中所述方案包括：基于滑动窗口采集数据，计算端口净值系数，判断测试数据的端口净值系数是否在阈值范围内，得到端口监控结果，若结果为正常则继续端口监控，若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类，得到流量监控结果，若结果为正常，则返回端口监控，若为异常，则计算每条UDP流的变异系数和自相关系数，将其与设定的阈值比较，若在阈值范围外则认定其为攻击流，加入黑名单。若出现重复放入黑名单的流，则下发流规则丢弃该流，并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。

公开(公告)号：CN111600876B

公开(公告)日：2021-07-27

申请号：CN202010406379.1

申请日：2020-05-14

Applicant: 湖南大学

Inventor： 汤澹 ,  满坚平 ,  代锐 ,  詹思佳 ,  张斯琦 ,  刘宇 ,  王思苑 ,  解子朝

IPC: H04L29/06

Abstract: 本发明公开了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：对网络流量进行实时采样，并分类统计网络流量的数据包的数量；提取网络流量的时域和频域的多种特征来构造联合特征，并以此作为MFOPA算法的输入数据；利用MFOPA算法对联合特征进行特征融合，从而形成新的低维特征集，并通过离群概率分析来计算该新特征集的离群概率；制定相应的攻击判定标准，并根据离群概率是否超过阈值来确定网络流量中是否包含慢速拒绝服务攻击流量。所述方法能有效地检测慢速拒绝服务攻击，且具有较高的检测准确率、较低的误报率和漏报率、较强的自适应能力。

公开(公告)号：CN109067722B

公开(公告)日：2020-10-27

申请号：CN201810820413.2

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  代锐 ,  唐柳 ,  吴小雪 ,  冯叶 ,  施玮 ,  詹思佳 ,  薛芸菲 ,  罗能光

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于两步聚类和检测片分析联合算法的LDoS检测方法，属于网络安全领域。其中所述的方法包括：获取服务器(或关键路由器)上的TCP流量，并按固定时长对其进行采样。使用两步聚类方法分析和挖掘TCP流量的离散特征，将离散特征异常的TCP流量划分到可疑簇中。接着将可疑簇中的TCP流量按检测片划分并分析，通过定量度量检测片中TCP流量的波动幅度特征，提出了相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。本发明提出的基于两步聚类和检测片分析联合算法的LDoS检测方法能高效、准确地检测LDoS攻击。

公开(公告)号：CN115664765A

公开(公告)日：2023-01-31

申请号：CN202211284363.3

申请日：2022-10-20

Applicant: 湖南大学重庆研究院

Inventor： 汤澹 ,  代锐 ,  严裕东 ,  杨秋伟 ,  高辰郡 ,  陈湘

IPC: H04L9/40 ,  H04L45/655 ,  H04L45/74

Abstract: 本发明公开了一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法，属于网络安全领域。所述方法包括：基于OpenvSwitch交换机，轮询SDN交换机流表并提取流表项，形成原始数据；提取流表项的特征六元组和标识，结合源IP地址等信息，为流表项标记相关性标签和查询ID；采用集成学习XGBoost方法，基于Pairwise建立流表项排序学习模型，并部署在SDN交换机上；交换机上的攻击缓解系统实时监控是否发生了由DDoS攻击导致的流表溢出；若发生攻击，排序学习模型预测每条流表项的排序分数，并按排序分数降序重排流表、设定攻击检测阈值，最后自上而下遍历流表项，决定哪些流表项应被删除。本发明对数据平面低速率DDoS攻击检测率高，误报、漏报率低，自适应性强，缓解迅速、有效。

公开(公告)号：CN112804248B

公开(公告)日：2022-02-01

申请号：CN202110120506.6

申请日：2021-01-28

Applicant: 湖南大学

Inventor： 汤澹 ,  张冬朔 ,  代锐 ,  王思苑 ,  严裕东 ,  张嘉怡

IPC: H04L9/40 ,  G06F17/14

Abstract: 本发明公开了一种基于频域特征融合的LDoS攻击检测方法，属于计算机网络安全领域。其中所述方法包括：首先，获取路由器中的网络数据报文，得到样本序列；然后，基于离散傅里叶变换和离散小波变换将样本序列从时间域变换到频率域，充分地提取样本序列的频域特征；接着，采用线性判别分析将提取的频域特征进行特征融合得到判定特征，从而能够显著提高特征的分类性能；最后，将判定特征输入到事先训练好的单类分类异常检测模型，并根据异常检测模型的输出，对该单位时间内的网络数据报文进行判定检测，若异常检测模型的输出为‑1，则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于频域特征融合的检测方法能高效、快速、准确地检测LDoS攻击。

公开(公告)号：CN109120600A

公开(公告)日：2019-01-01

申请号：CN201810818118.3

申请日：2018-07-24

Applicant: 湖南大学

Inventor： 汤澹 ,  冯叶 ,  詹思佳 ,  郑凯 ,  施玮 ,  代锐 ,  陈静文 ,  吴小雪 ,  满坚平

IPC: H04L29/06

Abstract: 本发明公开了一种基于流量频数分布特征的LDoS快速检测方法，属于网络安全领域。其中所述方法包括：获取单位时长内检测网络的有效TCP和其它数据流量，基于频数分析的方法，对获取到的数据流量进行处理，获得其频数分布特征向量。根据计算获得的频数分布特征向量，使用直方图距离公式，与事先训练出来该拓扑网络的正常数据流量频数分布特征进行定量分析，依据相关判定准则判定，是否存在因LDoS攻击而导致的有效TCP和其它数据流量频数分布异常，从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于流量频数分布特征的LDoS快速检测方法，误报率和漏报率较低，检测准确度较高，空间复杂度和时间复杂度低，运行时间短，检测速度快。

公开(公告)号：CN117938529A

公开(公告)日：2024-04-26

申请号：CN202410143958.X

申请日：2024-02-01

Applicant: 湖南大学

Inventor： 代锐 ,  汤澹 ,  秦拯 ,  谭佩 ,  梁伟 ,  徐慧

IPC: H04L9/40

Abstract: 本发明公开了一种基于队列诊断的拥塞相关攻击的防御方案，属于计算机网络安全领域。其中所述方案包括：首先，控制平面预配置设置队列诊断中要用到的阈值。然后，基于队列诊断的网络流监测在可编程交换机的出口流水线中执行队列诊断，在监测到拥塞责任流和拥塞活跃流后，将数据包标记并再循环至入口流水线。接着，在入口流水线中使用digest消息，将可疑流的信息上报给控制平面。最后，控制平面根据可疑流信息进行决策，在识别出拥塞相关攻击的恶意流后，向数据平面下发丢包规则，拦截恶意流的数据包。本发明提出的防御方案具有较好的有效性、灵活性、可扩展性和实时性，能在网络中准确且快速地检测出拥塞相关攻击，并快速缓解攻击造成的影响。

公开(公告)号：CN116015847A

公开(公告)日：2023-04-25

申请号：CN202211668944.7

申请日：2022-12-23

Applicant: 湖南大学重庆研究院

Inventor： 汤澹 ,  代锐 ,  张冬朔 ,  杨秋伟 ,  梁伟 ,  秦拯

IPC: H04L9/40 ,  H04L49/90 ,  G06F18/2431 ,  G06N3/0464 ,  G06N3/0442

Abstract: 本发明公开了基于流条目数预测的自适应SFTO攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：在SDN交换机实时监测并滑动收集流表流条目数，使用LRCN模型预测流条目数；若未来两秒的流条目预测值达到阈值，收集流表信息并计算八元流表统计特征，根据LightGBM分类模型输出的受攻击概率判断流表是否受到攻击；若检测到攻击，依据受攻击概率和未来一秒流条目数的预测值自适应计算驱逐比例，基于比例对经过LightGBM排序模型排序的流条目进行驱逐，腾出流表空间防止溢出。本方法能实时监测并预测SDN交换机的流条目数，准确检测SFTO攻击并执行主动防御策略，具有较低的漏报率和误报率，且能自适应驱逐攻击流条目防止流表溢出，因此本方法能够有效检测和缓解SFTO攻击。

公开(公告)号：CN114039781A

公开(公告)日：2022-02-11

申请号：CN202111324136.4

申请日：2021-11-10

Applicant: 湖南大学

Inventor： 汤澹 ,  高辰郡 ,  张冬朔 ,  代锐 ,  刘泊儒 ,  高新翔 ,  张诗涵

IPC: H04L9/40

Abstract: 本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：首先，获取路由器中的TCP数据报文，得到TCP样本序列；然后，采用离散小波变换对提取的TCP样本序列进行4层小波分解，得到平滑信号和细节信号，并根据分解后得到的平滑信号进行重构，得到表示TCP趋势变化和概貌信息的重构信号；最后，将重构信号作为输入数据，输入到基于自编码器的异常检测模型中，根据异常检测模型的输出，对该单位时间内的TCP数据报文进行判定检测，若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值，则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能在复杂网络环境中有较好的自适应性，并且误报率和漏报率低，对LDoS攻击的检测准确度较高。