申请/专利权人：湖南大学

申请日：2022-10-19

公开（公告）日：2024-04-19

公开（公告）号：CN115865401B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.19#授权;2023.04.14#实质审查的生效;2023.03.28#公开

摘要：本发明公开了一种基于APTS的慢速DoS攻击实时缓解方案，属于计算机网络安全领域。其中所述方案包括：基于滑动窗口采集数据，计算端口净值系数，判断测试数据的端口净值系数是否在阈值范围内，得到端口监控结果，若结果为正常则继续端口监控，若为异常则进入流量监控。将测试数据的流量特征输入流量监控模型进行分类，得到流量监控结果，若结果为正常，则返回端口监控，若为异常，则计算每条UDP流的变异系数和自相关系数，将其与设定的阈值比较，若在阈值范围外则认定其为攻击流，加入黑名单。若出现重复放入黑名单的流，则下发流规则丢弃该流，并将其从黑名单中移除。本发明提出的实时缓解方案可以有效检测慢速DoS攻击并快速缓解攻击造成的影响。

主权项：1.一种基于APTS的慢速DoS攻击实时缓解方案，其特征在于，APTS的全称是AbnormalPortandTrafficState，即异常端口和流量状态，所述实时缓解方案包括以下几个步骤：步骤1、数据采集：使用软件定义网络的控制器获取流经交换机的数据，采集的数据包括交换机端口流量流入速度、流出速度，以及流经交换机的TCP流量和UDP流量，采样时间间隔为0.5秒，即方案每0.5秒向交换机发起获取数据的请求，数据采集基于滑动窗口实现，窗口大小为10秒，窗口步长为2秒，这些数据又分为训练数据和测试数据，其中训练数据是一段时间内的上述数据，且训练数据中至少有一个时间段存在慢速DoS攻击，测试数据为实时采集的上述数据；步骤2、端口监控：端口监控基于端口净值系数实现，端口监控包括三个步骤：步骤2.1、根据步骤1中得到的训练数据中端口流量流入速度、流出速度计算每个采样时刻的端口净值系数，令PNF表示端口净值系数，vin表示端口流量流入速度，vout表示端口流量流出速度，端口净值系数的计算公式可表示为：步骤2.2、根据步骤2.1中得到的训练数据的端口净值系数计算端口净值系数阈值和端口净值系数分布危险阈值；步骤2.3、根据步骤1中实时采集的测试数据中的端口数据，按照步骤2.1中的方法计算端口净值系数，根据步骤2.2中得到的端口净值系数阈值和端口净值系数分布危险阈值，判断端口监控的结果是否正常；步骤3、流量监控：根据步骤2得到的监控结果执行流量监控，当端口监控结果为正常时，继续重复步骤2.3，当端口监控结果为异常时，执行流量监控，流量监控基于流量特征和XGBoost模型实现，其中流量特征为基于攻击特性的特征、基于攻击效应的特征和端口分布特征三类共九种，流量监控包括两个步骤：步骤3.1、计算步骤1中得到的训练数据的九种流量特征，将这些指标作为特征输入XGBoost模型进行训练，得到流量监控模型；步骤3.2、根据步骤1中实时采集的测试数据计算九种流量特征，输入流量监控模型进行判断，得到监控结果；步骤4、攻击缓解：根据步骤3得到的监控结果部署缓解策略，当监控结果为正常时，返回步骤2.3并重复执行，当监控结果为异常时，执行缓解策略，缓解策略基于UDP流量系数和软件定义网络实现，UDP流量系数包括UDP流的变异系数和自相关系数，缓解策略包括三个步骤：步骤4.1、根据步骤1中采集的训练数据计算每个UDP流的变异系数和自相关系数，根据有无慢速DoS攻击提取出变异系数阈值和自相关系数阈值，保证大部分滑动窗口的合法UDP流的变异系数小于变异系数阈值，且大部分滑动窗口的合法UDP流的自相关系数小于自相关系数阈值；步骤4.2、根据步骤1中实时采集的测试数据计算每个UDP流的变异系数和自相关系数，若变异系数和自相关系数都在阈值范围内，则该UDP流不是攻击流，否则提取该UDP流的IP字段，将该IP字段放入黑名单中；步骤4.3、重复执行步骤4.2直到出现重复被放入黑名单的源IP字段，该IP字段即为攻击者的地址，控制器下发流规则丢弃来自该地址的流量，并从黑名单中移出该IP字段，返回步骤2.3并重复执行，若设定时间阈值内没有出现重复被放入黑名单的IP字段，则返回步骤3.2并重复执行。

全文数据：

权利要求：

百度查询： 湖南大学 一种基于APTS的慢速DoS攻击实时缓解方案

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD