基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于多特征分布式拒绝服务攻击的检测

分布式拒绝服务(DDoS)攻击是目前网络安全领域的一个热门话题.文章提出了一个IP流交互算法(IFI),它融合了正常流和DDoS攻击流的多特征,用IFI时间序列描述了网络流量的状态,并提出一种基于IFI时间序列的高效率的DDoS攻击检测方法(DADF).实验结果表明,IFI能很好地融合正常流和DDoS攻击流的多特征,它能有效地从正常流中区分DDoS攻击流;DADF能快速检测DDoS攻击,并且在复杂的情况下具有较高的检测率和低误报率.     

基于IAD的防DDoS攻击的实现

DDoS攻击是威胁因特网安全的重要手段,本文提出了一种基于IP地址数据库的实用方法来有效防御DDoS攻击,边界路由器保存所有以往在网络上出现的合法IP地址的记录,当边界路由器业务量过载时,利用这一记录来决定是否接受输入的IP包。     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

一种基于Hurst参数的SYN Flooding攻击实时检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

DDoS攻击实时检测防御系统的硬件实现

分布式拒绝服务攻击是因特网安全的头号威胁。针对DDoS攻击,本文介绍了一种基于MPC860和FPGA的实时检测防御系统的体系结构与实现原理,探讨了基于非参数累积和(CUSUM)算法检测新IP地址到达速率变化的DDoS攻击检测方法。实验结果表明该系统不仅实时检测准确性高、在线检测速度快、防御效果好,而且不损失网络信息吞吐量,保证了合法用户的正常访问。     

基于Sibson距离的OpenFlow网络DDoS攻击检测方法研究*

为解决软件定义网络(Software Defined Network, SDN)控制器易受分布式拒绝服务(Distributed Denial of Service, DDoS)攻击的问题,本文提出了一种基于Sibson距离的DDoS攻击检测方法。首先,针对现有SDN网络控制器负载过重问题,设计了一种分层式DDoS攻击检测架构,通过采用多个代理控制器来减轻主控制器负荷;其次,针对现有DDoS攻击检测误报率高的问题,提出了一种基于Sibson距离DDoS攻击检测算法,在提高检测时效性和保证检测精度的同时,加强对正常突发流的识别能力。仿真实验表明,该方法能有效区分攻击流和正常突发流,提高了网络的稳健性。     

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

基于流连接信息熵的DDoS攻击检测算法

分析了分布式拒绝服务(DDoS)攻击的特点，提出了流连接信息熵的定义，并通过对流连接信息熵时间序列的分析，采用非参数CUSUM算法进行DDoS攻击检测。该检测方法对固定IP、端口号随机变化的DDOS攻击有比较好的检测效果。实验结果证明，该方法能够以较高的精确度及时地检测出DDoS 攻击行为。     

DDoS攻击下的IP追踪技术

DDoS(分布式拒绝服务)攻击正在对整个互联网产生巨大的危害和严重的经济损失,且不断增大。IP追踪技术用于反向追踪数据包到攻击源,在查找到攻击源之后可以对攻击源采取隔离或者其他方法从根本上阻止DDoS攻击。针对DDoS攻击,从实用性和可行性的观点出发,深入分析和探究了这些技术的优缺点,并重点突出了每个技术的改进方法。     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

基于改进模糊C-均值聚类的DDoS攻击安全态势评估模型

新型网络环境下,传统的网络态势评估方法已经不能有效地评估分布式拒绝服务攻击DDoS的安全态势。提出了基于改进模糊C 均值FCM聚类的DDoS攻击的安全态势评估模型。该模型根据新老用户网络流IP地址状态变化和单双向网络流的融合特征,计算出网络系统各节点的风险指标,通过汇聚网络中各个节点的风险指标生成整个网络的安全态势信息,再用改进的模糊C-均值聚类算法将融合的安全态势信息分为五个安全等级,最后采用风险等级识别模型对整个网络的DDoS攻击安全态势进行定量评估。实验结果表明,该模型能够合理有效地评估DDoS攻击的安全态势,比现有的评估方法更准确灵活。     

一个分布式拒绝服务攻击检测系统的设计

根据拒绝服务武攻击与分布式拒绝服务攻击的特点，该文设汁并实现了一个针对这种攻击的检测响应系统，详细讨论了拒绝服务攻击的特征，通用的攻击检测算法以及攻击响应策略。实际应用表明，系统检测准确率高、结构清晰、配置灵活、运行开销小，能有效地检测和防御常见的拒绝服务式攻击。     

基于IP地址重拼接的DDOS攻击源追踪算法

为了提高对分布式拒绝服务(DDoS)攻击源反向追踪的效率和准确度,提出了一个新算法.此算法不同于AMS(Advanced Marking Schemes)算法,是利用IP地址拼接技术,重定义IP数据包头部分字段,利用一种新的路由器地址编码格式,使得一个数据包携带更多路由地址信息,提高重构路径的效率,大幅降低误报率.相对于AMS算法,新算法明显提高了IP反向追踪的性能,降低了误报率.     

一种基于源的DDoS攻击防御系统的设计

当前拒绝服务攻击工具随处可得,且易操作,使得分布式拒绝服务攻击发生的频率越来越高,此类攻击已被公认为互联网上最难解决的问题之一.本文主要基于R.Mahajan等提出的防范模型,将随机边标记和过滤机制相结合,设计了基于随机边标记的DDoS攻击防范系统.此系统可以充分利用IP回溯和过滤机制的优点,并相互弥补其不足.相对R.Mahajan等的方法来说,能更好地保护合法用户的请求及攻击源与受害者之间的网络带宽资源.     

分布式拒绝服务攻击建模与形式化描述

分布式拒绝服务（DDoS）攻击严重威胁网络的安全性。需要有合适的模型来刻画DDoS攻击的行为特征，指导DDoS攻击的分析、检测和防御。使用攻击树对分布式拒绝攻击进行建模，并引入Object_Z语言对具体攻击模式进行了面向对象的形式化描述。分布式拒绝服务攻击的攻击树模型可以刻画出分布式拒绝服务攻击的本质特征，对其具体子类的形式化描述又可以降低构造攻击模型的复杂度，从而易于使用，分析和维护。