基于支持向量机和多资源最大最小公平的DDoS防御

采用分布式过滤的方法防御分布式拒绝服务（DDoS）攻击,通过将分布式防御合作限定在互联网自治域(AS)内,为应对选取了合适的网络范围,且考虑了带宽和受害机处理能力这2类资源及其相互作用.基于支持向量机(SVM)的多资源最大最小公平（SMMF）算法,根据受害端流量情况动态调整自治域边界的过滤器参数,保证了多资源最大最小公平,以达到较优的防御效果.模拟实验表明,该算法在具一般性的攻击场景下能有效抑制攻击流量,且在已有方法失效的情况下仍能保证合法流量吞吐量维持在正常水平.在路由器上实现了该过滤器,结果表明,即使安装上千个过滤器也只需极少量的内存,且仍能保证路由器的正常吞吐率.     

基于分组丢失的高带宽流鉴别算法

提出了一种在网络发生拥塞时对高带宽流量加以鉴别的BDH-RED算法。该算法对发生分组丢弃的数据流的状态信息进行缓存,根据一个流量被丢弃的分组数正比于此流量的到达速率,在路由器计算丢弃历史记录中的分组丢弃数目,并使用组合丢弃比率,在标准TCP流量和高带宽流量共存的环境下,能有效地鉴别出高带宽流量。在仿真实验中将已有的丢弃比率与组合丢弃比率进行了比较,验证了BDH-RED算法的有效性。     

面向信息栅格的DDoS协同防御系统设计

针对传统的DDoS防御系统存在相互独立、网络效能低和单点故障等问题,提出了信息栅格环境下基于流量牵引技术的DDoS防御部署策略,设计了基于MAS的DDoS协同防御系统,同时设计了放大疑似异常流量的流量抽样和基于多维特征的DDoS攻击检测两种关键算法。最后,在OMNeT+[KG-*2]+仿真平台上构建了DDoS攻防仿真模型并予以实现。仿真验证了防御系统设计的有效性,为信息栅格环境下的DDoS攻防研究提供了参考。     

DDoS攻击防御模型的仿真研究

针对DDoS攻击的特点,提出一个基于协议类型判断和流量控制以及拥塞控制的DDoS攻击防御模型,并给出了模型中相关统计值的表达式,以及检测和防御的算法流程．在OPNET中针对典型的TCP SYN flood攻击防御给出了详细的节点建模过程．运用二组不同强度的攻击流进行试验,分析在启用防御机制和未启用防御机制时服务器对攻击流的处理效果．仿真实验表明,此模型对于不同强度的攻击流都有较好的抑制作用,证明了此模型的有效性．     

路由器级拓扑发现中的别名过滤算法

通过别名解析可以在IP级拓扑的基础上获得路由器级拓扑．为了提高路由器级拓扑发现的效率,首先根据网络的结构特征归纳了IP级拓扑中不存在别名关系的条件,提出了处理别名关系的3条定理．其次在此基础上提出了别名过滤的思想并设计了别名过滤算法,通过哈希技术在IP级拓扑中排除不可能存在别名的情况,找出IP级拓扑中所有可能具有别名关系的情况．最后用CAIDA项目中的中日韩3国因特网IP级拓扑数据对别名过滤算法进行了验证分析,结果表明别名过滤算法能够有效减少别名解析的数量,提高路由器级拓扑发现的效率．     

一种控制网关流量的控制器设计

提出扶持共享带宽的双令牌桶流量分配算法.基于此算法,设计了对网络服务监控网关中的流量控制所涉及的分类、过滤、限制等.     

对等网络流量检测技术

对等网络(P2P)应用的飞速发展,丰富了互联网的内容,但其流量的爆发式增长和不加限制的带宽占用,不仅给互联网基础设施带来巨大冲击,也给Internet服务提供商(ISP)和应用服务提供商(ASP)的高级服务部署带来了很多问题。开展高效、准确的P2P流量实时识别与过滤相关技术研究,不仅有利于合理利用互联网基础设施、P2P技术和合理部署P2P应用,还有利于制止非法内容在P2P网络中的传播。该文通过对现有P2P流量识别算法进行深入研究和对比分析,为P2P流量有效管理和合理规范提供了技术参考。     

利用入侵检测技术防范DDoS

分布式拒绝服务攻击(DDoS)由多宿主机发动,是目前常见的网络攻击中比较严重的一种,难于检测和跟踪。为此,阐述了DDoS的攻击方式的体系结构,并较为详细地分析了DDoS的机理并给出了攻击实例,概述了入侵检测技术的概念,提出了利用入侵检测技术防范DDoS攻击的一种尝试。设计一个针对DDoS的入侵检测方案,该方案检测通过路由器的数据包的流量判断是否异常。如果发现数据包的异常发送,则发出受攻击信号。本方案由3部分组成:包分类,获取原始的网络流量统计;流量离散函数,计算网络数据包的发送特性;基于变异的检测,在当前流量远远偏离历史上的正常变化范围时做出反应。     

云计算环境下可扩展的服务器优化选择策略

为提高云计算环境下的资源利用效率,对服务器选择过程中的全局性能优化问题进行研究.首先提出一种服务器全局优化选择策略,通过引入域间流量传输惩罚系数来平衡ISP之间的传输流量和用户终端与服务器之间的网络距离（网络延迟）所占的比重.同时,提出一种新型可扩展且测量开销较少的网络距离预测算法.提出的服务器全局优化选择策略,一方面满足了用户提升服务体验的需求,实现了服务器之间的负载均衡,减少了域间传输流量,另一方面降低了服务器选择过程中的测量开销.仿真结果表明,提出的方法提高了服务器的选择效率,降低了测量开销,并且具有良好的可扩展性.     

基于网络异常流量判断DoS/DDoS攻击的检测算法

为了对泛洪DoS/DDoS（Denial of Service/Distributed Denial of Service）攻击做出准确判断,在对泛洪DoS/DDoS攻击发生时网络流量变化特性进行分析的基础上,给出一种基于网络异常流量判断泛洪DoS/DDoS攻击的检测算法。该算法通过对流量大小和波动趋势的判断,对泛洪DoS/DDoS攻击的发生进行检测。实验结果表明,在不失一般性的基础上,判断泛洪DoS/DDoS攻击的成功率为100%。     

按比例控制呼叫阻塞率的动态带宽分配算法

提出了一种在单链路中采用完全划分技术的动态带宽分配算法,该算法在预测呼叫阻塞率对过渡反应影响的基础上,对链路中具有可变带宽需求的非固定流量的不同服务级间的呼叫阻塞率的比例进行控制,从而实现带宽的最佳利用．仿真表明,所提出的算法能够有效地将容量动态地分配到非固定流量环境中,提高了带宽利用率,缩短了平均轮询时间．     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

多属性决策的IPv6移动网络路由选择算法

针对IPv6多宿移动网络容易出现数据流集中于少数移动路由器节点,从而导致负载过重问题,提出了一种基于多属性决策的负载均衡路由选择算法。通过引入移动路由器节点的带宽、丢包率、挂载节点个数等多个决策属性信息,使用组合赋权法计算各决策属性的权重,建立了多属性决策模型,移动节点依据该决策模型选择最优的移动路由器节点来转发数据。该算法综合考虑移动网络负载分布状况及节点数据类型,合理分配数据流量,可均衡全网络流量。仿真实验表明,该算法使移动网络流量得到控制,且网络延时降低约50%,网络整体性能得到了明显的改善,同时该算法代价小且具有良好的网络环境适应性。     

对等网络泛洪DDoS攻击的防御机制

研究Gnutella协议的P2P网络中DDoS攻击,提出一种分布式的基于节点标识识别和节点流量实时检测过滤的自适应性DDoS攻击防御机制。通过在节点本地构建的信任和信誉机制对恶意节点主动阻断及对消息包的DDoS攻击特征的实时检测策略,实现对DDoS攻击的防范。仿真实验结果表明,该机制能有效地隔断网络中75%恶意消息数,节点能阻断80%的恶意消息数的转发,提高了网络抵御DDoS攻击的效能。     

基于流量自相似的DDoS检测分析

近年来,人们的日常生活与互联网越来越密不可分,网络安全问题也呈现高发态势。作为一种严重的网络威胁,分布式拒绝服务（ DDoS）攻击越发为人们所关注。通过对流量的自相似检测,可以实现对DDoS进行有效判定,然而传统算法的固定式判据难以体现现实流量的变化,文章提出一种改进型算法,可实现对DDoS的动态检测。     

DDoS攻击检测模型的设计

为了有效检测服务器是否受到DDoS攻击,设计了一种基于朴素贝叶斯分类算法的DDoS攻击检测模型. 首先大量抓取服务器数据包,选择受到DDoS攻击时产生较明显变动的5种特征数据作为基本参数,所有数据可分为受攻击与未受攻击两类. 然后利用正态分布函数拟各合特征量的分布情况,并计算出各个特征量的条件概率. 最后,选取测试数据,得到测试数据在贝叶斯公式下被分为受攻击与未受攻击两类的后验概率,并通过比较此两个后验概率值的大小,判断出服务器是否受到DDoS攻击. 该模型经MATLAB仿真实验的验证,获得了较高的准确率,保证了对DDoS攻击的有效检测,并由C＋＋代码进行实现.     

高效率多线程网络流量采集算法研究及实践

介绍了采用SNMP协议采集CISCO路由器网络流量的方法,对流量采集算法进行了分析,提出一种高效率的流量采集算法.创建四个线程进行数据采集和处理:发送线程、接收线程、预处理线程和存储线程.发送线程负责发送SNMP请求报文,接收线程负责接收SNMP响应报文,预处理线程过滤及整合采集到的流量信息,存储线程负责将预处理后的数据持久地存入数据库中.由于采用并行方式进行数据采集,该算法较串行采集效率高,并在实践中验证其可行性.     

基于动态阈值的可变速率DDoS攻击检测方法

针对可变速率DDoS攻击检测难的问题,提出了一种基于动态阈值的可变速率DDoS攻击检测方法。该方法根据DDoS攻击流量特征,生成动态阈值,并应用冻结机制防止动态阈值参数被攻击流量污染,同时结合网络流的特征,使用BiLSTM模型双向学习经过时间分割的网络流量,提取更多特征,识别可变速率DDoS攻击。在NSL-KDD数据集上进行实验,召回率达到98%,精度达到95%。实验表明：相比于固定阈值DDoS和传统动态阈值DDoS攻击检测方法,本文提出的方法在检测精度上有所提升,对DDoS攻击的检测能力有了显著提高。     

基于网络处理器的流量过滤及均衡系统的设计与实现

面对网络中的海量数据,单台服务器可能无法及时处理,且并非所有类型的数据流都是目标服务器所需要的。本系统对网络数据流进行协议识别、流量过滤,然后进行流量均衡,将数据流分配到目标服务器集群。文章假设目标服务器集群只需要VoIP数据流,应用Bloom Filter算法维护协议特征库及数据流的快速识别;在对语音数据流的均衡过程中,使用TCAM维护数据转发路由及其查找;并通过DRAM应用扩展TCAM空间,以适应海量数据的处理要求。     

基于网络处理器的流量过滤及均衡系统的设计与实现

面对网络中的海量数据,单台服务器可能无法及时处理,且并非所有类型的数据流都是目标服务器所需要的。本系统对网络数据流进行协议识别、流量过滤,然后进行流量均衡,将数据流分配到目标服务器集群。文章假设目标服务器集群只需要VoIP数据流,应用BloomFilter算法维护协议特征库及数据流的快速识别;在对语音数据流的均衡过程中,使用TCAM维护数据转发路由及其查找;并通过DRAM应用扩展TCAM空间,以适应海量数据的处理要求。