公开(公告)号：CN115277103B

公开(公告)日：2024-08-16

申请号：CN202210764685.1

申请日：2022-06-29

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  张磊磊 ,  李恩晗

IPC: H04L9/40

Abstract: 本发明提出一种DDoS攻击检测方法、DDoS攻击流量过滤方法、装置，方法包括：将进入可编程交换机数据平面的数据包划分为多个观察窗口，分别计算每一个观察窗口内的源IP地址的地址熵与目的IP地址的地址熵；依据源IP地址的地址熵与目的IP地址的地址熵，判断当前观察窗口中是否含有DDoS攻击流量；若当前观察窗口中的DDoS攻击状态为DDoS攻击发生，则判别当前数据包是否属于DDoS攻击流量；若当前数据包的目的IP地址被判别为被攻击者，将指向被攻击者的数据包识别为攻击数据包并丢弃。该方法将DDoS攻击检测与防御的机制完整的实现在可编程交换机上，不依赖控制面和远程服务器，有效避免了数据面与控制平面交互过程带来的额外开销。

公开(公告)号：CN115118617A

公开(公告)日：2022-09-27

申请号：CN202210590211.X

申请日：2022-05-26

Applicant: 中国科学院计算技术研究所

Inventor： 张磊磊 ,  李振宇 ,  李恩晗 ,  黄易雯 ,  武文浩 ,  王阳 ,  潘恒 ,  武庆华

IPC: H04L43/08 ,  H04L43/12 ,  H04L43/50 ,  G06F8/41

Abstract: 本发明提出一种基于P4交换机的意图驱动网络测量方法和系统，包括：测量系统的编译器获取用户端下发的基于测量原语编写的测量任务，并将其编译为数据面P4代码和控制面配置文件；测量系统的运行时环境根据控制面配置文件，将转发处理表下发至P4交换机，以对P4交换机的运行时环境进行交互；P4交换机的P4编译器将数据面P4代码编译部署到P4交换机的交换芯片；P4交换机的运行时环境作为测量系统的运行时环境的驱动，连接测量系统与交换芯片的桥梁；数据包经过交换芯片时，触发转发处理表，记录相关统计信息到指定存储空间，存储空间中相关信息作为网络测量结果，经由P4交换机的运行时环境和测量系统的运行时环境返回给用户端。

公开(公告)号：CN115118617B

公开(公告)日：2024-05-28

申请号：CN202210590211.X

申请日：2022-05-26

Applicant: 中国科学院计算技术研究所

Inventor： 张磊磊 ,  李振宇 ,  李恩晗 ,  黄易雯 ,  武文浩 ,  王阳 ,  潘恒 ,  武庆华

IPC: H04L43/08 ,  H04L43/12 ,  H04L43/50 ,  G06F8/41

Abstract: 本发明提出一种基于P4交换机的意图驱动网络测量方法和系统，包括：测量系统的编译器获取用户端下发的基于测量原语编写的测量任务，并将其编译为数据面P4代码和控制面配置文件；测量系统的运行时环境根据控制面配置文件，将转发处理表下发至P4交换机，以对P4交换机的运行时环境进行交互；P4交换机的P4编译器将数据面P4代码编译部署到P4交换机的交换芯片；P4交换机的运行时环境作为测量系统的运行时环境的驱动，连接测量系统与交换芯片的桥梁；数据包经过交换芯片时，触发转发处理表，记录相关统计信息到指定存储空间，存储空间中相关信息作为网络测量结果，经由P4交换机的运行时环境和测量系统的运行时环境返回给用户端。

公开(公告)号：CN115277103A

公开(公告)日：2022-11-01

申请号：CN202210764685.1

申请日：2022-06-29

Applicant: 中国科学院计算技术研究所

Inventor： 武文浩 ,  李振宇 ,  张磊磊 ,  李恩晗

IPC: H04L9/40

Abstract: 本发明提出一种DDoS攻击检测方法、DDoS攻击流量过滤方法、装置，方法包括：将进入可编程交换机数据平面的数据包划分为多个观察窗口，分别计算每一个观察窗口内的源IP地址的地址熵与目的IP地址的地址熵；依据源IP地址的地址熵与目的IP地址的地址熵，判断当前观察窗口中是否含有DDoS攻击流量；若当前观察窗口中的DDoS攻击状态为DDoS攻击发生，则判别当前数据包是否属于DDoS攻击流量；若当前数据包的目的IP地址被判别为被攻击者，将指向被攻击者的数据包识别为攻击数据包并丢弃。该方法将DDoS攻击检测与防御的机制完整的实现在可编程交换机上，不依赖控制面和远程服务器，有效避免了数据面与控制平面交互过程带来的额外开销。

公开(公告)号：CN115102716A

公开(公告)日：2022-09-23

申请号：CN202210580579.8

申请日：2022-05-25

Applicant: 中国科学院计算技术研究所

Inventor： 李恩晗 ,  李振宇 ,  张磊磊 ,  武文浩 ,  王阳

IPC: H04L9/40 ,  H04L43/0888

Abstract: 本发明提出一种基于自适应采样阈值的网络大流检测方法，包括：可编程交换机根据预设的本地阈值，将在时间间隔中数据包计数大于本地阈值的数据流作为候选流，在当前时间间隔结束时将候选流及其对应的数据包计数以报告表的方式发往中心控制器；中心控制器根据所有可编程交换机的报告表，以各候选流对应的数据包计数之和，作为网络中所有流量的流量总值，根据流量总值和预设检测精度得到全局阈值，将数据包计数大于全局阈值的候选流作为网络大流，并根据网络流量的时间特性，更新可编程交换机本地阈值。本发明具有更加优秀的精确度，在可编程交换机上占用较小的内存，且通信数据包不会因为通信原因增加网络负担、加重网络拥塞对网络造成负面影响。

公开(公告)号：CN115102716B

公开(公告)日：2023-09-22

申请号：CN202210580579.8

申请日：2022-05-25

Applicant: 中国科学院计算技术研究所

Inventor： 李恩晗 ,  李振宇 ,  张磊磊 ,  武文浩 ,  王阳

IPC: H04L9/40 ,  H04L43/0888

Abstract: 本发明提出一种基于自适应采样阈值的网络大流检测方法，包括：可编程交换机根据预设的本地阈值，将在时间间隔中数据包计数大于本地阈值的数据流作为候选流，在当前时间间隔结束时将候选流及其对应的数据包计数以报告表的方式发往中心控制器；中心控制器根据所有可编程交换机的报告表，以各候选流对应的数据包计数之和，作为网络中所有流量的流量总值，根据流量总值和预设检测精度#imgabs0#得到全局阈值，将数据包计数大于全局阈值的候选流作为网络大流，并根据网络流量的时间特性，更新可编程交换机本地阈值。本发明具有更加优秀的精确度，在可编程交换机上占用较小的内存，且通信数据包不会因为通信原因增加网络负担、加重网络拥塞对网络造成负面影响。