利用入侵检测技术防范DDoS

分布式拒绝服务攻击(DDoS)由多宿主机发动,是目前常见的网络攻击中比较严重的一种,难于检测和跟踪。为此,阐述了DDoS的攻击方式的体系结构,并较为详细地分析了DDoS的机理并给出了攻击实例,概述了入侵检测技术的概念,提出了利用入侵检测技术防范DDoS攻击的一种尝试。设计一个针对DDoS的入侵检测方案,该方案检测通过路由器的数据包的流量判断是否异常。如果发现数据包的异常发送,则发出受攻击信号。本方案由3部分组成:包分类,获取原始的网络流量统计;流量离散函数,计算网络数据包的发送特性;基于变异的检测,在当前流量远远偏离历史上的正常变化范围时做出反应。     

网络流单边连接密度的时间序列分析

检测分布式拒绝服务（DDoS）攻击的困难性在于攻击数据包与正常数据包并无本质上的区别,为了正确识别DDoS,需要找到它与正常流的根本区别。使用虚假源IP地址的攻击包能够耗尽目标主机的网络带宽和系统资源,却无法与目标机建立完整的双向通信。因此,用于直观反映网络流异常的单边连接密度(OWCD)概念被提出并用于识别DDoS攻击,同时对OWCD的时间序列的进行了分析,揭示了OWCD序列的性质,为利用这个指标来进行DDoS检测提供依据。实验表明,OWCD能直观地区分正常流和攻击流,其序列为白噪声序列,能够作为DDoS检测的独立指标。OWCD序列不仅能够检测DDoS攻击,还能反映攻击强度。     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

用活动IP表和ICMP报文防御IP欺骗DDoS攻击

介绍了分布式拒绝服务攻击的原理;分析了四种具有代表性的防御方法;提出一种针对IP欺骗DDoS攻击的防御方法,在自治系统边界,利用活动IP记录表对进入自治系统的数据包进行处理,来自活动IP的网络流直接通过;没有活动记录的IP数据包被自治系统边界路由器或邻近边界的路由器丢弃,并发送网间控制报文协议(ICMP)超时差错报文通报源节点,IP不活动的IP欺骗DDoS攻击数据包不能到达受害节点;被丢弃的合法数据包由其源节点上层协议或应用进行重传。     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。     

DDoS攻击检测模型的设计

为了有效检测服务器是否受到DDoS攻击,设计了一种基于朴素贝叶斯分类算法的DDoS攻击检测模型. 首先大量抓取服务器数据包,选择受到DDoS攻击时产生较明显变动的5种特征数据作为基本参数,所有数据可分为受攻击与未受攻击两类. 然后利用正态分布函数拟各合特征量的分布情况,并计算出各个特征量的条件概率. 最后,选取测试数据,得到测试数据在贝叶斯公式下被分为受攻击与未受攻击两类的后验概率,并通过比较此两个后验概率值的大小,判断出服务器是否受到DDoS攻击. 该模型经MATLAB仿真实验的验证,获得了较高的准确率,保证了对DDoS攻击的有效检测,并由C＋＋代码进行实现.     

基于数据挖掘算法的DDoS攻击检测系统设计

在分析了DDoS攻击的特征基础上,建立了基于数据挖掘算法的检测模型,该模型使用k-means聚类算法与Apriori关联规则对网络流量与数据包连接状态分别建立特征模型,实验表明,该检测模型能够实时有效的检测DDoS攻击.     

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法.通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类.实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击.     

DWT和AKD自动编码器的DDoS攻击检测方法研究

针对DDoS网络流量攻击检测效率低及误报率高的问题,本文提出一种基于离散小波变换(Discrete Wavelet Transform,DWT)和自适应知识蒸馏(Adaptive Knowledge Distillation,AKD)自动编码器神经网络的DDoS攻击检测方法.该方法利用离散小波变换提取频率特征,由自动编码器神经网络进行特征编码并实现分类,通过自适应知识蒸馏压缩模型,以实现高效检测DDoS攻击流量.研究结果表明,该方法对代理服务器攻击、数据库漏洞和TCP洪水攻击、UDP洪水攻击具有较高的检测效率,并且具有较低的误报率.     

基于DDoS攻击的检测与防御实验系统的设计

DDoS是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁,同传统的DDoS相比,基于应用层的DDoS攻击隐藏效果更好,破坏力更强。DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地检测和识别攻击,为安全防御提供有效支撑。现有的大多数DDoS检测方法难以区分攻击者的攻击行为和突发的大流量正常请求行为,基于网络行为分析的检测方法对于攻击者的异常行为能够较好的辨识,因此基于网络行为分析的DDoS检测方法的实验系统对教学显得尤为必要。     

多类支持向量机的DDoS攻击检测的方法

为了利用SVM准确的检测DDoS,需要找到区分正常流和攻击流的特征向量,根据DDoS攻击的特点,提出了独立于流量的相对值特征向量。为了在指示攻击存在的同时,也指示攻击强度,多类支持向量机(MCSVM)被引入到DDoS检测中。实验表明,RLT特征与MCSVM相结合,可以有效检测到不同类型的DDoS攻击,并且能准确地指示攻击强度,优于目前已有的检测方法。使用RLT特征进行DDoS检测,比使用单一攻击特征进行识别的方法,包含更多的攻击信息,可以得到较高的检测精度。     

基于移动Ad Hoc网络的分布式拒绝服务攻击检测算法

提出了一种适用于移动Ad Hoc网络的分布式拒绝服务攻击(DDoS)检测算法,对基于序列分析的Kolmogorov复杂度估值算法做了改进.新算法对网络中的流进行相关分析,并计算序列特征集的复杂度,通过对复杂度分析来检测分布式拒绝服务攻击.仿真实验结果表明,本算法的误检率、检测时间等性能要好于传统的复杂度估计算法.     

利用分治策略实现DDoS攻击路径标识题

针对分布式拒绝服务(DDo S)攻击防御中的数据包标记溯源技术,基于分治策略提出用简单的递归关系分别表示攻击树构、攻击路径频率检测、数据包和路径关联这3个基本防御实现,使用单数据包带内路径标识符用于唯一的数据包和路径关联,而把攻击树构建及攻击路径频率作为独立的带外操作来处理.通过在真实网络拓扑环境下对网络流量和存储开销的测试,证明本方法可以高流量负荷下以很小的开销同时对大量受害主机的提供单一数据包回溯保证.     

基于相量测量的状态估计攻击检测方法

针对电力系统中基于相量测量技术状态估计的虚假数据注入攻击难以被成功检测的问题,本文提出一种面向电力系统线性状态估计的攻击智能检测方法.采用自编码器对电网测量数据进行多次特征提取,逐渐降低特征维度;提取信息通过softmax层进行有监督学习,从而得到基于堆叠自编码器的攻击检测算法.针对自编码器的过度拟合问题,进一步提出基于降噪自编码的攻击检测方法.采用IEEE-118节点测试系统对所提出的方法进行仿真验证,结果表明所提出的攻击检测方法计算精度和效率高于其他方法.     

DDoS攻击报文过滤器在Linux防火墙中的应用

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害严重的拒绝服务攻击。因此，对它进行检测和防御就显得非常困难。文章主要介绍了常用的儿种DDoS方式，提出了一套针对IP报文TTL值分布进行检测以及对TCP报文进行验证过滤的方案，并在此基础上对传统的Linux防火墙进行了改进。实验表明经过改进之后的防火墙能够在一定程度上防御DDoS攻击，比传统的简单报文过滤方法在实时性、准确性上有很大提高。     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

基于自适应阈值的DDoS攻击态势预警模型

为了准确识别分布式拒绝服务（DDoS）攻击态势预警级别,研究DDoS攻击态势预警技术,设计DDoS攻击态势预警模型逻辑结构,定义区域网络安全脆弱性因子（SVF）. 基于长短时记忆（LSTM）网络流量预测模型和区域网络安全脆弱性因子,提出基于动态自适应阈值的DDoS攻击态势预警模型. 提取IP数据包统计特征（IPDCF）,使用LSTM预测模型对IPDCF序列建模,对正常流进行预测. 根据预测结果和SVF实时动态地计算预警阈值和预警区间,基于预警阈值和预警区间设定态势预警级别. 实验结果表明,利用该模型能够实时、有效地预警DDoS攻击态势,准确地识别DDoS攻击态势安全级别.