公开(公告)号：CN111884874B

公开(公告)日：2022-02-01

申请号：CN202010681796.7

申请日：2020-07-15

Applicant: 中国舰船研究设计中心

Inventor： 罗威 ,  夏子贤 ,  江昊 ,  吴静 ,  朱博

IPC: H04L43/08 ,  H04L43/0852 ,  H04L43/0888 ,  H04L43/087 ,  H04L43/0829 ,  H04L47/11 ,  H04L41/0631 ,  G06F17/11

Abstract: 本发明公开了一种基于可编程数据平面的舰船网络实时异常检测方法，该方法包括以下步骤：1)采集网络中各节点i的网络状态数据；2)在每个时间点t，将网络状态数据的序列数据输入层级记忆网络HTM，获得预测误差；3)根据原预测误差的分布作为度量，并使用该分布来计算异常程度的似然值，并判断是否触发异常告警；4)在多变量联合异常检测中，根据参数个数将输入分解成多个子模块，通过联合似然异常评分计算得到一个全局度量来表示整个系统的异常似然分；5)对多个检测系统的原始异常评分的分布进行联合估计，并判断是否触发异常告警。本发明提供了一种可定量评价网络异常程度的异常检测方法。

公开(公告)号：CN111614627A

公开(公告)日：2020-09-01

申请号：CN202010346194.6

申请日：2020-04-27

Applicant: 中国舰船研究设计中心

Inventor： 罗威 ,  夏子贤 ,  江昊 ,  吴静 ,  朱博

IPC: H04L29/06 ,  G06F21/55 ,  G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种面向SDN的跨平面协作DDOS检测与防御方法与系统，该方法包括以下步骤：1)在数据平面进行流量监控；提取流量特征相关指标；2)捕获上述六个指标的变化，初步判断当前流是否为DDOS攻击造成的异常流量。3)数据平面的流量监控中检测到异常流,数据平面将发送报警消息通知控制平面；4)控制平面接收到报警消息后,将异常流状态存储在数据库中,触发事件通知基于控制器的DDOS机器学习细粒度检测,对特定的异常流进行深度检测；5)修正细粒度检测模块建立的源IP黑名单和源IP白名单。本发明通过数据平面的粗粒度检测和控制平面的细粒度检测对异常流执行两级粒度过滤过程，提高了检测性能，减小了控制器系统开销和南向接口通信负荷。

公开(公告)号：CN111614627B

公开(公告)日：2022-03-25

申请号：CN202010346194.6

申请日：2020-04-27

Applicant: 中国舰船研究设计中心

Inventor： 罗威 ,  夏子贤 ,  江昊 ,  吴静 ,  朱博

IPC: H04L9/40 ,  G06F21/55 ,  G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种面向SDN的跨平面协作DDOS检测与防御方法与系统，该方法包括以下步骤：1)在数据平面进行流量监控；提取流量特征相关指标；2)捕获上述六个指标的变化，初步判断当前流是否为DDOS攻击造成的异常流量。3)数据平面的流量监控中检测到异常流,数据平面将发送报警消息通知控制平面；4)控制平面接收到报警消息后,将异常流状态存储在数据库中,触发事件通知基于控制器的DDOS机器学习细粒度检测,对特定的异常流进行深度检测；5)修正细粒度检测模块建立的源IP黑名单和源IP白名单。本发明通过数据平面的粗粒度检测和控制平面的细粒度检测对异常流执行两级粒度过滤过程，提高了检测性能，减小了控制器系统开销和南向接口通信负荷。

公开(公告)号：CN111884874A

公开(公告)日：2020-11-03

申请号：CN202010681796.7

申请日：2020-07-15

Applicant: 中国舰船研究设计中心

Inventor： 罗威 ,  夏子贤 ,  江昊 ,  吴静 ,  朱博

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/801 ,  G06F17/11

Abstract: 本发明公开了一种基于可编程数据平面的舰船网络实时异常检测方法，该方法包括以下步骤：1)采集网络中各节点i的网络状态数据；2)在每个时间点t，将网络状态数据的序列数据输入层级记忆网络HTM，获得预测误差；3)根据原预测误差的分布作为度量，并使用该分布来计算异常程度的似然值，并判断是否触发异常告警；4)在多变量联合异常检测中，根据参数个数将输入分解成多个子模块，通过联合似然异常评分计算得到一个全局度量来表示整个系统的异常似然分；5)对多个检测系统的原始异常评分的分布进行联合估计，并判断是否触发异常告警。本发明提供了一种可定量评价网络异常程度的异常检测方法。

公开(公告)号：CN111600852A

公开(公告)日：2020-08-28

申请号：CN202010346636.7

申请日：2020-04-27

Applicant: 中国舰船研究设计中心

Inventor： 罗威 ,  夏子贤 ,  江昊 ,  吴静 ,  朱博

IPC: H04L29/06 ,  G06F13/42

Abstract: 本发明公开了一种基于可编程数据平面的防火墙设计方法，该方法包括以下步骤：1)将可编程网卡的硬件固件文件、流水线处理配置文件、用户规则配置文件发送到带有可编程网卡的服务器端；2)服务器端接收到用户规则配置文件后，删除原先的用户规则配置文件并进行重新配置，配置完成后，重新运行配置后的防火墙功能；3)当可编程网卡运行时，在可编程数据平面实现防火墙应用；4)允许转发的数据包经过与网卡相连的PCI总线传入主机系统，供内部应用程序使用。本发明通过将防火墙功能迁移到可编程数据平面，在网络内部减少了发往服务器的流量，缓解了服务器进行数据处理的压力，提高服务吞吐量。