基于Kaufman算法提高D-WARD系统检测精度.

深入分析了具有代表性的DDoS源端检测系统D-WARD的检测算法,在使用非参数化递归CUSUM算法改进D-WARD的基础上,借鉴负载平衡中Load-Shedding的思想,应用Kaufman算法动态调整和更新阈值Threshold,并对检测性能进行详细比较。经实验验证,改进的系统具有更低的误报率和漏报率,能够适应更复杂的网络检测环境。     

一种面向工业控制系统的改进CUSUM入侵检测方法

针对CUSUM异常检测算法在入侵检测应用中存在的固定偏移常数和固定检测门限的问题,结合工业控制系统高实时性和高可用性的要求,提出一种面向工业控制系统、具有自适应特征的改进非参数CUSUM(D-CUSUM)入侵检测方法。与以往凭经验设置固定值不同,算法基于概率论中著名的柯尔莫哥洛夫不等式理论重新设计了非参数CUSUM偏移常数β的生成方法,通过外部参数-告警控制参数动态设置CUSUM算法的检测门限τN,使β和τN具有自适应特性。在基于MATLAB Simulink的温度控制系统攻击仿真实验中,证明改进的非参数CUSUM异常检测算法能够改善检测的实时性和误报率,实现对工业控制系统的低误报率实时入侵检测。     

基于源目的IP地址对数据库的防范DDos攻击策略

提出了一种基于源目的IP地址对数据库的防范分布式拒绝服务攻击(distributed denial of service attacks,简称DDos)攻击策略.该策略建立正常流量的源目的IP地址对数据库(source and destination IP address database,简称SDIAD),使用扩展的三维Bloom Filter表存储SDIAD,并采用改进的滑动窗口无参数CUSUM(cumulative sum)算法对新的源目的IP地址对进行累积分析,以快速准确地检测出DDos攻击.对于SDIAD的更新,采用延迟更新策略,以确保SDIAD的及时性、准确性和鲁棒性.实验表明,该防范DDos攻击策略主要应用于边缘路由器,无论是靠近攻击源端还是靠近受害者端,都能够有效地检测出DDos攻击,并且有很好的检测准确率.     

基于地址聚集防抖动异常流量控制系统

提出一种新的异常流量检测方法——基于地址聚集的防抖动异常流量检测系统AWACS。该系统应用Adapted-Bloom-Filter算法对目的IP地址聚集,运用防聚集抖动的CUSUM算法检测是否有流量抖动的脉冲式攻击发生,使检测的结果更加准确,减少了系统的开销。该检测系统已作为一个独立的模块,成功运行于核心路由器中。     

非参数PCUSUM算法DDoS攻击检测

针对DDoS攻击时受害端中报文段未确认率急剧变化的特点,提出一种有效的DDoS攻击检测方法,以达到在保证告警正确性的前提下缩短检测时间的目的。在受害端对TCP网络流进行检测,在每个时间间隔内统计未确认的报文段数量与总报文段的比率,并在下一时间间隔内对上一时间间隔的序列值进行修正,得到更准确的检测序列值,再运用非参数递归PCUSUM算法检测DDoS攻击。实验结果表明,该方法与CUSUM算法相比,具有更高的检测准确性和更快的检测速度。     

一种自适应非参量CUSUM控制图算法

针对CUSUM控制图中存在的固定检测门限和对异常终止反应迟钝的缺点,提出了一种自适应的非参量CUSUM控制图算法.该算法首先利用固定门限剔除野值,同时简化了对显著异常的检测过程.然后,采用简单滑动平均算法对非野值数据进行平滑,并基于切比雪夫不等式理论对平滑后的数据进行转换,使之满足非参量CUSUM算法的使用条件.最后,由算法根据数据转换结果自适应地设置CUSUM算法中的检测门限,并在发出异常告警后实施异常终止监控.在针对SYN洪流攻击的仿真检测试验中,利用该算法能够在检测时延不超过7个采样周期且攻击持续期间不发生漏警的要求下,准确地检测出最低攻击流量仅为正常业务流量20%的攻击行为.     

基于改进CUSUM算法的路由器异常流量检测

针对核心路由器端口的输入、输出流量的变化,用改进的CUSUM(cumulative sum)算法对其统计特性进行实时监控,检测网络流量异常.基于路由器多端口的特点,提出了矩阵式的多统计量CUSUM算法(M-CUSUM),并提出了可调的参数设定体系,以提高准确性.M-CUSUM算法通过对输入、输出端口流量的绝对差与和之比进行统计,实时地监控其均值的偏移情况.通过对该算法在计算机中的模拟实现,验证了该算法对DOS/DDOS攻击具有较高的检测速度和精度,且系统开销小,已成功运行在软件路由器之上.     

基于非参数CUSUM算法的DDoS攻击的检测

DDoS攻击带来了因特网上广泛的威胁，本文用监控新IP地址增长的方法来检测DDoS攻击，并且用非参数累积和CUSUM)算法来检测新的IP地址到达速率的变化，该算法不需要正常业务和攻击业务的详细模型，能提高检测的准确性和在线检测速度，降低运算开销。     

基于多重分形预测的DDoS攻击检测

利用多重分形的特性,根据原始序列与尺度系数和乘子的关系,提出了基于多重分形的流量多步预测方法。对预测序列应用非参数CUSUM算法进行DDo S攻击检测,取得了较好的效果。     

基于SDN构架的DoS/DDoS攻击检测与防御体系

针对Do S/DDo S的攻击检测算法大多应用于攻击的目的端,只能实现检测效果、并不能缓解攻击的问题,提出利用SDN架构的集中控制等特点,在攻击的源头实现流量实时监控,使用源IP防伪、接入层异常检测、链路流量异常检测形成多重防御体系,尽可能早地发现攻击,逐渐过滤异常流量,实现网络层DDo S攻击在源端的检测和防御。提出防御体系概念,便于应用更先进的检测算法完善防御体系。     

基于Multi-stream Combined隐马尔柯夫模型源端检测DDoS攻击

提出了一种新颖的综合考虑多维观测特征的DDoS攻击源端检测方法。该方法引入S-D-P特征概念，并抽取TCP/IP包头中的标志位和ID字段构成多维观测特征，采用Multi-stream Combined隐马尔可夫模型（MC-HMM）在源端网络检测DDoS攻击。大量实验表明,MC-HMM方法克服了基于一维观测特征的检测算法信息量过小的固有缺陷，能够有效降低检测的误报率和漏报率，提高DDoS攻击源端检测精度。     

基于源端检测的DDoS防御机制

提出了一种新型的基于源端检测的DDoS防御机制。它能够比较精确地识别DDoS攻击数据流，对DDoS攻击进行有效地防御，同时不会对网络性能造成比较大的影响，不会影响用户对网络的正常使用。讨论了如何在Windows平台上的具体实现，给出了具体实验 分析。     

D-WARD: a source-end defense against flooding denial-of-service attacks

Defenses against flooding distributed denial-of-service (DDoS) commonly respond to the attack by dropping the excess traffic, thus reducing the overload at the victim. The major challenge is the differentiation of the legitimate from the attack traffic, so that the dropping policies can be selectively applied. We propose D-WARD, a source-end DDoS defense system that achieves autonomous attack detection and surgically accurate response, thanks to its novel traffic profiling techniques, the adaptive response and the source-end deployment. Moderate traffic volumes seen near the sources, even during the attacks, enable extensive statistics gathering and profiling, facilitating high response selectiveness. D-WARD inflicts an extremely low collateral damage to the legitimate traffic, while quickly detecting and severely rate-limiting outgoing attacks. D-WARD has been extensively evaluated in a controlled testbed environment and in real network operation. Results of selected tests are presented in the paper.     

基于源的DDoS攻击的检测与防御技术

介绍了DDoS的攻击原理,提出了基于源端的DDoS攻击的检测和防御技术,详细讨论了此技术的构架及其关键技术乳检测源端是否发出攻击流技术、防御技术即在源头截断攻击流,通过如检测源端是否发出攻击流技术、防御技术即在源头截断攻击流,通过具体的实验确定流量检测中的闽值。     

高速网络下的DDoS检测

分布式拒绝服务（DDos）攻击是长期困扰网络安全领域的问题之一。特别是高速网络下，检测系统需要处理大量的数据，其检测策略和系统处理能力直接影响到DDoS检测的准确率和响应速度。该文提出了在高速网络下的DDoS检测系统DDES（DDoS Detection System）。DDES在协议分析的基础上，对处于危险状态的连接进行统计分析；它采用分布式的结构，多个探测子节点协同分析处理以提高处理性能；同时配合网络边缘设备对攻击源实施阻断。     

SDN环境下DDoS攻击检测和缓解系统

分布式拒绝服务攻击(distributed denial of service, DDoS)是网络安全领域的一大威胁. 作为新型网络架构, 软件定义网络(software defined networking, SDN)的逻辑集中和可编程性为抵御DDoS攻击提供了新的思路. 本文设计并实现了一个轻量级的SDN环境下的DDoS攻击检测和缓解系统. 该系统使用熵值检测方法, 并通过动态阈值进行异常判断. 若异常, 系统将使用更精确的决策树模型进行检测. 最后, 控制器通过计算流的包对称率确定攻击源, 并下发阻塞流表项. 实验结果表明, 该系统能够及时响应DDoS攻击, 具有较高的检测成功率, 并能够有效遏制攻击.     

一种轻量级的SYN Flooding攻击检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.本方法基于Bloom Filter技术对数据包信息进行提取,然后使用变化点计算方法进行异常检测,不仅能够检测出SYN Flooding攻击的存在,而且能够避免因为正常拥塞引起的误报.重放DARPA数据实验表明,算法的检测结果与类似方法相比更精确,使用的计算资源很少.     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...