公开(公告)号：CN115766140A

公开(公告)日：2023-03-07

申请号：CN202211370987.7

申请日：2022-11-03

Applicant: 网络通信与安全紫金山实验室

Inventor： 刘超 ,  李煊 ,  王志豪 ,  王剑楠 ,  冉茂莹 ,  逯云松

IPC: H04L9/40 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供一种分布式拒绝服务DDoS攻击检测方法及装置，涉及网络安全技术领域，所述方法包括：分别确定各网络数据流的统计特征；基于各网络数据流的统计特征，生成至少一个关联流序列；将每一个关联流序列分别输入至训练完成的LSTM神经网络模型，获取LSTM神经网络模型输出的至少一个预测值序列；基于预设阈值和每一个预测值序列中包括的各预测值，判断各网络数据流是否是DDoS攻击流量。本发明通过基于各网络数据流的统计特征生成关联流序列，并将关联流序列作为LSTM神经网络模型的输入数据实现对网络数据流的DDoS攻击检测，不仅提高了DDoS攻击检测的准确性，而且提高了检测模型的泛化能力。

公开(公告)号：CN115580485A

公开(公告)日：2023-01-06

申请号：CN202211442925.2

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室

Inventor： 李天萁 ,  李煊 ,  赵倩 ,  汪壬甲 ,  刘超 ,  逯云松

IPC: H04L9/40 ,  H04Q11/00

Abstract: 本发明提供一种数据流量处理方法、装置、光网络设备及存储介质，属于光通信技术领域，所述方法包括：获取过滤控制信息列表，过滤控制信息列表用于表征异常数据流量的攻击行为特征；基于过滤控制信息列表，通过第一挂钩点滤除异常数据流量；第一挂钩点是基于扩展的伯克利包过滤器eBPF在第一光网络设备的光电转换模块生效的挂钩点。本发明通过基于eBPF在光电转换模块生效第一挂钩点，可以基于第一挂钩点持续获取网络设备所收发的数据流量，进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选，确定符合指定的攻击行为特征的数据流量为异常数据流量，进而通过第一挂钩点能够滤除异常数据流量，实现有效防御异常大数据流量。

公开(公告)号：CN115802366B

公开(公告)日：2023-04-28

申请号：CN202310102307.1

申请日：2023-02-13

Applicant: 网络通信与安全紫金山实验室

Inventor： 李煊 ,  吴柯萌 ,  周序 ,  薛妍妍 ,  王晓露 ,  逯云松

IPC: H04W16/22 ,  H04W24/06

Abstract: 本申请涉及一种网络流量预测方法、装置、计算机设备和介质，该方法包括：首先根据目标网络区域在历史预设时长内的历史网络使用数据，获取目标网络区域内每个UPF的吞吐量时间序列和用户数时间序列，然后基于各UPF的吞吐量时间序列和用户数时间序列，确定对应UPF在未来预设时长内的各链路的预测流量，最后根据各UPF在未来预设时长内的各链路的预测流量，确定目标网络区域内各链路的流量分布信息。采用本方法获取的流量分布信息能够在全局覆盖目标网络区域的同时，保证各链路预测流量的准确性。

公开(公告)号：CN115580485B

公开(公告)日：2023-03-21

申请号：CN202211442925.2

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室

Inventor： 李天萁 ,  李煊 ,  赵倩 ,  汪壬甲 ,  刘超 ,  逯云松

IPC: H04L9/40 ,  H04Q11/00

Abstract: 本发明提供一种数据流量处理方法、装置、光网络设备及存储介质，属于光通信技术领域，所述方法包括：获取过滤控制信息列表，过滤控制信息列表用于表征异常数据流量的攻击行为特征；基于过滤控制信息列表，通过第一挂钩点滤除异常数据流量；第一挂钩点是基于扩展的伯克利包过滤器eBPF在第一光网络设备的光电转换模块生效的挂钩点。本发明通过基于eBPF在光电转换模块生效第一挂钩点，可以基于第一挂钩点持续获取网络设备所收发的数据流量，进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选，确定符合指定的攻击行为特征的数据流量为异常数据流量，进而通过第一挂钩点能够滤除异常数据流量，实现有效防御异常大数据流量。

公开(公告)号：CN115802366A

公开(公告)日：2023-03-14

申请号：CN202310102307.1

申请日：2023-02-13

Applicant: 网络通信与安全紫金山实验室

Inventor： 李煊 ,  吴柯萌 ,  周序 ,  薛妍妍 ,  王晓露 ,  逯云松

IPC: H04W16/22 ,  H04W24/06

Abstract: 本申请涉及一种网络流量预测方法、装置、计算机设备和介质，该方法包括：首先根据目标网络区域在历史预设时长内的历史网络使用数据，获取目标网络区域内每个UPF的吞吐量时间序列和用户数时间序列，然后基于各UPF的吞吐量时间序列和用户数时间序列，确定对应UPF在未来预设时长内的各链路的预测流量，最后根据各UPF在未来预设时长内的各链路的预测流量，确定目标网络区域内各链路的流量分布信息。采用本方法获取的流量分布信息能够在全局覆盖目标网络区域的同时，保证各链路预测流量的准确性。

公开(公告)号：CN116318977A

公开(公告)日：2023-06-23

申请号：CN202310256765.0

申请日：2023-03-16

Applicant: 网络通信与安全紫金山实验室

Inventor： 吴柯萌 ,  李煊 ,  王晓露 ,  李天萁 ,  郭栋 ,  逯云松

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/094

Abstract: 本发明实施例提供了一种攻击流量的检测方法、装置、设备及存储介质，该方法包括：获取多个交换机的第一遥测数据包；从所述第一遥测数据包中提取第一遥测流量特征；根据第一遥测流量特征确定图结构特征；提取图结构特征中的邻接特征；将邻接特征和第一遥测流量特征输入至预训练后的流量图结构检测模型中，输出检测损失值；根据检测损失值和目标损失值确定检测结果；其中，目标损失值为流量图结构检测模型在训练阶段获得的损失值；其中，检测结果包括第一遥测流量特征为攻击流量或者非攻击流量。本公开实施例，通过预训练后的流量图结构检测模型对遥测流量特征进行攻击流量检测的方式，可以提高攻击流量检测的准确性。

公开(公告)号：CN116010878A

公开(公告)日：2023-04-25

申请号：CN202211663900.5

申请日：2022-12-21

Applicant: 网络通信与安全紫金山实验室

Inventor： 吴柯萌 ,  刘超 ,  汪壬甲 ,  薛妍妍 ,  李煊 ,  逯云松

IPC: G06F18/2415 ,  H04L9/40 ,  G06F18/2433 ,  G06F18/214 ,  G06N3/042 ,  G06N3/048 ,  G06N3/084

Abstract: 本申请公开了一种基于图神经网络的分布式拒绝服务攻击检测方法、装置、设备及介质，涉及计算机领域，包括：利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据识别；根据识别结果判断待检测流量是否为分布式拒绝服务攻击流量；模型训练过程：获取目标流量中的目标流特征信息，将目标流特征信息转化为图结构数据；利用预设算法对图结构数据处理得到处理后结果；预设算法用于聚合图结构数据中每一顶点的邻居顶点信息，处理后结果基于聚合后信息得到；利用处理后结果训练图神经网络模型。本申请通过预设算法聚合图结构数据中的每一顶点的邻居顶点的信息，无需得到整个图结构数据的信息，解决了过拟合、泛化能力差的问题。