CN114039780B - 基于流量系数的低速DoS攻击实时响应方法 - Google Patents

基于流量系数的低速DoS攻击实时响应方法 Download PDF

Info

Publication number
CN114039780B
CN114039780B CN202111323570.0A CN202111323570A CN114039780B CN 114039780 B CN114039780 B CN 114039780B CN 202111323570 A CN202111323570 A CN 202111323570A CN 114039780 B CN114039780 B CN 114039780B
Authority
CN
China
Prior art keywords
flow
coefficient
data
real
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111323570.0A
Other languages
English (en)
Other versions
CN114039780A (zh
Inventor
汤澹
张斯琦
王曦茵
高辰郡
王小彩
高新翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202111323570.0A priority Critical patent/CN114039780B/zh
Publication of CN114039780A publication Critical patent/CN114039780A/zh
Application granted granted Critical
Publication of CN114039780B publication Critical patent/CN114039780B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/27Evaluation or update of window size, e.g. using information derived from acknowledged [ACK] packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于流量系数的低速DoS攻击实时响应方法,属于计算机网络安全领域。其中所述方法包括:利用软件定义网络的控制器基于滑动窗口采集训练数据和测试数据。基于流量系数计算采集数据的特征。训练数据的特征用于训练高斯混合模型GMM1得到流量监控模型。测试数据的TCP特征用于流量监控模型分类得到监控结果。若结果为正常则继续监控流量,若为异常,则测试数据的UDP特征用于高斯混合模型GMM2得到聚类结果。根据聚类结果得到攻击者的地址和权重加入黑名单。每次轮询检查黑名单,当攻击者的权重大于阈值时,丢弃来自攻击者的流量并从黑名单中移出该攻击者。本发明提出的实时响应方法可以有效检测低速DoS攻击并快速缓解攻击造成的影响。

Description

基于流量系数的低速DoS攻击实时响应方法
技术领域
本发明属于计算机网络安全领域,具体涉及基于流量系数的低速DoS攻击实时响应方法。
背景技术
拒绝服务英文名称为Denial of Service,缩写为DoS。低速DoS攻击是一类特殊的DoS攻击,它针对网络协议中自适应机制的漏洞发起攻击,通过周期性的高速攻击脉冲严重降低服务质量,导致正常的访问连接受到不良影响。
目前,针对低速DoS攻击的实时响应方法存在以下问题:其一是低速DoS攻击具有极高的隐蔽性,其发生时的网络流量特征与大量合法用户同时访问网络时的网络流量特征十分相似,难以被传统的防火墙或者反DoS攻击机制识别;其二是已有的低速DoS攻击实时响应方法在攻击检测上存在一定的缺陷,如部署成本较高、可扩展性较差、检测精度不高、不适用大数据、实时性弱等;其三是传统的网络架构下,实时响应方法的缓解策略通常需要安装额外的设备或者更改现有的网络协议,不具有普适性,而且部署成本较高,难以实现。
软件定义网络是一种新型网络架构,它将控制平面与数据平面解耦,将网络结构分为应用平面、控制平面和基础结构平面三个部分。应用平面使用控制平面支持的北向接口使用控制器的功能,它不需要直接与基础结构平面交互。控制平面使用南向接口与基础结构平面中的网络设备通信,以部署应用平面的网络管理策略。基础结构平面的网络设备支持标准化的应用程序接口,以供控制平面使用。此外,软件定义网络具有可编程性,网络管理员可以编写应用程序,通过统一的开放接口调用控制器的功能,实现对底层设备和流量的集中控制和管理。
高斯混合模型英文名称为Gaussian Mixture Model,缩写为GMM,是机器学习算法的一种。一个高斯混合模型是多个高斯分布函数的线性组合,它假设所有的数据点都是在一个混合的、有限数量的、参数未知的高斯分布中生成的。高斯混合模型通常用于解决数据集包含多个不同分布的情况。在本发明中,当没有攻击发生时,网络流量遵循正态分布,即高斯分布,当低速DoS攻击发生时,网络流量遵循伯努利分布。
本发明提出了基于流量系数的低速DoS攻击实时响应方法。该方法利用软件定义网络的集中控制和可编程性,实现对低速DoS攻击的实时监控与缓解。方法分为数据采集、流量监控与攻击缓解三个部分。数据采集基于控制器应用程序和滑动窗口实现,流量监控和攻击缓解基于流量系数、高斯混合模型和软件定义网络的南向接口协议实现。滑动窗口提供历史数据信息并保障流量监控的实时性。流量系数反映网络流量的波动性和周期性,帮助流量监控系统快速准确地识别低速DoS攻击。高斯混合模型具有优秀的分类和聚类质量,最快的推理速度,保障响应方法的准确性和实时性。软件定义网络提供了低廉便捷的方式来部署方法和管理网络流量。
发明内容
针对已有的低速DoS攻击实时响应方法的不足,提出了基于流量系数的低速DoS攻击实时响应方法,该方法无需借助额外的设备或者修改网络协议,具有较高的准确率和良好的实时性,同时具备处理大数据的能力。因此该方法可普适于软件定义网络中低速DoS攻击的实时监控与快速缓解。
本发明为实现上述目标所采用的技术方法为:该低速DoS攻击响应方法主要包括三个步骤:数据采集、流量监控以及攻击缓解。
1.数据采集。数据采集基于滑动窗口实现,窗口大小和滑动步长可由用户自定义,默认窗口大小为20个数据,滑动步长为4个数据,一个窗口即为计算特征值的基本单位。采集的数据分为训练数据和测试数据。方法利用软件定义网络的控制器,轮询采集数据,轮询时间间隔为0.5秒。训练数据为一段时间内经过网络中关键链路的TCP流量,包括发生低速DoS攻击时的网络流量和无低速DoS攻击时的网络流量两类。测试数据为实时采集的经过网络中关键链路的流表项,每次保存一个窗口大小的流表项,流表项提供协议类型、源/目的IP地址、源/目的端口号等信息。
2.流量监控。流量监控基于流量系数和高斯混合模型实现,流量系数用于刻画网络流量的特征,高斯混合模型用于对网络流量进行分类和聚类。
流量系数分为波动系数和脉冲周期系数。波动系数反映了一个连续序列的波动程度,并提供可选的数据预处理,以在低值范围内放大波动,高值范围内缩小波动,计算步骤如下:
(1)可选的预处理。对连续序列的值取对数,形成新的连续序列。
(2)计算连续序列中每个脉冲上升和下降时,起始点(x1,y1)、结束点(x2,y2)与(x1,y2)围成的三角形的面积。
(3)所有三角形面积的平均值即为序列的波动系数。
脉冲周期系数反映了一个连续序列的脉冲是否具有周期性,它由脉冲持续时间和脉冲间隔组成。脉冲周期系数英文名称为pulse period coefficient,缩写为ppc。脉冲持续时间英文名称为pulse duration,缩写为pd,它反映了脉冲自身的相似性。脉冲间隔英文名称为pulse interval,缩写为pi,它反映了脉冲行为发生的相似性。具体计算步骤如下:
(1)如果序列中不存在脉冲,则脉冲周期系数为-1。
(2)如果序列中存在脉冲,则计算每个脉冲的持续时间组成的序列的标准差作为脉冲持续时间系数std_pd,计算相邻脉冲的间隔时间组成的序列的标准差作为脉冲间隔系数std_pi。
(3)令r为平衡系数,它的取值范围为[0,1],默认值为0.5,则脉冲周期系数可由如下公式计算:
ppc=r×std_pd+(1-r)×std_pi.
因此,对于一个存在脉冲的连续序列,波动系数和脉冲周期系数一定是个非负数,波动系数越大,则序列的波动程度越大,如果做了数据预处理,波动系数越大,则序列在低值范围的波动程度越大;脉冲周期系数越接近0,序列中脉冲具有周期性行为的可能性越大。
首先,方法计算训练数据每个窗口的TCP流量的波动系数、方差和香农熵作为特征,输入高斯混合模型GMM1进行训练,得到流量监控模型。其中,方差反映了序列的稳定性,英文名称为variance,香农熵反映了序列的不确定性,英文名称为Shannon entropy。给定连续序列{x1,x2,…,xn},n代表序列的长度,mean代表序列的平均值,p(xi)代表序列中第i个数据的概率,则序列的方差和香农熵的计算公式为
Figure GDA0003694469000000031
Figure GDA0003694469000000032
发生低速DoS攻击的网络不稳定,且低速DoS攻击具有周期性,减少了网络流量的不确定性,因此低速DoS攻击下的网络流量具有比无攻击发生时的网络流量更高的方差和更低的香农熵。
然后,方法计算测试数据的TCP波动系数、方差和香农熵作为特征,输入流量监控模型,得到监控结果。若测试数据被识别为发生低速DoS攻击,则监控结果为异常,反之为正常。对于正常情况,方法继续监控流量,直到用户关闭程序;对于异常情况,方法动态部署缓解策略。
3.攻击缓解。攻击缓解利用软件定义网络的南向接口协议实现,南向接口协议定义流表使得控制器能够管理基础结构平面的网络流量。攻击缓解包括三步:
(1)方法计算测试数据的UDP波动系数和脉冲周期系数作为特征,输入高斯混合模型GMM2进行聚类,得到聚类结果,默认聚为两类。
(2)根据聚类结果,波动系数较大的一类为攻击流量的流表项的集合,流表项中的源IP地址即为攻击者的地址,攻击流量对应的波动系数即为攻击者的权重。将攻击者的地址及其权重加入黑名单,如果黑名单中该攻击者已经存在,则累计权重。
(3)控制器轮询检查黑名单,轮询间隔为0.5秒。当控制器发现黑名单中某个攻击者的权重大于阈值时,将下发流规则丢弃来自该攻击者的流量,并从黑名单中删除该攻击者的记录。其中,阈值由用户自定义,默认为1。用户可自定义下发流规则的过期时间,未设置情况下,下发流规则将在一周后自动过期。
有益效果
基于流量系数的低速DoS攻击实时响应方法具有良好的实时性,能在监控网络流量时快速、准确地识别到网络中的低速DoS攻击。同时,方法能在监控到流量异常时快速定位攻击者,并计算权重加入黑名单。根据累积的权重,控制器下发丢弃攻击流量的流规则,在低误报的情况下缓解攻击的不良影响。此外,在控制器中部署响应方法十分容易,并且只会增加少量的内存和计算资源的消耗。
附图说明
图1为软件定义网络中发生低速DoS攻击的网络流量图,包括TCP流量与UDP流量。
图2为一个连续序列的流量系数的计算示例图。
图3为发生低速DoS攻击时的网络流量特征和未发生低速DoS攻击时的网络流量特征的比较图。
图4为基于流量系数的低速DoS攻击实时响应方法部署在软件定义网络中的框架图。
图5为基于流量系数的低速DoS攻击实时响应方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图5所示,基于流量系数的低速DoS攻击实时响应方法的流程主要包括三个步骤:数据采集、流量监控以及攻击缓解。数据采集步骤包括训练数据采集和测试数据采集两个部分,均基于滑动窗口实现,默认采集间隔为0.5秒,窗口大小为20个数据,滑动步长为4个数据,每一个窗口即为计算特征值的基本单位。训练数据应包括发生低速DoS攻击的TCP流量和未发生低速DoS攻击的TCP流量,测试数据为实时采集的关键链路的流表项。流量监控基于流量系数和高斯混合模型实现,流量系数分为波动系数和脉冲周期系数。TCP的特征为流量的波动系数、方差和香农熵,UDP的特征为流量的波动系数和脉冲周期系数。方法首先计算训练数据的特征,输入高斯混合模型GMM1进行训练,得到流量监控模型。流量监控模型根据实时采集的测试数据的TCP特征进行分类,识别网络中的低速DoS攻击。当监控到低速DoS攻击,则监控结果为异常,进行攻击缓解步骤,否则为正常,继续采集测试数据,监控流量。攻击缓解步骤中,方法计算测试数据的UDP特征,输入高斯混合模型GMM2得到聚类结果,其中波动系数较大的一类为攻击流量的流表项。根据聚类结果将攻击流量的地址和波动系数作为攻击者和权重加入黑名单,控制器根据黑名单下发流规则丢弃来自攻击者的流量。
图1为软件定义网络中发生低速DoS攻击的网络流量图,虚线前为未发生低速DoS攻击时的网络流量,虚线后为发生低速DoS攻击时的网络流量。从图中可以看出,未发生攻击的网络状态下的TCP流量与UDP流量波动平缓,且TCP流量为网络通信中的主要流量,当发生低速DoS攻击时,攻击者周期性地发送高速UDP脉冲,造成TCP流量剧烈波动,平均流量急剧减少,严重影响服务质量。
图2为计算流量系数的示例图,流量系数分为波动系数和脉冲周期系数。给定一段连续序列如图所示,波动系数反映序列的波动程度,其值为波动程度所示的灰色阴影部分,每个三角形的面积的平均值。脉冲周期系数反映序列的周期性,由脉冲持续时间和脉冲间隔组成,一个脉冲包含上升和下降两个部分,脉冲持续时间刻画脉冲自身的相似性,脉冲间隔刻画脉冲行为的相似性。
图3为无攻击发生的网络和发生低速DoS攻击的网络流量特征比较图,其中(a)为TCP流量的特征,(b)为UDP流量的特征。从图中可以看出,两种网络流量特征区分明显。
图4展示了基于流量系数的低速DoS攻击实时响应方法部署在软件定义网络中的框架,从图中可以看出,方法利用训练好的流量监控模型监控实时采集的流表项,以快速准确地识别异常。当网络中发生异常时,方法快速定位攻击者并计算权重更新黑名单的信息。控制器轮询检查黑名单,当发现黑名单中的攻击者的权重大于用户自定义的阈值时,执行缓解策略,下发流规则丢弃来自攻击者的流量。

Claims (7)

1.一种基于流量系数的低速DoS攻击实时响应方法,其特征在于,所述实时响应方法包括以下几个步骤:
步骤1、数据采集:利用软件定义网络的控制器进行数据采集,采集的数据包括训练数据和测试数据,训练数据为一段时间内网络中关键链路的TCP流量值,测试数据为监控流量时实时采集的网络中关键链路的流表项;
步骤2、流量监控:流量监控基于流量系数和高斯混合模型实现,其中,流量系数分为波动系数和脉冲周期系数,波动系数反映了一个连续序列的波动程度,并提供可选的数据预处理在低值范围内放大波动,高值范围内缩小波动,其计算方法为:首先进行可选的预处理,对连续序列的值取对数,形成新的连续序列;然后计算连续序列中每个脉冲上升和下降时,起始点(x1,y1)、结束点(x2,y2)与(x1,y2)围成的三角形的面积;最后计算所有三角形面积的平均值即为序列的波动系数;
脉冲周期系数反映了一个连续序列的脉冲是否具有周期性,它由脉冲持续时间和脉冲间隔组成,脉冲持续时间反映了脉冲自身的相似性,脉冲间隔反映了脉冲行为发生的相似性,其计算方法为:如果序列中不存在脉冲,则脉冲周期系数为-1;如果序列中存在脉冲,则计算每个脉冲的持续时间组成的序列的标准差作为脉冲持续时间系数std_pd,计算相邻脉冲的间隔时间组成的序列的标准差作为脉冲间隔系数std_pi,则脉冲周期系数为r×std_pd+(1-r)×std_pi,其中r为平衡系数,它的取值范围为[0,1],默认值为0.5;
流量监控包括两个步骤:
步骤2.1、计算步骤1中得到的训练数据的波动系数、方差和香农熵,将这三个指标作为特征输入高斯混合模型GMM1进行训练,得到流量监控模型;
步骤2.2、根据步骤1中实时采集的测试数据计算TCP的波动系数、方差和香农熵,输入流量监控模型进行判断,得到监控结果;
步骤3、攻击缓解:根据步骤2得到的监控结果,动态部署缓解策略,当监控结果为正常时,继续重复步骤2.2,当监控结果为异常时,执行缓解策略,缓解策略基于软件定义网络实现,包括三个步骤:
步骤3.1、根据步骤1中实时采集的测试数据计算UDP的波动系数和脉冲周期系数,将这两个指标作为特征输入高斯混合模型GMM2进行聚类,得到聚类结果;
步骤3.2、根据聚类结果获得属于攻击流量的流表项,流表项中的IP字段即为攻击者的地址,攻击流量对应的波动系数即为攻击者的权重,将攻击者及其权重加入黑名单,如黑名单中该攻击者已经存在,则累计权重;
步骤3.3、当黑名单中攻击者的权重大于阈值时,控制器下发流规则以丢弃来自攻击者的流量,并从黑名单中移出该攻击者的记录。
2.根据权利要求1中所述的实时响应方法,其特征在于,步骤1中数据采集的时间间隔为0.5秒,采集过程基于滑动窗口完成,窗口大小和步长为全局变量,可自定义,默认窗口大小为20个数据,步长为4个数据,一个窗口即为特征值计算的基本单位。
3.根据权利要求1中所述的实时响应方法,其特征在于,步骤1中的训练数据的采集时间内,网络中应存在至少一个时间段发生低速DoS攻击且至少一个时间段没有任何攻击发生,以提供相应的特征用于训练高斯混合模型。
4.根据权利要求1中所述的实时响应方法,其特征在于,步骤2中的流量监控模型将根据输入的特征值对数据进行分类,分类结果即为监控结果,分为正常和异常两类,正常即网络中没有低速DoS攻击,异常即网络中发生低速DoS攻击。
5.根据权利要求1中所述的实时响应方法,其特征在于,步骤2.1中的高斯混合模型GMM1用于分类,需要训练数据对模型进行训练,步骤3.1中的高斯混合模型GMM2用于聚类,不需要对模型进行训练。
6.根据权利要求1中所述的实时响应方法,其特征在于,步骤3.2中,测试数据的UDP流表项被聚为两类,其中UDP波动系数更大的一类为攻击流量的流表项,另一类为非攻击流量的流表项。
7.根据权利要求1中所述的实时响应方法,其特征在于,步骤3.3中的阈值默认值为1,阈值越大,响应速度越慢,误报率即错误地丢弃非攻击流量的可能性越低,用户可根据对响应速度和误报率的具体要求自定义阈值。
CN202111323570.0A 2021-11-10 2021-11-10 基于流量系数的低速DoS攻击实时响应方法 Active CN114039780B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111323570.0A CN114039780B (zh) 2021-11-10 2021-11-10 基于流量系数的低速DoS攻击实时响应方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111323570.0A CN114039780B (zh) 2021-11-10 2021-11-10 基于流量系数的低速DoS攻击实时响应方法

Publications (2)

Publication Number Publication Date
CN114039780A CN114039780A (zh) 2022-02-11
CN114039780B true CN114039780B (zh) 2022-08-16

Family

ID=80143699

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111323570.0A Active CN114039780B (zh) 2021-11-10 2021-11-10 基于流量系数的低速DoS攻击实时响应方法

Country Status (1)

Country Link
CN (1) CN114039780B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115865401B (zh) * 2022-10-19 2024-04-19 湖南大学 一种基于APTS的慢速DoS攻击实时缓解方案

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111600877A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于MF-Ada算法的LDoS攻击检测方法
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN112788063A (zh) * 2021-01-29 2021-05-11 湖南大学 基于RF-GMM的SDN中LDoS攻击检测方法
CN112788062A (zh) * 2021-01-29 2021-05-11 湖南大学 SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN112804250A (zh) * 2021-01-29 2021-05-14 湖南大学 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833376B (zh) * 2018-05-30 2020-12-15 中国人民解放军战略支援部队信息工程大学 面向软件定义网络的DoS攻击检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111600877A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于MF-Ada算法的LDoS攻击检测方法
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN112788063A (zh) * 2021-01-29 2021-05-11 湖南大学 基于RF-GMM的SDN中LDoS攻击检测方法
CN112788062A (zh) * 2021-01-29 2021-05-11 湖南大学 SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN112804250A (zh) * 2021-01-29 2021-05-14 湖南大学 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FR-RED: Fractal Residual Based Real-Time Detection of the LDoS Attack;D. Tang, Y. Feng, S. Zhang and Z. Qin;《IEEE Transactions on Reliability》;20200929;第70卷(第3期);全文 *
The approach of detecting LDoS attack based on correlative parameters;Wu Z, Liu L, Liu X;《2011 International Conference on Multimedia Technology》;20111231;全文 *
基于深度学习的网络入侵检测方法研究;许聪源;《中国优秀硕士学位论文全文数据库 信息科技辑》;20191231;全文 *

Also Published As

Publication number Publication date
CN114039780A (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
US11818155B2 (en) Cognitive information security using a behavior recognition system
US10476749B2 (en) Graph-based fusing of heterogeneous alerts
CN110149343B (zh) 一种基于流的异常通联行为检测方法和系统
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
CN111092852B (zh) 基于大数据的网络安全监控方法、装置、设备及存储介质
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
US9967169B2 (en) Detecting network conditions based on correlation between trend lines
US20170288979A1 (en) Blue print graphs for fusing of heterogeneous alerts
CN111478920A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN105681298A (zh) 公共信息平台中的数据安全异常监测方法及系统
EP2415229A1 (en) Method and system for alert classification in a computer network
Wang et al. Network anomaly detection: A survey and comparative analysis of stochastic and deterministic methods
Aung et al. An analysis of K-means algorithm based network intrusion detection system
CN109088903A (zh) 一种基于流式的网络异常流量检测方法
CN114039780B (zh) 基于流量系数的低速DoS攻击实时响应方法
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
Kozik et al. Pattern extraction algorithm for NetFlow‐based botnet activities detection
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
US10110440B2 (en) Detecting network conditions based on derivatives of event trending
WO2017176676A1 (en) Graph-based fusing of heterogeneous alerts
CN112235242A (zh) 一种c&c信道检测方法及系统
CN111224890A (zh) 一种云平台的流量分类方法、系统及相关设备
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.
CN110784483B (zh) 一种基于dga异常域名的事件检测系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant