CN112202791A - 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 - Google Patents

一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 Download PDF

Info

Publication number
CN112202791A
CN112202791A CN202011068857.9A CN202011068857A CN112202791A CN 112202791 A CN112202791 A CN 112202791A CN 202011068857 A CN202011068857 A CN 202011068857A CN 112202791 A CN112202791 A CN 112202791A
Authority
CN
China
Prior art keywords
attack
detection
network
gbdt
window
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011068857.9A
Other languages
English (en)
Other versions
CN112202791B (zh
Inventor
汤澹
严裕东
王曦茵
陈静文
张冬朔
解子朝
王思苑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202011068857.9A priority Critical patent/CN112202791B/zh
Publication of CN112202791A publication Critical patent/CN112202791A/zh
Application granted granted Critical
Publication of CN112202791B publication Critical patent/CN112202791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于P‑F方法的软件定义网络(SDN)慢速拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取SDN交换机中的流表信息,基于OpenFlow协议,对单位时间窗口内的流量条目及其数据进行采样统计;提取网络特征值,并依据网络协议种类,将所提取的特征值分为攻击效果P与攻击特征F两组;根据P与F两组特征值,利用梯度提升树‑逻辑回归(GBDT‑LR)与双滑片‑K峰值(DSS‑KB)算法分别构建基于P与F的检测模型;根据待测时间窗口内的网络数据,基于两种检测模型检测结论的综合分析,判定待检测时间窗口内是否同时出现网络形态异常和LDoS攻击流,从而检测该窗口内是否发生LDoS攻击。本发明提出的P‑F方法对于LDoS攻击检测率高,误报、漏报率低,自适应性强,且该方法能运行在SDN控制器上,针对SDN环境中的LDoS攻击,能够实现精准、实时的检测。

Description

一种基于P-F的软件定义网络慢速拒绝服务攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于P-F的软件定义网络(SDN)慢速拒绝服务(LDoS)攻击检测方法。
背景技术
LDoS攻击的平均攻击速率低于普通拒绝服务(DoS)与分布式拒绝服务(DDoS)攻击,且LDoS攻击的形态具有周期性、突发性等特点,隐蔽性强,传统检测方法难以识别,现存针对LDoS攻击的检测方法普遍存在检测率不高、自适应性较弱和难以实际部署等问题。
作为一种新型的网络体系结构,软件定义网络中的数据和控制平面互相分离、解耦,且具有良好的可编程性,为部署LDoS攻击的检测方法提供了思路;同时,SDN的集中控制模式使得其成为LDoS攻击的潜在对象。如果控制器受到了LDoS攻击的影响,则会影响控制器对于整个SDN网络的管理,甚至造成全网拒绝服务。
本发明针对SDN体系结构所面临的LDoS攻击安全隐患,以及传统LDoS攻击检测算法检测率不高、自适应性不强、难以实际部署等问题,基于保护SDN安全的目标,提出了一种基于P-F方法的软件定义网络LDoS攻击检测方法。该方法通过SDN控制器轮询,提取TCP、UDP流量的特征值作为攻击检测指标,并应用梯度提升树-逻辑回归(GBDT-LR)算法和基于突发信号检测的双滑片-K峰值(DSS-KB)算法构建检测模型,分别基于正常网络流量形态受攻击后的变化所反映的攻击效果(P),以及LDoS流自身的攻击特征(F)进行检测。最后,为了尽可能地降低检测误差,将上述两种方法结合,并建立了判定准则。该方法能够实际部署在控制器上,实现SDN网络对LDoS攻击的实时检测,且误报率和漏报率低,能适应多种网络状态。因此该检测方法可用于SDN网络,以准确检测LDoS攻击。
发明内容
针对SDN体系结构所面临的LDoS攻击安全隐患,以及传统LDoS攻击检测方法普遍存在检测准确度不高,自适应性弱、难以实际部署等问题,提出了一种SDN环境下基于攻击效果与攻击特征的慢速拒绝服务攻击检测方法。该LDoS攻击检测方法的检测精度较高,误报率和漏报率低,算法开销小,且能作为用户程序部署在SDN控制器上,因此该检测方法可普适于准确、实时检测SDN中的LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括四个步骤:网络数据采样、特征提取分类、建立检测模型、攻击判定检测。
1.网络数据采样。基于软件定义网络所采用的OpenFlow协议,控制器以一定频率对网络拓扑中关键交换机的流表进行轮询,实时获取软件定义交换机中的流表信息,并进一步解析流表字段,对单位时间窗口内所有流经交换机的流量条目及其数据进行采样统计,形成检测攻击的原始数据。
2.特征提取分类。根据获取的网络原始流表数据计算特征值,依据网络协议种类的不同,将特征值分为P与F两组,具体是:1)单位时间窗口内的TCP流量占比、方差、标准差与包平均大小4个特征,作为反映攻击效果的P组特征值,此类特征在攻击发生时会出现明显的异常,能反映正常网络受到慢速拒绝服务攻击的不良效果;2)单位时间窗口内的UDP流量序列作为反映攻击特征的F组特征值,该特征值能反映慢速拒绝服务攻击的周期性流量形态。
3.建立检测模型。根据提取的P与F两组特征值,分别建立起两个不同的检测模型,实现基于攻击效果与基于攻击特征的检测,具体是:
1)对于P组的4维TCP特征值,使用梯度提升树(GBDT)与逻辑回归(LR)结合的算法对特征值进行训练,得到检测模型GBDT-LR。
GBDT基于CART回归树解决分类问题。若xi为样本特征向量,yi为样本的标签值,则CART采用启发方法,不断选取第i个变量的第j维特征值
Figure BDA0002705298390000021
作为划分变量与划分点,直到找到一组
Figure BDA0002705298390000022
满足总误差最小:
Figure BDA0002705298390000023
其中,R表示依据样本xn的第j维度按照划分点
Figure BDA0002705298390000024
的条件被划分到的子树空间,c则表示样本在划分空间R上的输出均值。
GBDT算法通过建立多棵CART决策树形成强分类器,后续建立的每棵树都在前一棵树的基础上不断拟合。若第i次迭代决策树为Ti,GBDT模型为fi(x),则存在迭代关系:
fi(x)=fi-1(x)+Ti(x)
第i次的迭代的GBDT模型与实际的误差可以表示为:
ri=y-fi(x)
在迭代的过程中GBDT算法采用平方函数评估模型与实际值的误差,可以表示为:
L(y,fi-1(x)+Ti(x))=(ri-fi(x))2
GBDT算法利用最速下降近似法则,以损失函数负方向梯度,作为GBDT算法残差近似估计。损失函数的负梯度所表示的迭代方向,可以表示为如下关于损失函数的偏导数:
Figure BDA0002705298390000031
最终,GBDT模型对于样本xi的预测结果fi(x)的计算可以表示为:
Figure BDA0002705298390000032
当GBDT与LR模型相结合时,首先将GBDT对样本的预测结果转化为One-Hot编码,即将每棵决策树的预测结果当做离散特征,基于LR算法进行特征的再学习。若GBDT中的每一棵树的离散One-Hot特征权值表示为向量W,则LR模型可以表示为:
Figure BDA0002705298390000033
z为权值与各特征值组合的结果。LR算法采用Sigmoid函数计算其分类结果h(z):
Figure BDA0002705298390000034
h(z)越接近1,待测窗口包含LDoS攻击的可能性越大。本发明中攻击阈值设定为0.5。若GBDT-LR的输出超过阈值,则认为在“攻击效果”层面,网络发生了LDoS攻击。
2)对于F组特征值,对待检测时间窗口中的UDP序列采用双滑片-K峰值(DSS-KB)算法,设定相关检测阈值,以此判断慢速拒绝服务攻击突发流的存在。
在待检测UDP聚合流量的时间序列f(x)上,依据控制器轮询频率和采样间隔,构造两个相邻的检测片A和B,其中,检测片的长度与控制器的轮询频率相同,设为L。
计算窗口内网络UDP流量的能量值,首先需要计算检测片内流经的UDP流量总和:
Figure BDA0002705298390000035
“能量”可以由检测片内的UDP流量速度表示。根据检测片长度和所包含的UDP流量,可计算该检测片内的UDP流速,计算方法如下:
Figure BDA0002705298390000036
之后,计算窗口A与窗口B的能量的比值,计算方法如下:
Figure BDA0002705298390000041
接着,为上述的UDP能量比值设定一个阈值th。对于待测窗口,检测片A和B在其包含的UDP时间序列上不断滑动,计算所有相邻检测片的UDP能量比值,能量的比值越高,则越有可能存在一个突发的攻击流,算法记录下能量比值超过阈值th的次数。
最后,再设定一个“突发数量阈值”K。若待测窗口中相邻检测片UDP能量比值超过th的次数超过K次,则DSS-KB算法认为存在LDoS攻击流,在“攻击特征”层面上检测出LDoS攻击。
4.判定检测。对于待检测窗口,提取其P组与F组特征值,分别输入GBDT-LR模型与DSS-KB算法进行检测,得到“攻击效果”与“攻击特征”两个层面上的检测结果。
当且仅当GBDT-LR模型与DSS-KB算法均认为发生攻击,即正常流量出现异常,且存在LDoS攻击流时,该检测窗口被认为存在LDoS攻击。
有益效果
该LDoS攻击检测方法能结合SDN与OpenFlow协议并部署在控制器上,实现LDoS攻击的实时检测。检测的方法较为全面,一方面能够检测出LDoS攻击带来的不良效果,另一方面能够针对攻击的本质特征,判断LDoS攻击流的存在性,检测率高,误报率和漏报率较低。因此,该检测方法可用于SDN网络环境,实现LDoS攻击的精准、实时检测。
附图说明
图1为正常网络与发生LDoS攻击的网络中特征值的对比示意图。在网络发生LDoS攻击时,单位时间窗口内的TCP流量占比、方差、标准差与包平均大小4项特征值均会发生显著变化。
图2为LDoS攻击的示意图。LDoS攻击有三个参数,分别是攻击周期T,突发长度t和攻击强度R。LDoS攻击具有周期突发的特点,通过提取这种特殊的通信特征,可以区分正常的网络与受到LDoS攻击的网络,更可以直接说明LDoS攻击流的存在性。
图3为GBDT-LR模型的示意图。GBDT算法训练模型分为两步,首先采用GBDT算法构建决策树集成学习模型,再将预测的结果转换编码,用LR算法进行特征的再学习。
图4为DSS-KB算法的示意图。DSS-KB算法依据一定的采样间隔,将长度较长的流量时间序列划分为长度较短的检测片,通过比对检测片之间的流量水平差距,确认网络中是否有LDoS攻击的周期突发流量。
图5为一种基于P-F的软件定义网络慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图5所示,该慢速拒绝服务攻击检测方法主要包括四个步骤:网络数据采样、特征提取分类、建立检测模型、攻击判定检测。
图1为正常网络与发生LDoS攻击的网络中特征值的对比示意图。在网络发生LDoS攻击时,单位时间窗口内的正常TCP流量占比、方差、标准差与包平均大小4项特征值均会发生显著变化。通过提取并比对这些特征值,可以确认LDoS攻击是否产生攻击效果,即实现基于“攻击效果”的检测。
图2为LDoS攻击的示意图。LDoS攻击具有周期突发的特点,因此,LDoS攻击流可以看做一种特殊的突发信号。通过OpenFlow协议流表的单独统计功能,提取并比对隐藏在背景流量中的突发信号及其特征,可以确认LDoS攻击流的存在性,即实现基于“攻击特征”的检测。
图3为GBDT-LR模型的示意图。GBDT算法首先设定弱分类器数量、学习率、迭代次数等参数,基于训练集及其标签为特征构建检测模型;接着,GBDT算法每棵决策树的输出作为一个离散特征,将样本预测的结果转化为One-Hot编码,并继续使用LR算法进行特征的再学习,提升自适应性,减缓过拟合现象,最终形成GBDT-LR模型。
图4为DSS-KB算法的示意图。DSS-KB算法首先在流量时间序列上构造两个相邻、长度较短的检测片,计算相邻检测片所包含的流量序列中流量能量大小的比值。接着,对于待检测窗口,检测片不断滑动,直到窗口内的全部相邻检测片流量能量大小比值计算完毕。最后,将计算结果与所设定的能量比值阈值、突发数量阈值比对,判断待测窗口中是否包含LDoS攻击流。

Claims (9)

1.一种基于P-F的软件定义网络慢速拒绝服务攻击检测方法,其特征在于,所述慢速拒绝服务攻击的检测方法包括以下几个步骤:
步骤1、网络数据采样:实时获取软件定义网络交换机中的流表信息,对单位时间窗口内所有流经交换机的流量条目及其数据进行采样统计,作为检测攻击的原始数据;
步骤2、特征提取分类:分析网络原始数据并从中提取网络特征值,并依据被提取特征值的网络协议种类,将所提取的特征值分为攻击效果P与攻击特征F两组;
步骤3、建立检测模型:基于P与F两组特征值,分别建立两个检测模型,实现基于攻击效果P与攻击特征F两方面的慢速拒绝服务攻击检测;
步骤4、攻击判定检测:根据建立的两种检测模型,对待检测时间窗口内网络数据统计信息进行判定检测,若待测时间窗口的网络数据同时符合P与F两种检测模型的检测标准,则判定该时间窗口内网络发生了慢速拒绝服务攻击。
2.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤1中的网络数据采样基于软件定义网络所采用的OpenFlow协议实现,控制器以一定频率轮询网络拓扑中各交换机的流表,并解析每条流表项及其字段,形成原始网络流量数据。
3.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中根据步骤1获取的原始网络流量数据,对其中的TCP与UDP流量分别提取特征值,具体可分为两个步骤:
步骤2.1、提取单位时间窗口内的TCP流量占比、方差、标准差与包平均大小4个特征,作为攻击效果的P组特征值,此类特征能反映正常网络受到慢速拒绝服务攻击的不良效果,在攻击发生时会出现明显的异常;
步骤2.2、提取单位时间窗口内的UDP流量序列作为攻击特征的F组特征值,该特征值能反映慢速拒绝服务攻击的周期性流量形态。
4.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3中根据步骤2中提取的P与F两组特征值,分别建立起两个不同的检测模型,具体可分为两个步骤:
步骤3.1、对于P组特征值,使用梯度提升树GBDT与逻辑回归LR结合的算法对特征值进行训练,得到检测模型GBDT-LR;
步骤3.2、对于F组特征值所包含的待检测时间窗口中的UDP序列,采用双滑片-K峰值DSS-KB算法,并设定算法检测阈值,以此判断慢速拒绝服务攻击突发流的存在性。
5.根据权利要求4中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.1中的GBDT-LR检测模型的训练方式为:首先通过GBDT集成学习算法,基于回归决策树CART,将多个弱分类器组合、迭代,形成强分类器,再将GBDT模型对样本的预测结果转为One-Hot编码,最后将One-Hot编码和样本标签输入LR模型进行特征再学习,提高模型检测攻击的自适应性。
6.根据权利要求4中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.1中的GBDT-LR模型对于攻击的判定方法为:先提取并向GBDT-LR模型输入待检测窗口的4种网络流量特征,GBDT-LR模型将GBDT算法的预测转为One-Hot编码后,再输入LR算法,最后输出逻辑回归的二分类结果,并与阈值比较,判断该检测窗口中是否存在慢速拒绝服务攻击。
7.根据权利要求4中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.2中所述的DSS-KB算法检测与判定慢速拒绝服务攻击的方式为:首先根据权利要求2中的控制器采样轮询频率,将待测窗口中的UDP流量序列划分检测片,使得检测片的长度与控制器的轮询周期保持一致,接着计算该时间窗口所含UDP流量序列中,每两个相邻检测片之间的UDP能量比值,并为该比值设定一个检测阈值,若待检测网络窗口内,所有相邻检测片的UDP能量比值高于所设定阈值的情况超过一定次数,则判定该窗口内存在慢速拒绝服务攻击。
8.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤4中将步骤3中的“基于攻击效果”与“基于攻击特征”两方面的检测结果综合,得到对于待检测窗口中是否发生慢速拒绝服务攻击的最终判断。
9.根据权利要求8中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤4中,当且仅当基于攻击效果的检测与基于攻击特征的检测两种方法同时认为存在攻击时,该窗口被认为存在慢速拒绝服务攻击。
CN202011068857.9A 2020-09-28 2020-09-28 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 Active CN112202791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011068857.9A CN112202791B (zh) 2020-09-28 2020-09-28 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011068857.9A CN112202791B (zh) 2020-09-28 2020-09-28 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法

Publications (2)

Publication Number Publication Date
CN112202791A true CN112202791A (zh) 2021-01-08
CN112202791B CN112202791B (zh) 2021-07-27

Family

ID=74014142

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011068857.9A Active CN112202791B (zh) 2020-09-28 2020-09-28 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法

Country Status (1)

Country Link
CN (1) CN112202791B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN112804250A (zh) * 2021-01-29 2021-05-14 湖南大学 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案
CN114021135A (zh) * 2021-11-15 2022-02-08 湖南大学 一种基于R-SAX的LDoS攻击检测与防御方法
CN114024762A (zh) * 2021-11-11 2022-02-08 湖南大学 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法
CN115664752A (zh) * 2022-10-19 2023-01-31 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法
CN115150159B (zh) * 2022-06-30 2023-11-10 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
CN105100024A (zh) * 2014-05-21 2015-11-25 腾讯科技(深圳)有限公司 Udp数据包安全检测方法及装置
CN106850327A (zh) * 2015-12-07 2017-06-13 中国电信股份有限公司 用于测试固定宽带接入速率的方法、装置和***
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测***
US10148680B1 (en) * 2015-06-15 2018-12-04 ThetaRay Ltd. System and method for anomaly detection in dynamically evolving data using hybrid decomposition
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN109729090A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测***
CN110719272A (zh) * 2019-09-27 2020-01-21 湖南大学 一种基于lr算法的慢速拒绝服务攻击检测方法
CN111600876A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于mfopa算法的慢速拒绝服务攻击检测方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
CN105100024A (zh) * 2014-05-21 2015-11-25 腾讯科技(深圳)有限公司 Udp数据包安全检测方法及装置
US10148680B1 (en) * 2015-06-15 2018-12-04 ThetaRay Ltd. System and method for anomaly detection in dynamically evolving data using hybrid decomposition
CN106850327A (zh) * 2015-12-07 2017-06-13 中国电信股份有限公司 用于测试固定宽带接入速率的方法、装置和***
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测***
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN109729090A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测***
CN110719272A (zh) * 2019-09-27 2020-01-21 湖南大学 一种基于lr算法的慢速拒绝服务攻击检测方法
CN111600876A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于mfopa算法的慢速拒绝服务攻击检测方法

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
DAN TANG1 · LIU TANG1 · WEI SHI ,SIJIA , QIUWEI YANG: "《MF-CNN: a New Approach for LDoS Attack Detection Based on Multi-feature Fusion and CNN》", 《CHECK FOR UPDATES》 *
GAGANDEEP KAUR,VIKAS SAXENA: "《Detection of TCP targeted high bandwidth attacks using self-similarity》", 《JOURNAL OF KING SAUD UNIVERSITY – COMPUTER AND INFORMATION SCIENCES》 *
MAJD LATAH ,LEVENT TOKER: "《Artificial Intelligence Enabled Software Defined Networking A Comprehensive Overview》", 《ARXIV》 *
YUDONG YANG,DAN TANG,SIJIAZHAN,RUIDAI,JINGWENCHEN,NINGBOZHU: "《Low-Rate DoS Attack Detection Based on Improved Logistic Regression》", 《2019 IEEE 21ST INTERNATIONAL CONFERENCE ON HIGH PERFORMANCE COMPUTING AND COMMUNICATIONS》 *
吴志军, 张景安,岳猛, 张才峰: "《基于联合特征的LDoS攻击检测方法》", 《通信学报》 *
方玮: "《高级持续性威胁远控阶段异常通信的检测技术研究》", 《中国硕士学位论文全文数据库 信息技术辑》 *
李传煌 ,孙正君 ,袁小雍 ,李晓林 ,龚梁 ,王伟明: "《基于深度学习的实时 DDoS 攻击检测》", 《研究与开发》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788058A (zh) * 2021-01-28 2021-05-11 湖南大学 一种基于SDN控制器的LDoS攻击检测与缓解方案
CN112804250A (zh) * 2021-01-29 2021-05-14 湖南大学 基于集成学习和寻峰算法的LDoS攻击检测与缓解方案
CN112804250B (zh) * 2021-01-29 2022-05-13 湖南大学 基于集成学习和寻峰算法的LDoS攻击检测与缓解方法
CN114024762A (zh) * 2021-11-11 2022-02-08 湖南大学 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法
CN114021135A (zh) * 2021-11-15 2022-02-08 湖南大学 一种基于R-SAX的LDoS攻击检测与防御方法
CN114021135B (zh) * 2021-11-15 2024-06-14 湖南大学 一种基于R-SAX的LDoS攻击检测与防御方法
CN115150159B (zh) * 2022-06-30 2023-11-10 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质
CN115664752A (zh) * 2022-10-19 2023-01-31 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法
CN115664752B (zh) * 2022-10-19 2024-04-19 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

Also Published As

Publication number Publication date
CN112202791B (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
CN112202791B (zh) 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法
US11777957B2 (en) Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN109302378B (zh) 一种SDN网络DDoS攻击检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Loukas et al. Likelihood ratios and recurrent random neural networks in detection of denial of service attacks
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN105245503B (zh) 隐马尔可夫模型检测LDoS攻击方法
CN109729091A (zh) 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN111756719B (zh) SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN109067722B (zh) 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
CN112261000B (zh) 一种基于PSO-K算法的LDoS攻击检测方法
CN114021135B (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN112995202A (zh) 一种基于SDN的DDoS攻击检测方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN113556319B (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
CN112788062A (zh) SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及***
CN111598179A (zh) 电力监控***用户异常行为分析方法、存储介质和设备
CN110719272A (zh) 一种基于lr算法的慢速拒绝服务攻击检测方法
CN115622806B (zh) 一种基于bert-cgan的网络入侵检测方法
Thapngam et al. DDoS discrimination by linear discriminant analysis (LDA)
CN111444501B (zh) 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN113821793A (zh) 一种基于图卷积神经网络的多阶段攻击场景构建方法及***
CN116684877A (zh) 一种基于gyac-lstm的5g网络流量异常检测方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant