CN115865401A - 一种基于APTS的慢速DoS攻击实时缓解方案 - Google Patents

一种基于APTS的慢速DoS攻击实时缓解方案 Download PDF

Info

Publication number
CN115865401A
CN115865401A CN202211277245.XA CN202211277245A CN115865401A CN 115865401 A CN115865401 A CN 115865401A CN 202211277245 A CN202211277245 A CN 202211277245A CN 115865401 A CN115865401 A CN 115865401A
Authority
CN
China
Prior art keywords
port
coefficient
flow
traffic
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211277245.XA
Other languages
English (en)
Other versions
CN115865401B (zh
Inventor
汤澹
代锐
陈静文
杨秋伟
王小彩
陈禹澎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202211277245.XA priority Critical patent/CN115865401B/zh
Publication of CN115865401A publication Critical patent/CN115865401A/zh
Application granted granted Critical
Publication of CN115865401B publication Critical patent/CN115865401B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案,属于计算机网络安全领域。其中所述方案包括:基于滑动窗口采集数据,计算端口净值系数,判断测试数据的端口净值系数是否在阈值范围内,得到端口监控结果,若结果为正常则继续端口监控,若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类,得到流量监控结果,若结果为正常,则返回端口监控,若为异常,则计算每条UDP流的变异系数和自相关系数,将其与设定的阈值比较,若在阈值范围外则认定其为攻击流,加入黑名单。若出现重复放入黑名单的流,则下发流规则丢弃该流,并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。

Description

一种基于APTS的慢速DoS攻击实时缓解方案
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于APTS的慢速DoS攻击实时缓解方案。
背景技术
DoS(Denial of Service,拒绝服务)攻击是指恶意用户发送大量数据包,占用被攻击对象的资源,使得被攻击对象无法提供正常服务甚至崩溃的一种网络攻击方式。慢速DoS攻击是DoS攻击的一种类型,其主要是利用网络服务或协议中自适应机制的缺陷,使用周期性的高速脉冲数据流攻击受害者端,降低受害者端的服务质量。
软件定义网络是一种新型的网络架构,它简化了数据平面的功能,将控制功能分离出来,使得数据平面只提供基本的数据包转发。软件定义网络的基本架构主要分为三个平面:应用平面、控制平面和数据平面。应用平面包含各种应用和服务。控制平面管理软件定义网络应用,同时也管理交换机中流的转发。数据平面由不同种类的转发设备组成。应用平面和控制平面之间的北向接口为开发者提供API(Application ProgrammingInterface,应用程序编程接口)。控制平面和数据平面之间的南向接口提供南向API,定义转发的命令和数据平面网络设备的功能,同时还定义了转发设备与控制平面之间的通信协议(如OpenFlow协议)。
软件定义网络中的慢速DoS攻击主要有基于流表的攻击和基于拥塞控制的攻击。软件定义网络的架构特点为检测慢速DoS攻击提供了极大的便利,统一控制和网络可编程性使得在线检测和防御策略的部署成为可能,而基于流量的转发策略则为定位和过滤攻击数据创造了条件。而目前软件定义网络中缺少针对拥塞控制机制的慢速DoS攻击的相关工作,因此,有必要针对软件定义网络中基于拥塞控制的慢速DoS攻击检测与缓解进行研究。
XGBoost模型的全称是Extreme gradient boosting model,它是集成学习方法中的一种。一个XGBoost模型用于分类的基本思想是将多个弱分类器结合起来,加强最终的分类结果,使分类结果更加可靠。XGBoost模型是梯度增强决策树的实现,旨在提高速度和性能。它能高效处理稀疏数据,支持并行计算。优化的数据结构和算法的缓存使其更加高效。
本发明提出了一种基于APTS的慢速DoS攻击实时缓解方案。该方案利用软件定义网络的可编程性,实现对慢速DoS攻击的实时监控和缓解。方案分为数据采集、端口监控、流量监控与攻击缓解四个部分。数据采集基于软件定义网络控制器和滑动窗口实现,端口监控基于端口净值系数实现,流量监控基于流量特征和XGBoost模型实现,攻击缓解基于UDP流量系数和软件定义网络实现。滑动窗口提供历史数据信息并保障流量监控的实时性。端口净值系数反映流量流入和流出交换机的均衡性。流量特征从攻击特性、攻击效应和端口分布三个方面反映网络流量在慢速DoS攻击下的异常情况,帮助方案区分正常流量和可疑流量。XGBoost模型有优秀的分类效果和速度,保障方案的实时性。UDP流量系数反映UDP流的周期性和突发性,能帮助方案快速定位攻击流。软件定义网络提供了便捷的方式来部署缓解策略。
发明内容
针对已有的慢速DoS攻击实时响应方案的不足,提出了一种基于APTS的慢速DoS攻击实时缓解方案,该方案无需借助额外的设备或者修改网络协议,部署在软件定义网络的控制层中,具有较高的实时性和准确率。因此该方案可普适于慢速DoS攻击的实时监控与快速缓解。
本发明为实现上述目标所采用的技术方案为:该慢速DoS攻击缓解方案主要包括四个步骤:数据采集、端口监控、流量监控以及攻击缓解。
1.数据采集。数据采集基于滑动窗口实现,窗口大小为10秒,窗口步长为2秒。方案使用软件定义网络的控制器获取流经交换机的数据,使用轮询的方式,轮询间隔RI=0.5s,每0.5秒向交换机发起获取数据的请求。采集的数据包括交换机端口流量流入速度、流出速度,以及流经交换机的TCP流量和UDP流量。采集的数据分为训练数据和测试数据,其中训练数据包括有慢速DoS攻击时的上述数据和无慢速DoS攻击时的上述数据,测试数据为按照滑动窗口实时采集的上述数据。
2.端口监控。端口监控基于端口净值系数实现,端口净值系数反映流量流入和流出交换机的均衡性,端口净值系数在无慢速DoS攻击下呈现近似正态分布,而慢速DoS攻击会带来网络流量的突发,交换机难以快速处理,因此端口净值系数分布偏离正态分布,且分布范围比无慢速DoS攻击时更大。端口监控包括三步:
1)计算训练数据中每个采样时刻的端口流量流入速度、流出速度的端口净值系数,令PNF表示端口净值系数,vin表示端口流量流入速度,vout表示端口流量流出速度,则端口净值系数计算公式可表示为:
Figure BDA0003896853530000021
2)计算端口净值系数阈值和端口净值系数分布危险阈值,令TPNF表示端口净值系数阈值,k表示阈值系数,为可自定义的常数,μ为训练数据中无慢速DoS攻击部分的端口净值系数的均值,σ为训练数据中无慢速DoS攻击部分的端口净值系数的标准差,则端口净值系数阈值计算公式可表示为:TPNF=μ±kσ,阈值系数k和端口净值系数分布危险阈值DHTPNF可自定义,默认k=3.0,DHTPNF=5%,用户可根据对误报率、漏报率、响应速度的具体要求自定义阈值。
3)按照1)中的方法计算测试数据的端口净值系数,根据端口净值系数判断端口监控结果,当滑动窗口内端口净值系数超过端口净值系数阈值TPNF的数量占比,大于等于端口净值系数分布危险阈值DHTPNF,那么端口监控结果为异常,否则端口监控结果为正常,若端口监控结果正常则使用该窗口的端口数据更新端口净值系数阈值TPNF。
3.流量监控。流量监控基于流量特征和XGBoost模型实现,其中流量特征能够刻画网络流量的多方面特点,XGBoost模型用于对网络流量进行分类。流量监控包括两步:
1)计算训练数据的九种流量特征,将这些指标作为特征输入XGBoost模型进行训练,得到流量监控模型。
流量特征为基于攻击特性的特征、基于攻击效应的特征和端口分布特征三类共九种。第一类基于攻击特性的特征包括UDP流量对带宽的平均值、UDP流量的变异系数、UDP包的平均大小、以及UDP包率的信息熵,这些特征能够有效刻画慢速DoS攻击发生时UDP攻击流量的周期性、突发性特征。假设滑动窗口中有样本{rw1,rw2,…,rwn},rwi表示滑动窗口中第i个样本集,rwi中包含的信息有:通过交换机的TCP流量速率rwi_tb,TCP包速率rwi_tp,UDP流量速率rwi_ub,UDP包速率rwi_up。第一类特征的计算方式分别如公式(1)至(4)所示,
Figure BDA0003896853530000031
Figure BDA0003896853530000032
Figure BDA0003896853530000033
Figure BDA0003896853530000034
其中bandwith表示瓶颈链路的带宽,公式(4)中的P(x)表示x的概率质量函数,b是对数的基数,通常设置为2。
第二类基于攻击效应的特征包括TCP流量的变异系数、TCP占总流量的平均百分比、以及TCP包率的信息熵,这些特征能够有效刻画在慢速DoS攻击发生时合法的TCP流量的速率降低、带宽占比减少等变化,他们的计算方式分别如(5)至(7)所示。
Figure BDA0003896853530000041
Figure BDA0003896853530000042
Figure BDA0003896853530000043
第三类端口分布特征包括端口净值系数均值和端口数据包净值系数均值,这类特征使用步骤2中的端口数据计算得到,能够有效刻画慢速DoS攻击发生时单个交换机的端口数据分布。令vin表示端口流量流入速度,vout表示端口流量流出速度,vpin表示端口包流入速度,vpout表示端口包流出速度,那么滑动窗口中的端口净值系数为{PNF1,PNF2,…,PNFn},其中PNFi表示滑动窗口中第i个样本rwi的端口净值系数,滑动窗口中的端口数据包净值系数为{PPNF1,PPNF2,…,PPNFn},其中PPNFi表示滑动窗口中第i个样本rwi的端口数据包净值系数,其计算方式为
Figure BDA0003896853530000044
则第三类特征的计算方式如(8)、(9)所示。
Figure BDA0003896853530000045
Figure BDA0003896853530000046
计算训练数据的上述九维特征,并按照有无慢速DoS攻击给每个滑动窗口贴上标签,标签为“1”则表示该滑动窗口有慢速DoS攻击,标签为“0”则表示该滑动窗口无慢速DoS攻击。将特征和标签共同输入到XGBoost分类模型中,训练得到流量监控模型。为了减少所选九维特征的冗余度,降低学习任务的复杂度,在训练流量监控模型时使用交叉验证的递归特征消除法来寻找最适用的特征和特征维度。
2)根据实时采集的测试数据计算九种流量特征,输入流量监控模型进行判断,若输出的监控结果为“1”则表示有慢速DoS攻击,若监控结果为“0”则表示无慢速DoS攻击。
4.攻击缓解。攻击缓解基于UDP流量系数和软件定义网络实现,UDP流量系数包括UDP流的变异系数和自相关系数。攻击缓解包括三步:
1)方案以滑动窗口为单位,计算训练数据每个滑动窗口中每个UDP流的变异系数和自相关系数,根据有无慢速DoS攻击提取出合适的变异系数阈值和自相关系数阈值,用户根据不同准确性要求自定义这两个阈值,但需要保证大部分滑动窗口的合法UDP流的变异系数小于变异系数阈值,且大部分滑动窗口的合法UDP流的自相关系数小于自相关系数阈值。
2)方案计算测试数据中单个滑动窗口下,每个UDP流的变异系数和自相关系数。UDP流的变异系数可以用来量化突发性,计算方式同公式(2)。UDP流的自相关系数用来刻画UDP流的周期性,该自相关系数具体为滑动窗口内UDP流量速率1-6个滞后期的自相关系数最大值。计算1-6个滞后期的自相关系数意味着评估UDP流量是否存在0.5到3秒(RI×滞后期个数)的周期。若该UDP流的变异系数小于等于变异系数阈值,且自相关系数小于等于自相关系数阈值,则该UDP流不是攻击流,否则提取该UDP流的源IP字段,将该IP字段放入黑名单中。
3)随滑动窗口的更新重复执行2),直到出现重复被放入黑名单的IP字段,方案认为该IP字段即为攻击者的地址。控制器下发流规则丢弃来自该地址的流量,并从黑名单中移出该IP字段的记录。用户可定义该流规则的过期时间,默认为未收到来自该地址的流量的4秒后过期。
有益效果
基于APTS的慢速DoS攻击实时缓解方案具有低时间和空间复杂度,能在网络中准确且快速识别出慢速DoS攻击。同时,方案能在识别到慢速DoS攻击时快速定位到攻击者的地址,并将其加入到流规则中,完成缓解。方案串行化排查的方式能够确保尽可能低的假阳性。另外,方案在运行时占用的系统内存开销和计算资源较少,在软件定义网络中部署十分容易。
附图说明
图1为软件定义网络中发生慢速DoS攻击的网络流量图,包括TCP流量与UDP流量。
图2为发生慢速DoS攻击时和未发生慢速DoS攻击时的端口净值系数分布比较图。
图3为慢速DoS攻击的UDP流与其他合法流量的变异系数和自相关系数的比较图。
图4为一种基于APTS的慢速DoS攻击实时缓解方案部署在软件定义网络中的框架图。
图5为一种基于APTS的慢速DoS攻击实时缓解方案的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图5所示,一种基于APTS的慢速DoS攻击实时缓解方案的流程主要包括四个步骤:数据采集、端口监控、流量监控以及攻击缓解。
数据采集包括训练数据采集和测试数据采集两部分,两个部分都需要采集端口数据和流量数据,包括交换机端口流量流入速度、流出速度,以及流经交换机的TCP流量和UDP流量。默认采集间隔为0.5秒,采集基于滑动窗口实现,滑动窗口长度为10秒,滑动步长为2秒。训练数据应包括有慢速DoS攻击的端口和流量数据,测试数据为按照滑动窗口实时采集的端口和流量数据。
端口监控基于端口净值系数实现,端口净值系数能衡量单个交换机流入、流出数据的平衡性,初步检测流经交换机数据的正常与否。方案首先根据训练数据计算端口净值系数,得到端口净值系数阈值及端口净值系数分布危险阈值。计算单个滑动窗口内测试数据的端口净值系数,将其与端口净值系数阈值进行比较,若超出阈值的数量占比,大于等于端口净值系数分布危险阈值,那么端口监控结果为异常,进行下一步流量监控,否则端口监控结果为正常,使用该窗口的端口数据更新端口净值系数阈值,并重复端口监控步骤。
流量监控基于流量特征和XGBoost模型实现,其中流量特征为基于攻击特性的特征、基于攻击效应的特征和端口分布特征三类共九种。方案首先计算训练数据每个滑动窗口的流量特征,并给滑动窗口贴上标签,将流量特征和标签一起送入XGBoost分类模型中进行训练,得到流量监控模型。流量监控模型根据实时采集的测试数据的流量特征进行分类,识别网络中的慢速DoS攻击。当监控结果显示为异常时,进行下一步攻击缓解,当监控结果显示为正常时,返回端口监控步骤。
攻击缓解基于UDP流量系数和软件定义网络架构实现,UDP流量系数包括UDP流的变异系数和自相关系数,两个系数分别能刻画攻击流的突发性和周期性特征。方案首先根据训练数据计算每个UDP流的变异系数的自相关系数,根据有无慢速DoS攻击提取合适的变异系数阈值和自相关系数阈值。其次方案计算测试数据中每个UDP流的变异系数和自相关系数,将其与各自的阈值比较,若两个系数都在阈值范围内则该UDP流不是攻击流,否则提取该UDP流的源IP字段并将其添加到黑名单中,根据滑动窗口的更新重复进行上述计算与判断,若出现重复被放入黑名单的IP字段则认为该IP字段即为攻击者的地址,控制器下发流规则丢弃来自该地址的流量,并从黑名单中移除该IP地址,若在一定时间阈值内没有出现重复被放入黑名单的IP字段,则返回执行流量监控步骤,用户可自定义该时间阈值。
图1为软件定义网络中发生慢速DoS攻击的网络流量图,虚线前为未发生慢速DoS攻击时的TCP和UDP流量,虚线后为发生慢速DoS攻击时的TCP和UDP流量。在慢速DoS攻击发生前,TCP和UDP流量波动平缓,且TCP流量占据了带宽的主要部分,UDP流量占据了带宽的小部分。在慢速DoS攻击发生时,攻击者发送周期性的高速UDP数据,UDP流量急速上升,且出现大幅度波动,TCP流量剧烈波动并减少,严重影响了服务质量。
图2为发生慢速DoS攻击时和未发生慢速DoS攻击时的端口净值系数分布比较图,在无慢速DoS攻击时(图2(b)),端口净值系数分布呈现近似正态分布,且分布范围较小,在慢速DoS攻击发生时(图2(a)),端口净值系数分布的分布范围更广且与正态分布相差较远。
图3为慢速DoS攻击的UDP流与其他合法流量的变异系数和自相关系数的比较图,从图中可以看出合法UDP流的大部分滑动窗口的变异系数和自相关系数小于各自的阈值,而慢速DoS攻击流的大部分滑动窗口的变异系数和自相关系数都大于各自的阈值,仅有少部分窗口的两个系数小于各自的阈值。慢速DoS攻击流与其他合法UDP流的区分明显。
图4为一种基于APTS的慢速DoS攻击实时缓解方案部署在软件定义网络中的框架图,从图中可以看出,方案利用端口监控和流量监控两个模块监控实时采集的交换机数据,以快速准确地识别慢速DoS攻击流量,当发现有慢速DoS攻击时,方案通过攻击缓解步骤,准确定位攻击者的地址,将其放入黑名单中,并且下发流规则缓解攻击。

Claims (5)

1.一种基于APTS的慢速DoS攻击实时缓解方案,其特征在于,APTS的全称是AbnormalPort and Traffic State,即异常端口和流量状态,所述实时缓解方案包括以下几个步骤:
步骤1、数据采集:使用软件定义网络的控制器获取流经交换机的数据,采集的数据包括交换机端口流量流入速度、流出速度,以及流经交换机的TCP流量和UDP流量,采样时间间隔为0.5秒,即方案每0.5秒向交换机发起获取数据的请求,数据采集基于滑动窗口实现,窗口大小为10秒,窗口步长为2秒,这些数据又分为训练数据和测试数据,其中训练数据是一段时间内的上述数据,且训练数据中至少有一个时间段存在慢速DoS攻击,测试数据为实时采集的上述数据;
步骤2、端口监控:端口监控基于端口净值系数实现,端口监控包括三个步骤:
步骤2.1、根据步骤1中得到的训练数据中端口流量流入速度、流出速度计算每个采样时刻的端口净值系数,令PNF表示端口净值系数,vin表示端口流量流入速度,vout表示端口流量流出速度,端口净值系数的计算公式可表示为:
Figure FDA0003896853520000011
步骤2.2、根据步骤2.1中得到的训练数据的端口净值系数计算端口净值系数阈值和端口净值系数分布危险阈值;
步骤2.3、根据步骤1中实时采集的测试数据中的端口数据,按照步骤2.1中的方法计算端口净值系数,根据步骤2.2中得到的端口净值系数阈值和端口净值系数分布危险阈值,判断端口监控的结果是否正常;
步骤3、流量监控:根据步骤2得到的监控结果执行流量监控,当端口监控结果为正常时,继续重复步骤2.3,当端口监控结果为异常时,执行流量监控,流量监控基于流量特征和XGBoost模型实现,其中流量特征为基于攻击特性的特征、基于攻击效应的特征和端口分布特征三类共九种,流量监控包括两个步骤:
步骤3.1、计算步骤1中得到的训练数据的九种流量特征,将这些指标作为特征输入XGBoost模型进行训练,得到流量监控模型;
步骤3.2、根据步骤1中实时采集的测试数据计算九种流量特征,输入流量监控模型进行判断,得到监控结果;
步骤4、攻击缓解:根据步骤3得到的监控结果部署缓解策略,当监控结果为正常时,返回步骤2.3并重复执行,当监控结果为异常时,执行缓解策略,缓解策略基于UDP流量系数和软件定义网络实现,UDP流量系数包括UDP流的变异系数和自相关系数,缓解策略包括三个步骤:
步骤4.1、根据步骤1中采集的训练数据计算每个UDP流的变异系数和自相关系数,根据有无慢速DoS攻击提取出变异系数阈值和自相关系数阈值,保证大部分滑动窗口的合法UDP流的变异系数小于变异系数阈值,且大部分滑动窗口的合法UDP流的自相关系数小于自相关系数阈值;
步骤4.2、根据步骤1中实时采集的测试数据计算每个UDP流的变异系数和自相关系数,若变异系数和自相关系数都在阈值范围内,则该UDP流不是攻击流,否则提取该UDP流的IP字段,将该IP字段放入黑名单中;
步骤4.3、重复执行步骤4.2直到出现重复被放入黑名单的源IP字段,该IP字段即为攻击者的地址,控制器下发流规则丢弃来自该地址的流量,并从黑名单中移出该IP字段,返回步骤2.3并重复执行,若设定时间阈值内没有出现重复被放入黑名单的IP字段,则返回步骤3.2并重复执行。
2.根据权利要求1中所述的实时缓解方案,其特征在于,步骤2.2中计算端口净值系数阈值和端口净值系数分布危险阈值,令TPNF表示端口净值系数阈值,k表示阈值系数,为可自定义的常数,μ为训练数据中无慢速DoS攻击部分的端口净值系数的均值,σ为训练数据中无慢速DoS攻击部分的端口净值系数的标准差,则端口净值系数阈值计算公式可表示为:TPNF=μ±kσ,阈值系数k和端口净值系数分布危险阈值DHTPNF可自定义,默认k=3.0,DHTPNF=5%,用户可根据对误报率、漏报率、响应速度的具体要求自定义阈值。
3.根据权利要求1中所述的实时缓解方案,其特征在于,步骤2.3中根据端口净值系数判断端口监控结果,当滑动窗口内端口净值系数超过端口净值系数阈值TPNF的数量占比,大于等于端口净值系数分布危险阈值DHTPNF,那么端口监控结果为异常,否则端口监控结果为正常,若端口监控结果正常,则使用该窗口的端口数据更新端口净值系数阈值TPNF。
4.根据权利要求1中所述的实时缓解方案,其特征在于,步骤3中流量特征为基于攻击特性的特征、基于攻击效应的特征和端口特征三类共九种,基于攻击特性的特征包括UDP流量对带宽的平均值、UDP流量的变异系数、UDP包的平均大小、以及UDP包率的信息熵,基于攻击效应的特征包括TCP流量的变异系数、TCP占总流量的平均百分比、以及TCP包率的信息熵,端口分布特征包括端口净值系数和端口数据包净值系数。
5.根据权利要求1中所述的实时缓解方案,其特征在于,步骤3.2中将流量特征输入流量监控模型得到监控结果,流量监控模型对输入进行分类,若分类结果为正常,则流量监控结果为正常,若分类结果为异常,则流量监控结果为异常。
CN202211277245.XA 2022-10-19 2022-10-19 一种基于APTS的慢速DoS攻击实时缓解方案 Active CN115865401B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211277245.XA CN115865401B (zh) 2022-10-19 2022-10-19 一种基于APTS的慢速DoS攻击实时缓解方案

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211277245.XA CN115865401B (zh) 2022-10-19 2022-10-19 一种基于APTS的慢速DoS攻击实时缓解方案

Publications (2)

Publication Number Publication Date
CN115865401A true CN115865401A (zh) 2023-03-28
CN115865401B CN115865401B (zh) 2024-04-19

Family

ID=85661635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211277245.XA Active CN115865401B (zh) 2022-10-19 2022-10-19 一种基于APTS的慢速DoS攻击实时缓解方案

Country Status (1)

Country Link
CN (1) CN115865401B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN114039780A (zh) * 2021-11-10 2022-02-11 湖南大学 基于流量系数的低速DoS攻击实时响应方案
US20220303290A1 (en) * 2021-03-22 2022-09-22 Verizon Patent And Licensing Inc. Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
US20220303290A1 (en) * 2021-03-22 2022-09-22 Verizon Patent And Licensing Inc. Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking
CN114039780A (zh) * 2021-11-10 2022-02-11 湖南大学 基于流量系数的低速DoS攻击实时响应方案

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DAN TANG等: "Performance and Features: Mitigating the Low-Rate TCP-Targeted DoS Attack via SDN", 《 IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS》, vol. 40, no. 1, 8 November 2021 (2021-11-08), pages 428 - 444, XP011894553, DOI: 10.1109/JSAC.2021.3126053 *
KHAMAISEH S等: "Defending openflow switches against saturation attacks", 《2020 IEEE 44TH ANNUAL COMPUTERS, SOFTWARE, AND APPLICATIONS CONFERENCE (COMPSAC)》, 31 December 2020 (2020-12-31), pages 851 - 860 *
张阳;姚原岗;: "基于Xgboost算法的网络入侵检测研究", 信息网络安全, no. 09, 10 September 2018 (2018-09-10) *

Also Published As

Publication number Publication date
CN115865401B (zh) 2024-04-19

Similar Documents

Publication Publication Date Title
CN112788062B (zh) SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN104506385B (zh) 一种软件定义网络安全态势评估方法
CN106230819B (zh) 一种基于流采样的DDoS检测方法
CN109391599A (zh) 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
CN111064678A (zh) 基于轻量级卷积神经网络的网络流量分类方法
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
CN114021135B (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN109347853B (zh) 基于深度包解析的面向综合电子系统的异常检测方法
Watson A comparison of header and deep packet features when detecting network intrusions
CN114513340B (zh) 一种软件定义网络中的两级DDoS攻击检测与防御方法
CN104734916A (zh) 一种基于tcp协议的高效多级异常流量检测方法
CN112788058B (zh) 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN113489711B (zh) DDoS攻击的检测方法、系统、电子设备和存储介质
CN111611280A (zh) 一种基于cnn和sae的加密流量识别方法
CN105187437A (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN106411829A (zh) 基于小波能量谱和组合神经网络的LDoS攻击检测方法
TW201707417A (zh) 適用於異質網路架構的異常預測方法及系統
WO2022139642A1 (en) Device, method, and system for supporting botnet traffic detection
CN115842667A (zh) 一种基于混合策略的物联网DDoS检测系统
Moreira et al. Anomaly detection in smart environments using AI over fog and cloud computing
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
US11374838B1 (en) Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning
CN115865401B (zh) 一种基于APTS的慢速DoS攻击实时缓解方案
CN109831428B (zh) Sdn网络攻击检测及防御的方法和装置
CN113726724B (zh) 一种用于家庭网络环境安全风险评估和检测的方法和网关

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant