CN112788062B - SDN中基于ET-EDR的LDoS攻击检测与缓解方法 - Google Patents

SDN中基于ET-EDR的LDoS攻击检测与缓解方法 Download PDF

Info

Publication number
CN112788062B
CN112788062B CN202110130818.5A CN202110130818A CN112788062B CN 112788062 B CN112788062 B CN 112788062B CN 202110130818 A CN202110130818 A CN 202110130818A CN 112788062 B CN112788062 B CN 112788062B
Authority
CN
China
Prior art keywords
ldos
attack
time window
traffic
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110130818.5A
Other languages
English (en)
Other versions
CN112788062A (zh
Inventor
汤澹
陈静文
王曦茵
代锐
张斯琦
郑思桥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110130818.5A priority Critical patent/CN112788062B/zh
Publication of CN112788062A publication Critical patent/CN112788062A/zh
Application granted granted Critical
Publication of CN112788062B publication Critical patent/CN112788062B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:以固定的采样间隔实时获取关键交换机中的聚合流量报文,按照固定的时间长度和步长划分为时间窗口后,计算时间窗口内流量数据的六维特征值;根据时间窗口内流量数据的特征值,基于事先训练得到的ET模型对该时间窗口进行分类,得到分类结果;若分类为发生了LDoS攻击的实时窗口数量,大于预先设定的阈值,则认为当前网络受到了LDoS攻击;使用EDR算法定位受攻击的交换机端口,利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。

Description

SDN中基于ET-EDR的LDoS攻击检测与缓解方法
技术领域
本发明属于计算机网络安全领域,具体涉及SDN中基于ET-EDR的LDoS攻击检测与缓解方法。
背景技术
SDN(Software Defined Networking,软件定义网络)是一种新型的网络架构,它简化了数据平面的功能,将控制功能分离出来,使得数据平面只提供基本的数据包转发。SDN的基本架构主要分为三个平面:应用平面、控制平面和数据平面。应用平面包含各种应用和服务。控制平面管理SDN应用,同时也管理交换机中流的转发。数据平面由不同种类的转发设备组成。应用平面和控制平面之间的北向接口为开发者提供API(ApplicationProgramming Interface,应用程序编程接口)。控制平面和数据平面之间的南向接口提供南向API,定义转发的命令和数据平面网络设备的功能,同时还定义了转发设备与控制平面之间的通信协议(如OpenFlow协议)。
DoS(Denial of Service,拒绝服务)攻击是指恶意用户发送大量数据包,占用被攻击对象的资源,使得被攻击对象无法提供正常服务甚至崩溃的一种网络攻击方式。LDoS(Low-rate DoS,慢速拒绝服务)攻击,是DoS攻击的一种类型,其主要是利用网络服务或协议中自适应机制的缺陷,使用周期性的高速脉冲数据流攻击受害者端,降低受害者端的服务质量。
SDN中的LDoS攻击主要有基于流表的攻击和基于拥塞控制的攻击。SDN的架构特点为检测LDoS攻击提供了极大的便利,统一控制和网络可编程性使得在线检测和防御策略的部署成为可能,而基于流量的转发策略则为定位和过滤攻击数据创造了条件。而目前SDN中缺少针对拥塞控制机制的LDoS攻击的相关工作,因此,有必要针对SDN中基于拥塞控制的LDoS攻击检测与缓解进行研究。
本发明针对SDN中的基于拥塞控制机制的LDoS攻击,提出了一种在线检测与缓解方法。该方法将网络流量特征和ET(Extremely Randomized Trees,极端随机树)模型相结合,在线检测LDoS攻击。一旦有LDoS攻击发生,就利用EDR(Edit Distance on RealSequence,真实序列编辑距离)算法来定位受害端口,随后通过安装流规则来缓解LDoS攻击。
发明内容
本发明针对SDN中的基于拥塞控制机制的LDoS攻击,提出了一种SDN中基于ET-EDR的LDoS攻击检测与缓解方法。该LDoS攻击检测与缓解方法,能够有效且快速地检测SDN中基于拥塞控制的LDoS攻击,检测的准确率较高,误报率和漏报率较低,并且能在检测到LDoS攻击后快速缓解攻击,检测和缓解的实时性较好。因此该检测方法可普适于在线检测和缓解SDN中的LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测与缓解方法主要包括四个步骤:信息收集、特征计算、攻击检测以及攻击缓解。
步骤1、信息收集。使用SDN控制器的API,每隔0.5秒的采样时间向交换机发起获取流量的请求,获取该采样时间内流经此交换机的流量总和,包括TCP聚合流量及UDP聚合流量,形成训练样本原始值,再以固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口,为每个时间窗口打上标签0或标签1,其中标签0表示该时间窗口内没有发生LDoS攻击,标签1表示该时间窗口内发生了LDoS攻击。
步骤2、特征计算。以步骤1中获得的时间窗口为单位,计算特征值,本发明根据LDoS攻击产生的效果选取了六维特征,包括计算TCP流量的均值、占比、变异系数,UDP流量的均值、变异系数,以及TCP流量与聚合流量之间的斯皮尔曼等级相关系数,作为该时间窗口的六维特征值。
在受到LDoS攻击后,TCP流量会立即出现明显的下降。令n为一个时间窗口内聚合流量样本数,ST为一个时间窗口内的TCP流量样本,SU为一个时间窗口内的UDP流量样本,S为一个时间窗口内的聚合流量样本,单位均为字节。本发明使用TCP流量均值Tmean、UDP流量均值Umean和TCP流量占比Tratio来反映LDoS攻击对流量大小的影响,这三种特征的计算方法如下:
Figure BDA0002925182330000021
Figure BDA0002925182330000022
Figure BDA0002925182330000023
LDoS攻击会导致网络流量的离散程度急剧增加,本发明使用TCP的变异系数和UDP的变异系数来衡量离散程度的变化。TCP流量变异系数Tcv、UDP流量变异系数Ucv的计算方法如下:
Figure BDA0002925182330000031
Figure BDA0002925182330000032
当网络处于LDoS攻击下时,聚合流量与UDP流量的形态相似度较高,相反,当未受到LDoS攻击时,聚合流量与TCP流量的相似度较高。因此,本发明使用斯皮尔曼等级相关系数来反映TCP流量和聚合流量的相似度,将其作为最后一维特征。斯皮尔曼等级相关系数rS,ST的计算方法如下,其中ρrs,rst为皮尔逊相关系数,rS,ST被定义为等级变量之间的皮尔逊相关系数,rst和rs为样本ST和S转换后的等级数据:
Figure BDA0002925182330000033
步骤3、攻击检测。根据时间窗口的特征,对ET模型进行训练,得到训练完成的ET模型,使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类,得到分类结果,根据分类结果判定是否发生LDoS攻击。具体步骤如下:
(1)根据步骤2得到的时间窗口的特征值和步骤1中的时间窗口标签,对ET模型进行训练,得到训练完成的ET模型;
(2)每隔固定步长实时获取交换机的固定窗口长度内的聚合流量,作为一个实时窗口的样本原始值,基于步骤2的计算方法计算得到该实时窗口的六维特征值;
(3)针对每个实时窗口,基于(2)中得到的六维特征值,使用训练完成的ET模型对该实时窗口进行分类,得到分类结果;
(4)根据分类结果来判定是否发生LDoS攻击,若分类为标签1的实时窗口数量大于预先设定的阈值,则认为当前网络受到了LDoS攻击,反之则认为当前网络没有受到LDoS攻击。
步骤4、攻击缓解。若发生LDoS攻击,则定位受攻击的交换机端口,下发流规则丢弃来自该端口的数据包,完成攻击缓解。具体步骤如下:
(1)若攻击检测的判定结果为当前网络受到了LDoS攻击,则使用EDR算法比较聚合流量和各个交换机端口流量之间的相似度,相似度最高的对应端口被判定为受攻击的端口,其中EDR算法的公式如下:假设两条序列R和S,ri和sj是两条序列中的元素,只有满足|ri-sj|≤ε时,有match(ri,sj)=true成立,其中ε是匹配阈值,设置为0.18,match=true表示两个元素之间相似。R和S之间的EDR值是指:R中的元素使用插入、删除或者替代这三种操作来将R改变成S的步骤数量。n和m是两个序列R和S的序列长度,Rest(S)代表序列S去掉第一个元素的子序列,则EDR(R,S)的定义描述为:
Figure BDA0002925182330000041
Figure BDA0002925182330000042
(2)利用SDN控制器在交换机上安装流规则,丢弃来自该受攻击端口的流量数据,完成攻击缓解,其中流规则设置如下:
字段match:子字段in_port代表输入交换机的端口,将其设置为(1)中定位的受攻击的交换机端口号;子字段nw_proto代表网络层协议类型,将其设置为UDP,用于缓解使用UDP数据进行攻击的基于拥塞控制机制的LDoS攻击,UDP的代表编号为17;子字段dl_type代表以太网协议类型,设置为0x0800表示IP包。
字段priority:代表这条匹配规则的优先级。该字段的值通常取0-65535之间的整数,priority字段值越大,优先级越高。为了确保缓解规则能够被优先匹配,本发明将优先级设置为最大值65535。
字段action:该字段规定了匹配到该流规则的数据包需要执行的动作,本发明将其设置为空,表示丢弃所有对应的数据包。
有益效果
该SDN中基于ET-EDR的LDoS攻击检测与缓解方法,能够有效且快速地检测SDN中基于拥塞控制的LDoS攻击,检测的准确率较高,误报率和漏报率较低,并且能在检测到LDoS攻击后快速缓解攻击,检测和缓解的实时性较好。因此该检测方法可普适于在线检测和缓解SDN中的LDoS攻击。
附图说明
图1为两种网络状态下网络流量特征值的对比图,包括正常网络状态和LDoS攻击下的网络状态的流量特征值。图1(a)为两种网络状态下TCP流量均值和UDP流量均值的对比图,TCP流量均值在受到LDoS攻击后明显降低,相反,UDP流量均值在LDoS攻击后明显上升;图1(b)为两种网络状态下TCP占比的对比图,LDoS攻击后TCP占比明显降低;图1(c)为两种网络状态下TCP变异系数和UDP变异系数的对比图,TCP流量的变异系数在LDoS攻击后明显上升,UDP流量的变异系数在LDoS攻击后同样明显上升,同时,正常网络中TCP流量和UDP流量的变异系数相差不大,而在LDoS攻击下,UDP流量的变异系数上升得更多,表明UDP流量的离散程度更大;图1(d)为两种网络状态下TCP流量和总流量之间斯皮尔曼等级相关系数的对比图,斯皮尔曼等级相关系数越接近1,两者之间的相似度越高,在正常网络状态下,TCP流量和聚合流量之间的斯皮尔曼等级相关系数接近于1,而在LDoS攻击下的网络状态中,TCP流量和聚合流量之间的斯皮尔曼等级相关系数较低。
图2为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的部署架构图,共包含三个模块:信息收集模块、LDoS攻击检测模块和LDoS攻击缓解模块。
图3为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图3所示,该SDN中基于ET-EDR的LDoS攻击检测与缓解方法主要包括四个步骤:信息收集、特征计算、攻击检测以及攻击缓解。
图1为两种网络状态下网络流量特征值的对比图。在正常网络状态下:TCP流量均值较高,占据总流量的大部分,并且变异系数较低,同时TCP流量与总流量之间的斯皮尔曼等级相关系数较高,接近于1;UDP流量的均值较低,变异系数也较低。而在LDoS攻击的状态下:TCP流量的均值较低,同时TCP流量占据总流量的较小部分,变异系数较正常网络状态下更高,TCP流量与总流量之间的斯皮尔曼等级相关系数较低;UDP流量的均值较高,同时UDP流量的变异系数也较高。结合以上情况,两种网络状态下的六维特征值展示出不同的效果,可以有效区分两种网络状态,因此以时间窗口为单位,计算相应的六维特征值,形成LDoS攻击检测的时间窗口特征样本。
图2为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的部署架构图。方法被部署在SDN的控制平面中,共包含三个模块,分别为信息收集模块、LDoS攻击检测模块和LDoS攻击缓解模块。其中信息收集模块负责步骤1信息收集,LDoS攻击检测模块负责步骤2特征计算和步骤3攻击检测,LDoS攻击缓解模块负责步骤4攻击缓解。

Claims (8)

1.SDN中基于ET-EDR的LDoS攻击检测与缓解方法,其特征在于,基于极端随机树联合Edit Distance on Real Sequence算法的英文全称是Extremely Randomized Trees andEdit Distance on Real Sequence,简称为ET-EDR,该方法具体包括以下四个步骤:
步骤1、信息收集:使用SDN控制器实时获取交换机中的聚合流量报文,对聚合流量报文进行采样,形成训练样本原始值,将训练样本原始值划分为多个时间窗口,并为每个时间窗口打上标签;
步骤2、特征计算:以每个时间窗口为单位,计算得到六维特征值;
步骤3、攻击检测:根据时间窗口的特征,对ET模型进行训练,得到训练完成的ET模型,使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类,得到分类结果,根据分类结果判定是否发生LDoS攻击;
步骤4、攻击缓解:若发生LDoS攻击,则使用EDR算法定位受到攻击的交换机端口,下发流规则丢弃来自该端口的数据包,完成攻击缓解。
2.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤1中使用SDN控制器的API,每隔采样时间0.5秒向交换机发起获取流量的请求,获取该采样时间内流经此交换机的流量总和,包括TCP聚合流量及UDP聚合流量,形成训练样本原始值,再使用固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口。
3.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤1中为每个时间窗口打上标签0或标签1,其中标签0表示该时间窗口内没有发生LDoS攻击,标签1表示该时间窗口内发生了LDoS攻击。
4.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2中根据步骤1中获得的时间窗口,以时间窗口为单位,计算特征值,包括计算TCP流量的均值、占比、变异系数,UDP流量的均值、变异系数,以及TCP流量与聚合流量之间的相关系数,作为该时间窗口的六维特征值。
5.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤3中训练ET模型并使用训练完成的ET模型对聚合流量进行分类,包括三个步骤:
步骤3.1、根据步骤2得到的时间窗口的特征值和步骤1中的窗口标签,对ET模型进行训练,得到训练完成的ET模型;
步骤3.2、每隔固定步长实时获取交换机的固定窗口长度内的聚合流量,作为一个实时窗口的样本原始值,基于步骤2的计算方法计算得到该实时窗口的六维特征值;
步骤3.3、针对每个实时窗口,基于步骤3.2得到的特征值,使用训练完成的ET模型对该实时窗口进行分类,得到分类结果。
6.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤3中根据分类结果判定是否发生LDoS攻击的准则为:若分类为标签1的实时窗口数量大于预先设定的阈值,则认为当前网络受到了LDoS攻击,否则认为当前网络没有受到LDoS攻击。
7.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤4中使用EDR算法比较聚合流量和各个交换机端口流量之间的相似度,相似度最高的对应端口被判定为受攻击的端口。
8.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤4中得到受攻击的端口号后,利用SDN控制器在交换机上安装流规则,丢弃来自该受攻击端口的流量数据,完成攻击缓解。
CN202110130818.5A 2021-01-29 2021-01-29 SDN中基于ET-EDR的LDoS攻击检测与缓解方法 Active CN112788062B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110130818.5A CN112788062B (zh) 2021-01-29 2021-01-29 SDN中基于ET-EDR的LDoS攻击检测与缓解方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110130818.5A CN112788062B (zh) 2021-01-29 2021-01-29 SDN中基于ET-EDR的LDoS攻击检测与缓解方法

Publications (2)

Publication Number Publication Date
CN112788062A CN112788062A (zh) 2021-05-11
CN112788062B true CN112788062B (zh) 2022-03-01

Family

ID=75760030

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110130818.5A Active CN112788062B (zh) 2021-01-29 2021-01-29 SDN中基于ET-EDR的LDoS攻击检测与缓解方法

Country Status (1)

Country Link
CN (1) CN112788062B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114039780B (zh) * 2021-11-10 2022-08-16 湖南大学 基于流量系数的低速DoS攻击实时响应方法
CN114070601B (zh) * 2021-11-11 2022-11-11 湖南大学 一种基于EMDR-WE算法的LDoS攻击检测方法
CN114448661B (zh) * 2021-12-16 2023-05-05 北京邮电大学 慢速拒绝服务攻击检测方法及相关设备
CN114500092B (zh) * 2022-02-24 2023-11-17 江苏省未来网络创新研究院 一种基于sdn的工业互联网标识异常流量识别方法
CN115967524B (zh) * 2022-10-25 2024-04-19 湖南大学 一种基于P4-MSC的DRDoS攻击检测与缓解系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN105323241A (zh) * 2015-09-08 2016-02-10 中国民航大学 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457489B (zh) * 2010-10-26 2015-11-25 中国民航大学 Low-rate DoS(LDoS)攻击、检测和防御模块
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法
CN109167789B (zh) * 2018-09-13 2021-04-13 上海海事大学 一种云环境LDoS攻击数据流检测方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN105323241A (zh) * 2015-09-08 2016-02-10 中国民航大学 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SDN环境下LDoS攻击检测与防御机制研究;周蕾;《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》;20200615 *
颜通 ; 白志华 ; 高镇 ; 闫丽娜 ; 周蕾.SDN环境下的LDoS攻击检测与防御技术.《计算机科学与探索》.2019, *

Also Published As

Publication number Publication date
CN112788062A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
CN112788062B (zh) SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN110225037B (zh) 一种DDoS攻击检测方法和装置
CN101714952B (zh) 一种接入网的流量识别方法和装置
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
CN111181971B (zh) 一种自动检测工业网络攻击的系统
CN111817982A (zh) 一种面向类别不平衡下的加密流量识别方法
Liu et al. The detection method of low-rate DoS attack based on multi-feature fusion
CN112235288B (zh) 一种基于gan的ndn网络入侵检测方法
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
CN113055251B (zh) 一种面向高速网络的流量丢包状态实时感知方法
CN107566192A (zh) 一种异常流量处理方法及网管设备
CN110719270A (zh) 一种基于fcm算法的慢速拒绝服务攻击检测方法
CN114021135A (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及系统
CN114866485A (zh) 一种基于聚合熵的网络流量分类方法及分类系统
CN110266680B (zh) 一种基于双重相似性度量的工业通信异常检测方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
US11848959B2 (en) Method for detecting and defending DDoS attack in SDN environment
Min et al. Online Internet traffic identification algorithm based on multistage classifier
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
CN112583808B (zh) 针对物联网设备的异常流量检测方法
KR100608541B1 (ko) 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법
CN115333915B (zh) 一种面向异构主机的网络管控系统
CN114666273A (zh) 一种面向应用层未知网络协议的流量分类方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant