买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：湖南大学

摘要：本发明公开了FIN的LDoS攻击实时检测与缓解方法，属于网络安全领域。其中所述的方法为：收集可编程交换机中采集的流量特征数据，特征包括TCP流量分布熵与TCP数据包数；基于定长前缀匹配实现近似对数运算中结果的小数部分估计、基于广义二项式展开实现近似指数运算，并基于前二者实现除法运算，克服可编程交换机指令缺陷；将收集的特征数据训练LDoS攻击检测模型，基于最长前缀匹配的离差标准化、激活函数与VLIW架构的并行化向量内积操作实现可编程交换机中LDoS攻击检测模型部署；基于有限状态机定义部署于数据平面的LDoS攻击缓解程序，使用基于草图存储的周期性每流字节统计定位攻击流。本发明所述方法能完全部署于数据平面，对LDoS攻击的检测与缓解更加及时。

主权项：1.FIN的LDoS攻击实时检测与缓解方法，其特征在于，FIN全称为FullyIn-Network，译为完全位于网络内部，表示该实时检测与缓解方法完全部署于网络内部的一系列转发设备中，即该实时检测与缓解方法完全部署于数据平面，该实时检测与缓解方法包括以下几个步骤：步骤1、收集可编程交换机中采集的流量特征数据：对瓶颈链路下游的可编程交换机初始载入基于P4数据平面编程语言编写的可执行程序，该程序包含每数据包操作的流量特征数据采集流程，在整个网络运行中，可编程交换机将实时地自动地进行数据采集与特征聚合，在每一个检测窗口结束时，将会通过克隆原语克隆当前检测窗口中最后一个数据包，将聚合好的流量特征数据，包括TCP流量分布熵与TCP数据包数，作为自定义协议首部的字段附加在克隆数据包后，从指定的可编程交换机端口发出，在该端口处使用网络封包分析软件捕获一系列的克隆数据包并导出，接着再对这些克隆数据包进行协议首部字段解析，每个克隆数据包被解析后，获得一条对应的流量特征数据记录，最终整合所有记录，得到用于训练LDoS攻击检测模型的流量特征数据集；步骤2、预训练LDoS攻击检测模型：将流量特征数据集进行离差标准化，通过k折交叉验证的方式，首先将标准化后的数据集均匀划分为k份，接着将其中某一份作为训练集输入到二分类神经网络中进行训练得到一个LDoS攻击检测模型，剩余k-1份作为测试集对该LDoS攻击检测模型进行k-1次测试，最终选择在k-1次测试下平均正确率最高的LDoS攻击检测模型，记录本次模型参数，用于之后LDoS攻击检测模型在数据平面中的部署；步骤3、部署LDoS攻击检测模型于数据平面实现实时检测：该LDoS攻击检测模型部署于瓶颈链路下游的可编程交换机，对步骤1中载入的程序进行扩展；在包含每数据包操作的流量特征数据采集流程基础上，添加了匹配可编程交换机处理能力的二分类神经网络模型的运行流程，其中基于P4数据平面编程语言重新实现了二分类神经网络模型运行流程中的基本操作，使这些基本操作能够克服可编程交换机中指令缺陷与满足数据包线速转发，并设置其中参数为步骤2中得到的模型参数；重新编译程序并载入瓶颈链路下游的可编程交换机后，实现LDoS攻击检测模型于数据平面的部署；该运行流程中主要包括三个基本操作，均实现在可编程交换机的入口流水线模块，分别是：基于最长前缀匹配的离差标准化与激活函数，以及基于VLIW架构的并行化向量内积操作；在LDoS攻击检测模型每次运行结束后，输出LDoS攻击检测的标签，标签1代表瓶颈链路中遭受了LDoS攻击，标签0代表瓶颈链路中未遭受LDoS攻击，最终实现LDoS攻击的实时检测；步骤4、部署LDoS攻击缓解程序于数据平面实现缓解：该LDoS攻击缓解程序部署于瓶颈链路上游的可编程交换机，部署了LDoS攻击检测模型的下游可编程交换机在每个检测窗口完成检测后，通过克隆原语克隆数据包，使用自定义协议首部携带LDoS攻击检测的标签，并附加在克隆数据包上，发送给瓶颈链路上游的可编程交换机；瓶颈链路上游的可编程交换机中部署了LDoS攻击缓解程序，该程序通过有限状态机的形式描述并基于P4数据平面编程语言编写，其中一共包含三种状态，分别是链路安全状态、防御状态与防御退出状态，主要的LDoS攻击缓解动作在瓶颈链路上游的可编程交换机进入防御状态时执行，包括基于草图存储的周期性每流字节统计，其用于定位攻击流，在定位到攻击流后将其加入瓶颈链路上游的可编程交换机本地维护的丢包列表，对属于攻击流的数据包进行丢弃，最终实现LDoS攻击的缓解。

全文数据：

权利要求：

百度查询： 湖南大学 FIN的LDoS攻击实时检测与缓解方法