公开(公告)号：CN104580173B

公开(公告)日：2017-10-10

申请号：CN201410827207.6

申请日：2014-12-25

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 陈晓帆 ,  黎志勇 ,  吴广锐 ,  余顺争

IPC: H04L29/06

CPC classification number: Y02D50/10

Abstract: 本发明提供一种SDN异常检测与阻截方法及系统，所述方法应用于SDN网络，所述方法包括以下步骤：对数据流进行随机采样，得到采样数据包；将采样数据包中的样本数据取出，得到样本数据的多个特征字段，更新各个特征字段对应的可计数哈希表；在预设的时间窗口的间隔处，计算时间窗口内各个特征字段对应的可计数哈希表的熵值；如果熵值大于或等于预设的异常判定阈值，则清空异常计数器，否则异常计数器计数加1；如果异常计数器的值达到预设的计数阈值则判定为异常攻击，否则不进行处理；根据预设的阻截机制对异常攻击进行阻截。本发明具有检测率高、数据处理量小的优点。

公开(公告)号：CN104601557B

公开(公告)日：2018-12-21

申请号：CN201410851911.5

申请日：2014-12-29

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 黎志勇 ,  陈晓帆 ,  吴广锐 ,  余顺争

IPC: H04L29/06

Abstract: 本发明提供一种基于软件定义网络的恶意网站防护方法及系统，所述方法首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内，然后对于可疑的DNS请求数据提取主机名，判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名。本发明方法仅需把第一次出现的DNS请求数据包送到中心控制器检测，不需要解析所有的数据包，且根据检测结果把过滤规则下发到各个OpenFlow交换机，实现恶意网站请求在最靠近源的交换机端进行过滤，在进入网络主干之前进行拦截，而且本发明无需安装任何防火墙和杀毒工具，使用更加有效、简便。本发明方法和系统结合实现了基于软件定义网络的恶意网站防护。

公开(公告)号：CN105187437A

公开(公告)日：2015-12-23

申请号：CN201510621846.1

申请日：2015-09-24

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 陈晓帆 ,  余顺争

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1458

Abstract: 本发明涉及一种SDN网络拒绝服务攻击的集中式检测系统，包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上对网络流量进行检测，辨别攻击是否存在以及攻击类型；输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整，或将集中式的检测模块的检测结果存储并按照既定格式进行输出。本发明提供的集中式检测系统可以应用于中小型SDN网络，如园区网、校园网的安全检测。

公开(公告)号：CN104601557A

公开(公告)日：2015-05-06

申请号：CN201410851911.5

申请日：2014-12-29

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 黎志勇 ,  陈晓帆 ,  吴广锐 ,  余顺争

IPC: H04L29/06

CPC classification number: H04L63/0227 ,  H04L63/14

Abstract: 本发明提供一种基于软件定义网络的恶意网站防护方法及系统，所述方法首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内，然后对于可疑的DNS请求数据提取主机名，判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名。本发明方法仅需把第一次出现的DNS请求数据包送到中心控制器检测，不需要解析所有的数据包，且根据检测结果把过滤规则下发到各个OpenFlow交换机，实现恶意网站请求在最靠近源的交换机端进行过滤，在进入网络主干之前进行拦截，而且本发明无需安装任何防火墙和杀毒工具，使用更加有效、简便。本发明方法和系统结合实现了基于软件定义网络的恶意网站防护。

公开(公告)号：CN104579977A

公开(公告)日：2015-04-29

申请号：CN201410812361.6

申请日：2014-12-23

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 陈晓帆 ,  吴广锐 ,  黎志勇 ,  余顺争

IPC: H04L12/751 ,  H04L12/741

CPC classification number: Y02D30/30

Abstract: 本发明提供一种SDN控制器的带约束多路径路由方法及系统，所述方法及系统应用于多媒体或其他有QoS要求的SDN网络中，SDN控制器通过LLDP协议能获得网络的精确拓扑信息，而且能对网络拓扑信息的变化及时进行更新，因此路由算法的结果更准确；本发明根据网络拓扑信息和用户输入的带约束条件的待求路径，调用路由算法进行路径计算，同时依据运算结果，逐条路径逐个交换机地生成并下发流表项，本发明既能计算单路径带条件约束情况下的所有可行路径或最优路径，也能计算多路径带条件约束情况下的所有可行路径组合方案或最优路径组合方案。本发明SDN控制器的带约束多路径路由系统是上述方法实现的基础，所述方法和系统结合实现SDN控制器的带约束多路径路由方案。

公开(公告)号：CN104580173A

公开(公告)日：2015-04-29

申请号：CN201410827207.6

申请日：2014-12-25

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 陈晓帆 ,  黎志勇 ,  吴广锐 ,  余顺争

IPC: H04L29/06

CPC classification number: Y02D50/10 ,  H04L63/1416 ,  H04L43/022 ,  H04L63/1441

Abstract: 本发明提供一种SDN异常检测与阻截方法及系统，所述方法应用于SDN网络，所述方法包括以下步骤：对数据流进行随机采样，得到采样数据包；将采样数据包中的样本数据取出，得到样本数据的多个特征字段，更新各个特征字段对应的可计数哈希表；在预设的时间窗口的间隔处，计算时间窗口内各个特征字段对应的可计数哈希表的熵值；如果熵值大于或等于预设的异常判定阈值，则清空异常计数器，否则异常计数器计数加1；如果异常计数器的值达到预设的计数阈值则判定为异常攻击，否则不进行处理；根据预设的阻截机制对异常攻击进行阻截。本发明具有检测率高、数据处理量小的优点。

公开(公告)号：CN105187437B

公开(公告)日：2018-06-26

申请号：CN201510621846.1

申请日：2015-09-24

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 陈晓帆 ,  余顺争

IPC: H04L29/06

Abstract: 本发明涉及一种SDN网络拒绝服务攻击的集中式检测系统，包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上对网络流量进行检测，辨别攻击是否存在以及攻击类型；输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整，或将集中式的检测模块的检测结果存储并按照既定格式进行输出。本发明提供的集中式检测系统可以应用于中小型SDN网络，如园区网、校园网的安全检测。

公开(公告)号：CN104601473B

公开(公告)日：2018-01-05

申请号：CN201410851912.X

申请日：2014-12-29

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 吴广锐 ,  陈晓帆 ,  黎志勇 ,  余顺争

IPC: H04L12/751

Abstract: 本发明提出一种带约束的多目标路径的路由生成方法及系统，所述方法首先读取输入文件，对路由算法的参数进行初始化；然后根据已初始化的参数，计算得到满足输入文件中的带约束的多目标路径的所有可行路径组合并保存；最后将计算得的所有可行路径组合或从中选出的最优路径组合，输出到输出文件中。本发明适用于有QoS需求的网络中，目标路径的约束包含多种度量约束，本发明的算法既能够计算带约束的单目标路径情形下的所有可行路径或最优路径，也能够计算带约束的多条目标路径的所有可行路径组合方案或最优路径组合方案。本发明还提出一种带约束的多目标路径的路由生成系统，所述方法和系统结合实现了带约束的多目标路径的路由生成。

公开(公告)号：CN104601473A

公开(公告)日：2015-05-06

申请号：CN201410851912.X

申请日：2014-12-29

Applicant: 广东顺德中山大学卡内基梅隆大学国际联合研究院

Inventor： 吴广锐 ,  陈晓帆 ,  黎志勇 ,  余顺争

IPC: H04L12/751

Abstract: 本发明提出一种带约束的多目标路径的路由生成方法及系统，所述方法首先读取输入文件，对路由算法的参数进行初始化；然后根据已初始化的参数，计算得到满足输入文件中的带约束的多目标路径的所有可行路径组合并保存；最后将计算得的所有可行路径组合或从中选出的最优路径组合，输出到输出文件中。本发明适用于有QoS需求的网络中，目标路径的约束包含多种度量约束，本发明的算法既能够计算带约束的单目标路径情形下的所有可行路径或最优路径，也能够计算带约束的多条目标路径的所有可行路径组合方案或最优路径组合方案。本发明还提出一种带约束的多目标路径的路由生成系统，所述方法和系统结合实现了带约束的多目标路径的路由生成。