学位论文简介
可编程数据平面具备线速处理、灵活可扩展和网络可见性等优势,但受限于匹配-动作流水线的架构特性,在计算能力、存储资源和表项空间等方面存在显著约束。本文开展可编程数据平面下基于网内异常的攻击检测研究,从网络流量特征表征、模型数据平面卸载、流量漂移适应性和决策可解释性等方面展开。取得了以下主要创新性研究成果:
针对当前拥塞相关攻击检测方法在检测性能、覆盖能力和实时性能等方面存在不足的问题,提出基于队列异常的拥塞相关攻击检测方法。从队列视角对网络拥塞成因及网络流发送行为进行流级别分析,并借助时间窗口概率数据结构实现对拥塞责任流与拥塞活跃流的在线监测。在此基础上,利用网内随机森林模型融合队列特征与数据包特征,实现对拥塞相关攻击的检测。
针对当前攻击检测方法在异常检测能力、实时性能和网内部署等方面存在不足的问题,提出基于决策驱动的网内异常检测方法。通过超矩形子区域对模型决策逻辑进行形式化刻画,将其编码为匹配-动作表中的匹配规则并部署至数据平面,在数据包转发路径上直接实现在线智能分析和实时决策,从而实现网内异常检测。
针对当前攻击检测方法在异常检测能力、部署开销和流量漂移适应性等方面存在不足的问题,提出基于距离感知的网内异常检测方法。通过样本间距离识别异常并将距离计算转化为超矩形邻域内的匹配操作,采用基于贪心的启发式合并压缩规则规模并将生成规则部署至数据平面,还设计增量规则更新机制以应对网络流量漂移问题。
针对当前攻击检测方法在异常检测能力、部署开销和决策可解释性等方面存在不足的问题,提出基于最小体积集树的网内异常检测方法。通过无监督决策树将特征空间划分为若干超矩形子空间,使用经验最小体积集估计找到子空间中高概率密度的超矩形区域,并将其转化为范围匹配规则,还设计可解释性分析机制对决策正常和异常的样本分别提供可解释性分析。
主要学术成果
Rui Dai, Dan Tang, Zheng Qin, Kai Chen, Keqin Li, Jiliang Zhang. Detecting Congestion-Related Attacks via Fine-Grained Queue Diagnosis [J]. IEEE Transactions on Cognitive Communications and Networking, 2026, 12: 1255-1268. (中科院1区, 第一作者)
Dan Tang, Rui Dai, Chenguang Zuo, Jingwen Chen, Keqin Li, Zheng Qin. A Low-Rate DoS Attack Mitigation Scheme Based on Port and Traffic State in SDN [J]. IEEE Transactions on Computers, 2025, 74(5): 1758-1770. (CCF推荐A类期刊,中科院二区,导师一作本人二作,通讯作者)
Dan Tang, Rui Dai, Yudong Yan, Keqin Li, Wei Liang, Zheng Qin. When SDN Meets Low-rate Threats: A Survey of Attacks and Countermeasures in Programmable Networks [J]. ACM Computing Surveys, 2024, 57(4): 1-32. (中科院一区,导师一作本人二作,共同通讯作者)
汤澹,代锐,陈静文,杨秋伟,王小彩,陈禹澎. 一种基于APTS的慢速DoS攻击实时缓解方案. ZL 2022 1 1277245.X. (已授权)
汤澹,代锐,张冬朔,杨秋伟,梁伟,秦拯. 基于流条目数预测的自适应SFTO 攻击检测与缓解方法 [P]. ZL 2022 1 1668944.7. (已授权)
