DDoS攻击检测方法分析与比较研究

本文简要剖析了DDoS攻击原理及常见攻击方式,系统地研究了现有DDoS攻击检测的方法,并从不同的方面对它们进行了分析和比较。总结了DDoS攻击检测的方法存在的问题及今后研究的方向。     

一种对于IP的DDoS攻击的拥塞控制机制

本文通过深入了解DDoS攻击的原理和实施过程,结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统的分析和研究,提出了基于回推机制的防御措施,最后,为网络入侵检测机制提出了一种新的思路。     

基于Hurst指数方差分析的DDoS攻击检测方法

研究分布式拒绝服务(DDoS)攻击对网络自相似性的影响,提出一种通过计算Hurst指数方差检测DDoS攻击的方法,通过使用MIT的林肯实验室数据进行试验,得出DDoS攻击的判决条件。实验表明,该方法能检测DDoS攻击引起的Hurst指数方差的变化,其检测率比传统的特征匹配方法高出8%,误报率比自相似性检测方法低了3%。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

基于小波神经网络的DDoS攻击检测及防范

DDoS攻击的检测及防范是目前计算机安全研究领域中的难点和热点。文章在系统地分析比较国内外DDoS攻击检测及防范理论和方法的基础上,根据DDoS攻击时引起网络数据流异常波动的特点,运用小波神经网络理论和方法,建立了DDoS检测和防范模型,并据此设计了相应的软件产品。仿真结果显示,该方法能有效地检测和防范DDoS攻击。     

基于快速分数阶傅氏变换的DDoS攻击检测

针对传统检测方法存在精度低、训练复杂度高、适应性差的问题,提出了基于快速分数阶Fourier变换估计Hurst指数的DDoS攻击检测方法。利用DDoS攻击对网络流量自相似性的影响,通过监测Hurst指数变化阈值判断是否存在DDoS攻击。在DARPA2000数据集和不同强度TFN2K攻击流量数据集上进行了DDoS攻击检测实验,实验结果表明,基于FFrFT的DDoS攻击检测方法有效,相比于常用的小波方法,该方法计算复杂度低,实现简单,Hurst指数估计精度更高,能够检测强度较弱的DDoS攻击,可有效降低漏报、误报率。     

基于流特征相对熵的DDOS攻击检测方法的研究

分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击是互联网的重要威胁之一。笔者通过分析DDoS攻击的原理及其攻击特征,从延长检测响应时间和减少计算复杂度的角度提出了一种DDoS攻击的检测方法。该方法基于DDoS攻击的流量特征,提取有效的流量特征参数,并根据参数变化及时、准确地判断DDoS攻击的发生时间。实验结果证明,该方法能迅速有效地检测到DDoS攻击,并对其他网络安全异常检测具有指导作用。     

基于DCT的自适应盲数字水印

目前应用层DDoS攻击严重危害互联网的安全。现有的检测方法只针对某种特定的应用层DDoS攻击,而不能识别应用层上其它的DDoS攻击。为了能快速有效地识别出多种应用层DDoS攻击,提出一种基于请求关键词的应用层DDoS攻击检测方法,该方法以单位时间内请求关键词的频率分布差和个数作为输入,采用隐马尔可夫模型来检测应用层DDoS攻击。实验结果表明,该方法对应用层上的多种DDoS攻击都具有很高的检测率和较低的误报率。     

基于FP-Growth算法的DDoS检测

通过分析分布式拒绝服务(DDoS)攻击的特征,提出了基于数据挖掘技术的网络入侵检测方法来检测DDoS攻击,针对数据挖掘中FP-growth算法不产生候选集的优势,对进行处理及分组后的网络数据进行频繁特征提取,根据DDoS攻击会使网络的流量数据发生变化的特点,来检测是否发生攻击事件.实验结果表明,当发生DDoS攻击后网络数据确实发生了巨大的变化, 通过对网络数据的特征提取,完全可以检测出DDoS攻击的发生.     

分布式拒绝服务攻击防御技术研究

分布式拒绝服务攻击已成为影响Internet的重要攻击手段,总结了近年来检测防御技术的研完成果,对分布式拒绝服务检测防御技术进行了分类,并详细分析了防御技术。对防御分布式拒绝服务攻击提供了很大的参考价值。     

Distributed Denial of Service (DDoS) detection by traffic pattern analysis

In this paper, we propose a behavior-based detection that can discriminate Distributed Denial of Service (DDoS) attack traffic from legitimated traffic regardless to various types of the attack packets and methods. Current DDoS attacks are carried out by attack tools, worms and botnets using different packet-transmission rates and packet forms to beat defense systems. These various attack strategies lead to defense systems requiring various detection methods in order to identify the attacks. Moreover, DDoS attacks can craft the traffics like flash crowd events and fly under the radar through the victim. We notice that DDoS attacks have features of repeatable patterns which are different from legitimate flash crowd traffics. In this paper, we propose a comparable detection methods based on the Pearson’s correlation coefficient. Our methods can extract the repeatable features from the packet arrivals in the DDoS traffics but not in flash crowd traffics. The extensive simulations were tested for the optimization of the detection methods. We then performed experiments with several datasets and our results affirm that the proposed methods can differentiate DDoS attacks from legitimate traffics.     

于Gnutella对等网的DDoS攻击特性分析*

通过对Gnutella协议内容的概述、存在的安全问题的分析,对传统基于网络层的DDoS攻击的原理、类型和检测的分析描述,对Gnutella网络中的DDoS攻击和基于网络层的DDoS攻击的分析比较,针对基于Gnutella网络的DDoS攻击特性提出防范的研究方法。     

DDoS 攻击检测和控制方法

分布式拒绝服务(distributed denial of service,简称DDoS)攻击是当今互联网的重要威胁之一.基于攻击包所处网络层次,将DDoS攻击分为网络层DDoS攻击和应用层DDoS攻击,介绍了两类攻击的各种检测和控制方法,比较了处于不同部署位置控制方法的优劣.最后分析了现有检测和控制方法应对DDoS攻击的不足,并提出了DDoS过滤系统的未来发展趋势和相关技术难点.     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

剖析DDoS攻击对抗技术

由于目前Internet的体系结构、认证机制的缺乏等多方面原因使得DDoS攻击很容易发生,而且僵尸网络的快速发展也为DDoS攻击提供了强大的工具。DDoS(Distributed Denial of Service)攻击一直是网络安全的主要威胁之一,如何对抗DDoS攻击成为网络安全研究的热点之一。在对DDoS攻击模型、产生原因进行分析的基础上,从攻击预防、攻击检测、攻击响应和攻击源追踪四个方面对现有的DDoS攻击对抗技术进行综述,并提出了值得研究的方向建议。     

Cooperative Detection Method for DDoS Attacks Based on Blockchain

Distributed Denial of Service (DDoS) attacks is always one of the major problems for service providers. Using blockchain to detect DDoS attacks is one of the current popular methods. However, the problems of high time overhead and cost exist in the most of the blockchain methods for detecting DDoS attacks. This paper proposes a blockchain-based collaborative detection method for DDoS attacks. First, the trained DDoS attack detection model is encrypted by the Intel Software Guard Extensions (SGX), which provides high security for uploading the DDoS attack detection model to the blockchain. Secondly, the service provider uploads the encrypted model to Inter Planetary File System (IPFS) and then a corresponding Content-ID (CID) is generated by IPFS which greatly saves the cost of uploading encrypted models to the blockchain. In addition, due to the small amount of model data, the time cost of uploading the DDoS attack detection model is greatly reduced. Finally, through the blockchain and smart contracts, the CID is distributed to other service providers, who can use the CID to download the corresponding DDoS attack detection model from IPFS. Blockchain provides a decentralized, trusted and tamper-proof environment for service providers. Besides, smart contracts and IPFS greatly improve the distribution efficiency of the model, while the distribution of CID greatly improves the efficiency of the transmission on the blockchain. In this way, the purpose of collaborative detection can be achieved, and the time cost of transmission on blockchain and IPFS can be considerably saved. We designed a blockchain-based DDoS attack collaborative detection framework to improve the data transmission efficiency on the blockchain, and use IPFS to greatly reduce the cost of the distribution model. In the experiment, compared with most blockchain-based method for DDoS attack detection, the proposed model using blockchain distribution shows the advantages of low cost and latency. The remote authentication mechanism of Intel SGX provides high security and integrity, and ensures the availability of distributed models.     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

基于用户浏览行为的HTTP Flood检测方法

与传统的基于低层协议的DDoS攻击相比,应用层DDoS具有更加显著的攻击效果,而且更加难以检测。现有的解决方法包括：特征检测、流量限制、隐半马尔可夫模型等。这些方法在检测应用层DDoS攻击（如,HTTP Get Flood）攻击时检测率不高或者检测速度较慢。提出的基于用户浏览行为的检测方法对HTTPFlood攻击检测效果明显得到改善。