基于时间序列分析的Web服务器DDoS攻击检测

提出了一种基于时间序列分析的DDoS攻击检测方法。该方法利用网络流量的自相似性。建立Web流量时间序列变化的自回归模型，通过动态分析Web流量的突变来检测针对Web服务器的DDoS攻击。在此基础上，通过对报警数据的关联分析，获得攻击的时间和位置信息。实验结果表明：该方法能有效检测针对Web服务器的DDoS攻击。     

基于Gnutella协议的DDoS攻防方法研究

对Gnutella协议进行了分析,发现Gnutella协议Query-QueryHit查询回复机制的不安全性,而GnuteUa又是使用HttP作为其文件传输协议.本文分析了利用这两个特点来对非Gnutella结点(Web服务器)实施DDoS攻击的过程,提出了基于确认的安全列表算法来防范Gnutella结点被用来对Web服务器实施DDoS攻击.     

HTTP Slow DDoS攻击机理分析及针对OpenStack云平台的防御策略与架构研究

针对基于OpenStack开源云平台的应用服务易受HTTP Slow DDoS攻击的安全问题,对其攻击的机理进行详细分析,并以基于OpenStack架构搭建的云平台为基础环境,构建Web试验服务器环境,同时创建Docker模拟“肉鸡”(指被攻击者远程控制的计算机),通过使用Python库中urllib库和socket编程的方法,实现对三种常见HTTP Slow DDoS攻击的模拟,通过对攻击产生的流量和数据包内容进行分析,研究HTTP Slow DDoS攻击机理。结果表明,三种攻击方式均可以使云平台中的Web服务器连接失败。HTTP Slow DDoS攻击方式对基础带宽不足或未部署相关防御策略的私有云平台威胁更大,可使其无法正常提供服务。最后针对文中的三种HTTP Slow DDoS攻击方式,提出了相应的防御策略,并通过攻击防御试验证实了这些策略的有效性。     

基于DDoS攻击的服务器拥塞控制研究

基于DDoS攻击原理,本文从攻击的数量、服务器物理性能和安全性能三方面分析了服务器拥塞的原因;并针对DDOS攻击的原理和机制,从数据特征、数据优先级以及服务优先级方面加以深入探讨,给出有效的防御DDoS攻击的手段和方法.     

一种基于Web 群体外联行为的应用层DDoS 检测方法

由于攻击者采用各种技术手段隐藏攻击行为,DDoS攻击变得越发难以发现,应用层DDoS成为Web服务器所面临的最主要威胁之一。从通信群体的层面分析 Web 通信的外联行为特征的稳定性,并提出了一种应用层DDoS检测方法。该方法用CUSUM算法检测Web群体外联行为参数的偏移,据此来判断DDoS攻击行为的发生。由于外联行为模型刻画的是Web通信群体与外界的交互,并非用户个体行为,所以攻击者难以通过模仿正常访问行为规避检测。该方法不仅能够发现用户群体访问行为的异常,而且能够有效区分突发访问和应用层DDoS攻击。模拟实验结果表明,该方法能够有效检测针对Web 服务器的不同类型的DDoS攻击。     

基于注意力机制的DDoS攻击检测方法

针对传统DDoS攻击检测中存在准确率低、误报率高、低速率攻击流量难以检测等问题,提出一种基于注意力机制的双向长短期记忆网络的DDoS攻击检测方法.将根据领域知识所提取的明显攻击特征向量与数据预处理后的数据流矩阵进行向量拼接,构成基于注意力机制的双向长短期记忆网络数据输入格式,实现从原始流量的复杂级特征快速聚焦于DDoS攻击的隐含信息.通过CAIDA-2007数据集训练模型,实验结果表明,所提模型与传统机器学习模型相比准确率达到98.9％,检测效果优于其它算法,能够有效实现DDoS攻击检测.     

基于网络流量的应用层DDoS攻击检测方法研究

根据应用层DDoS攻击和正常网络流量在特征上的不同,提出一种基于流量分析的应用层DDoS攻击检测方法,通过对源IP地址进行分析,能够有效地识别应用层DDoS攻击.同时,针对DDoS攻击流量和突发流量的相似性,在识别DDoS攻击的同时,能够正确区分突发流量,减少误报和漏报.     

Flash Crowd与DDoS攻击区分方法研究综述

由于Web服务器的DDoS攻击行为与Flash Crowd非常接近,Flash Crowd与DDoS攻击的区分问题成为网络安全领域新的研究热点。首先概述了Flash Crowd的基本概念与分类,比较了Flash Crowd与DDoS攻击的相似性与差异性;随后详细介绍了目前区分Flash Crowd与DDoS攻击的3类方法:基于流量特征的方法、基于用户行为的方法和基于主机测试的方法;然后介绍了几个目前使用最广泛的数据集;最后对该领域的研究方向进行了预测。     

基于SDS架构的多级DDoS防护机制

随着互联网的高速发展,网络安全的问题越来越严峻。软件定义网络(SDN)的出现为解决网络安全问题提供了全新的解决方案,如软件定义安全(SDS)。在SDS架构的基础上,针对分布式拒绝服务(DDoS)攻击的特点,提出一种新的DDoS防护机制SDS for DDoS。这种防护机制结合了以往检测方式和防护方式的优点,将安全服务原子化,并实现安全策略盒的多级防护策略。在受到DDoS攻击时,机制可以根据检测到的攻击力度进行动态决策,还能先验式地对攻击流量进行阻隔,不仅增加了决策的可信度,还解决了以往所采用的静态防护和后验式防护的不足。实验验证了机制的可行性,能有效地避免服务器受到DDoS攻击,更突出了它在决策时的灵活性和在遭受攻击时的先验性。     

检测使用Web反射器的攻击

攻击者在大规模DDoS网络攻击中使用反射器向受害者发送洪水包,Web服务器被攻击者利用为TCP反射器不仅加剧了网络攻击的程度,也消耗了正常Web服务资源。分析了Web反射器所在网络的入出口流量特点,以及攻击者利用Web反射器发起攻击时的数据包特性,利用流入和流出反射器网络TCP数据包的特性,通过对网络流量的异常统计检测和实时在线分析来检测Web反射器。模拟实验表明,可以检测出利用Web服务器进行的大规模DRDoS攻击。     

利用路由器自适应限流防御分布拒绝服务攻击

提出一种自适应路由器限流算法防御分布拒绝服务攻击的机制.该算法的关键是由被攻击者要求经挑选的相距k跳(hop)的上游路由器对目的为被攻击者的数据流进行限流,从而将被攻击者的服务支援在各数据流之间达到一种类最大-最小公平的流量分配.还在一个实际的因特网拓扑上针对攻击数据流和合法数据流的不同分布和流量模型考察了算法的效果.结果表明这种以服务器为中心的路由器限流是对抗分布拒绝服务攻击的一种很有前途的方法.     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

基于可变概率包标记的对等网DDoS攻击防御

DDoS攻击是对等网络所面临的主要安全威胁,针对已有的概率包标记算法计算量繁重、无法识别虚假标记数据包欺骗等方面的缺陷,提出一种可变概率包标记算法。通过采用可变概率标记方法及在路由器中记录IP地址发送状态,使方案具有能够追踪大规模拒绝服务攻击、识别和排除攻击者虚假标记信息、大大降低受害者重构路径时需接收包数量的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。     

LINUX平台下抗DDoS防火墙原理及实现

DDoS（分布式拒绝服务攻击）是一种攻击强度大、危害严重的攻击方式。它利用合理的请求来占用过多的服务器资源,致使服务超载,无法响应其他的请求。netfilter是Linux2.4以后的内核中采用的一个结构清晰,便于扩展优秀的防火墙框架。主要介绍了如何在netfilter基础之上实现一个能防御DDoS攻击的防火墙。     

DNS服务器的DDoS攻击检测系统的研究

建立一个针对DNS服务器DDoS攻击的检测系统,该系统采集DNS服务器端的网络数据,并从中提取出6个特征属性作为流量特征记录;利用经过遗传优化的BP网络建立检测模型,对流量特征记录进行检测;输出检测结果。通过实验结果可以看到利用提取的流量特征属性值,该系统能有效检测到DDoS攻击行为;而且比标准BP算法建立的检测模型具有更好的训练性能和更高的检测准确率。     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

Implementation of hybrid P2P networking distributed web crawler using AWS for smart work news big data

Web crawlers collect and index the vast amount of data available online to gather specific types of objective data such as news that researchers or practitioners need. As big data are increasingly used in a variety of fields and web data are exponentially growing each year, the importance of web crawlers is growing as well. Web servers that currently handle high traffic, such as portal news servers, have safeguards against security threats such as distributed denial-of-service (DDoS) attacks. In particular, the crawler, which causes a large amount of traffic to the Web server, has a very similar nature to DDoS attacks, so the crawler’s activities tend to be blocked from the web server. A peer-to-peer (P2P) crawler can be used to solve these problems. However, the limitations with the pure P2P crawler is that it is difficult to maintain the entire system when network traffic increases or errors occur. Therefore, in order to overcome these limitations, we would like to propose a hybrid P2P crawler that can collect web data using the cloud service platform provided by Amazon Web Services (AWS). The hybrid P2P networking distributed web crawler using AWS (HP2PNC-AWS) is applied to collecting news on Korea’s current smart work lifestyle from three portal sites. In Portal A where the target server does not block crawling, the HP2PNC-AWS is faster than the general web crawler (GWC) and slightly slower than the server/client distributed web crawler (SC-DWC), but it has a similar performance to the SC-DWC. However, in both Portal B and C where the target server blocks crawling, the HP2PNC-AWS performs better than other methods, with the collection rate and the number of data collected at the same time. It was also confirmed that the hybrid P2P networking system could work efficiently in web crawler architectures.