申请/专利权人：湖南大学

申请日：2024-02-01

公开（公告）日：2024-05-31

公开（公告）号：CN118118229A

主分类号：H04L9/40

分类号：H04L9/40;G06F17/11

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.06.18#实质审查的生效;2024.05.31#公开

摘要：本发明针对DLDoS攻击单源平均速率低隐蔽性高且目前学术界缺乏对DLDoS攻击防御方法的研究的特点，提出了一个可在可编程数据平面在线捕获DLDoS攻击源的算法Top‑kBurster，并基于Top‑kBurster实现了一个DLDoS攻击在线捕获器——ShrewKiller，ShrewKiller首先按照网络流量特征对可能发生的DLDoS攻击进行预警，然后根据预警启动攻击流在线捕获器，根据Top‑kBurster算法对每流进行特征量化，并在线收集特征量化值最高的一定数量的源信息作为攻击源。ShrewKiller在较小的片上空间开销下可以实现较高的识别准确率。

主权项：1.基于Top-KBurster算法的DLDoS攻击在线捕获器——ShrewKiller，其特征在于ShrewKiller完全部署在可编程数据平面，并基于Top-KBurster算法对分布式低速率拒绝服务攻击DLDoS的攻击源进行识别，其中ShrewKiller对DLDoS攻击源的识别有以下三个步骤：步骤1、攻击预警：ShrewKiller的预警模块根据网络流量的特征对可能发生的DLDoS攻击进行预警，其中当且仅当网络流量满足如下三个特征，才发出预警，这三个特征分别为：TCP速率严重下降、UDP速率上升、整体网络流量的低频段能量升高；步骤2、攻击流特征量化：ShrewKiller根据Top-KBurster算法对攻击流特征的定义以及提出的攻击流特征的量化方法对每个UDP流进行特征量化，其中Top-KBurster对DLDoS攻击流特征的定义和提出的量化方法如下：2.1短时迸发性：DLDoS攻击周期性地发送短时高强度脉冲流进而导致合法TCP数据包被丢弃，Top-KBurster将该特征定义为短时迸发性，Top-KBurster首先判断该流是否存在静默期，如果存在静默期，则将该流在一个时间窗口中的数据包数波动量作为量化值；2.2周期性：DLDoS攻击发送的短时脉冲流是周期性的，Top-KBurster通过用相邻静默期的差值削弱波动量以将周期性特征进行量化；步骤3、攻击源识别：通过HashPipe数据结构将所有的UDP流按照特征量化值进行在线排序，取HashPipe中的流即特征量化值最大的k个流作为可疑流，其中HashPipe的在线排序有如下两个步骤：步骤3.1插入第一个小表：所有UDP流携带其特征量化值在HashPipe中的第一个小表上插入或累加，使得所有携带特征量化值的流都能进入HashPipe参与竞争；步骤3.2跟踪滚动最小值：离开第一个小表的流进入第二个小表，与第二个小表上的流进行竞争或累加，剩余小表的处理逻辑都与第二个小表相同。

全文数据：

权利要求：

百度查询： 湖南大学 基于Top-K Burster算法的DLDoS攻击在线捕获器

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD