DDoS攻击中傀儡机动态分布策略研究

对DDoS攻击中傀儡机的管理进行研究,提出了DDoS攻击的傀儡机动态分布策略,该策略根据实际需要可以定时随机改变傀儡机在僵尸网络中的层次位置,也可以根据傀儡机配置信息以及当时的性能情况择优确定傀儡机位置,从而增加了DDoS攻击灵活性和攻击效果,也增加了被攻击方追踪检测的难度和DDoS攻击的隐蔽性。     

基于终端防DDOS攻击的研究

针对DDoS源地址欺骗问题,提出了基于终端的防DDoS攻击技术,即在终端对发送包的源地址进行检查,从而达到杜绝本机成为傀儡机的可能,进而达到从源端控制DDoS攻击的目的.该技术与以往通过检查本机接收包信息或检查网关路由器发出包信息以阻止DDoS攻击的方法相比,检测效果更好,网络通信效率更高.该技术的核心思想是破坏DDoS攻击链中的傀儡层.此外,对于用实际IP地址进行DDoS攻击的情况,也提出有益的解决方案.     

分布式拒绝服务攻击研究综述

分布式拒绝服务攻击(distributed denial-of-service，DDoS)已经对Internet的稳定运行造成了很大的威胁．在典型的DDoS攻击中，攻击者利用大量的傀儡主机向被攻击主机发送大量的无用分组．造成被攻击主机CPU资源或者网络带宽的耗尽．最近两年来．DDoS的攻击方法和工具变得越来越复杂，越来越有效，追踪真正的攻击者也越来越困难．从攻击防范的角度来说，现有的技术仍然不足以抵御大规模的攻击．本文首先描述了不同的DDoS攻击方法，然后对现有的防范技术进行了讨论和评价．然后重点介绍了长期的解决方案-Internet防火墙策略，Internet防火墙策略可以在攻击分组到达被攻击主机之前在Internet核心网络中截取这些攻击分组。     

基于验证与自主学习的主动DDoS防御系统

主动DDoS防御系统(ADDS)主要防御基于网络的DDoS攻击。使用体系防御技术组织防火墙、路由器和中心主机共同防御,弥补了防火墙、路由器和内核级防御程序单独防御的不足;使用分区超时技术使系统具有快速防御DDoS的能力;使用流量分析技术控制路由器,优化网络流量分配;使用连接验证技术消除傀儡机的攻击。多种技术和多层次的防御使系统具有较强的防御DDoS攻击能力。     

DDoS攻击的流程分析与有效防御

DDoS是Distributed Denial of Service的缩写,意即：分布式拒绝服务攻击。它通过控制一批傀儡机（俗称＂肉鸡＂）向目标机器同时发起洪流般的攻击,使得服务器应接不暇而无法响应正常的服务,重则使系统处于瘫痪状态。DDoS攻击具有两个重要的特点：一是针对网络带宽进行海量攻击,造成网络阻塞,湮灭正常网络包;二是耗尽服务器资源,大量非正常的攻击包耗尽主机内存和CPU资源。     

分布式拒绝服务攻击的研究

本文详细剖析了DDoS攻击原理、攻击方法、典型的攻击过程及攻击工具的特点,对现有的DDoS攻击和加强的DDoS攻击,引入了新的分类法,研究者以后在研究防御机制时,可以依据此分类结合攻击工具利用的软件漏洞,制定出有针对性的防御策略。     

基于SDS架构的多级DDoS防护机制

随着互联网的高速发展,网络安全的问题越来越严峻。软件定义网络（SDN）的出现为解决网络安全问题提供了全新的解决方案,如软件定义安全（SDS）。在SDS架构的基础上,针对分布式拒绝服务（DDoS）攻击的特点,提出一种新的DDoS防护机制SDS for DDoS。这种防护机制结合了以往检测方式和防护方式的优点,将安全服务原子化,并实现安全策略盒的多级防护策略。在受到DDoS攻击时,机制可以根据检测到的攻击力度进行动态决策,还能先验式地对攻击流量进行阻隔,不仅增加了决策的可信度,还解决了以往所采用的静态防护和后验式防护的不足。实验验证了机制的可行性,能有效地避免服务器受到DDoS攻击,更突出了它在决策时的灵活性和在遭受攻击时的先验性。     

DDoS进入全面技术对抗时代

作为绿盟科技抗DDoS产品（ADS、又名黑洞）的工程师,笔者参与了若干国内重点DDoS事件处理,与DDoS攻击者进行了多次素未谋面的网络对抗。本文在介绍国内DDoS攻击发展趋势的同时,也向读者介绍2009年、2010年各类常见DDoS攻击的特点以及防护策略。     

DDoS攻击的原理及防范DDoS攻击的策略

本文系统地分析了DDoS攻击的实现原理以及DDoS的攻击方法,提出了详细可行的DDoS攻击防范策略。     

拒绝服务攻击原理解析

拒绝服务（DoS）攻击是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。分布式拒绝服务（DDoS）攻击则是指处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器（称为傀儡机）并利用这些机器对受害者同时实施攻击。[编者按]     

Robot motion design using bunraku emotional expressions – focusing on Jo-Ha-Kyū in sounds and movements*

One of the UNESCO intangible cultural heritages Bunraku puppets can play one of the most beautiful puppet motions in the world. The Bunraku puppet motions can express emotions without the so-called ‘Uncanny Valley.’ We try to convert these emotional motions into robot affective motions so that robots can interact with human beings more comfortable. In so doing, in the present paper, we present a robot motion design framework using Bunraku affective motions that are based on the so-called ‘Jo-Ha-Kyū,’ and convert a few simple Bunraku motions into a robot motions using one of deep learning methods. Our primitive experiments show that Jo-Ha-Kyū can be incorporated into robot motion design smoothly, and some simple affective robot motions can be designed using our proposed framework.     

面向肌电信号的虚拟现实提线木偶动画研究

泉州提线木偶属于首批中国非物质文化遗产，是中华传统文化的实现形式之一.然而，由于木偶体积庞大，携带与操作不便，直接限制了其受众群体.为了实现提线木偶的有效传承与保护，设计了基于手势识别的虚拟现实提线木偶动画方案，构建了基于MYO臂环肌电信号的人体生理信号控制动画原型系统，应用两个用户实验验证了算法的高精确性与易操控性.首先，通过低通滤波与平滑实现多通道肌电信号数据的信号处理.其次，提取八通道时域特征与时频域特征，并通过线性判别器将其降维为六维特征向量，实现特征间关联性消除与算法鲁棒性增强.最后，构造多分类支撑向量机实现特征向量，确定手势识别结果.实验验证算法离线动作平均识别准确率为95.59%，实时动作平均识别准确率达到90.75%，在1.1s左右完成手势识别.面向提线木偶任务，构造了两个用户体验任务，普通用户人群中，木偶动作识别率较高，用户使用意愿、易学性等方面，系统性能亦显著高于真实木偶操控；专业用户在承认系统可用性的同时，具有较高的接受度.用户任务表明该设计满足了手势识别实时性和准确性的要求，具有良好的交互性和趣味性.相关研究可以广泛地应用于计算机动画等类似的系统，对于体验和保护提线木偶具有现实意义.     

基于特征参数相关性的DDoS攻击检测算法

针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性.     

多数据中心基于流量感知的DDoS攻击消除策略

多数据中心DDoS攻击频发,现有攻击消除方式虽能阻拦攻击流量,但难以避免对合法流量的干扰。在服务功能链的基础上结合流量感知技术,提出一种针对多数据中心的DDoS攻击消除策略。通过在数据中心入口部署感知组件,感知异常流量并与控制器交互,将DDoS攻击消除工作放在数据中心外的清洗域,避免干扰合法流量。同时在清洗域提出一种负载均衡算法,为多数据中心提供足够的处理能力。最后搭建原型系统,通过实验对比验证策略的可行性。     

一种运用限幅自相似性的新型DDoS入侵检测机制

本文提出了一种新型的DDoS入侵检测方法，在建立正常网络流量模型基础上，对网络流量的自相似性-Hurst参数、Hurst参数的时变函数H(t)进行分析，对网络流量进行实时限幅，由自相似性的变化来预测DDoS攻击，并用数据库对攻击定住。试验表明基于网络流量的统计分析方法能够在一定程度上检测出DDoS攻击，比传统的基于特征匹配的DDoS入侵检测方法，在实时性、准确率上有较大提高。     

基于拥塞控制和资源调节的DDOS攻击防范策略

网络需求的剧增,对网络服务质量的要求也越来越高,拥塞已经成为一个十分普遍和重要的问题。造成网络拥塞的原因多种多样,针对各原因也有相应的缓解和解决办法。文中提出一种基于拥塞控制和资源调节的DDOS攻击防范策略,该策略由路由器端和被攻击目标端共同配合,防范DDOS的攻击。     

基于相似度的DDoS异常检测系统

实现了一种基于相似度的DDoS异常检测系统,利用网络流量高频统计结果的相似性建立模型,当发生DDoS攻击时这种相似性遭到破坏,使用相似度作为这种相似性的测度,通过与正常情况时的比较可以及时准确地发现DDoS攻击引起的异常。实验结果证明基于相似度的异常检测方法对DDoS攻击检测效果较好。     

基于Tapestry系统的DDoS攻击及其预防策略

由于结构松散,节点可以动态地加入和退出,安全性问题已经成为P2P网络所面临的主要挑战之一。Tapestry系统中攻击者可以利用系统的软状态机制,污染资源定位指针列表,控制主控端,发起DDoS攻击。基于身份认证的策略可以保护资源定位指针列表不受攻击者的污染,从而预防了DDoS攻击的发生。     

基于Q学习的DDoS攻防博弈模型研究

新形势下的DDoS攻防博弈过程和以往不同,因此利用现有的方法无法有效地评估量化攻防双方的收益以及动态调整博弈策略以实现收益最大化。针对这一问题,设计了一种基于Q学习的DDoS攻防博弈模型,并在此基础上提出了模型算法。首先,通过网络熵评估量化方法计算攻防双方收益;其次,利用矩阵博弈研究单个DDoS攻击阶段的攻防博弈过程;最后,将Q学习引入博弈过程,提出了模型算法,用以根据学习效果动态调整攻防策略从而实现收益最大化。实验结果表明,采用模型算法的防御方能够获得更高的收益,从而证明了算法的可用性和有效性。