基于地址聚集防抖动异常流量控制系统

提出一种新的异常流量检测方法——基于地址聚集的防抖动异常流量检测系统AWACS。该系统应用Adapted-Bloom-Filter算法对目的IP地址聚集,运用防聚集抖动的CUSUM算法检测是否有流量抖动的脉冲式攻击发生,使检测的结果更加准确,减少了系统的开销。该检测系统已作为一个独立的模块,成功运行于核心路由器中。     

基于流量矩阵和Kalman滤波的DDoS攻击检测方法

针对分布式拒绝服务(DDoS)攻击产生的流量往往对路由器造成难以承受的负担的问题,提出一种既能减轻路由器负荷又能快速准确检测DDoS攻击的方法。该方法首先在路由器中构造端口对之间的流量矩阵来准确描述DDoS攻击的流量汇聚特性,然后利用Kalman滤波对流量矩阵进行估计,接着使用GLR统计测试进行异常检测,进而判断路由器端口是否受到DDoS攻击。最后,基于实际数据进行了仿真实验,结果表明,所提方法相比主成分分析(PCA)方法具有更高的检测率、更低的误检率和更小的检测延迟。     

基于源目的IP地址对数据库的防范DDos攻击策略

提出了一种基于源目的IP地址对数据库的防范分布式拒绝服务攻击(distributed denial of service attacks,简称DDos)攻击策略.该策略建立正常流量的源目的IP地址对数据库(source and destination IP address database,简称SDIAD),使用扩展的三维Bloom Filter表存储SDIAD,并采用改进的滑动窗口无参数CUSUM(cumulative sum)算法对新的源目的IP地址对进行累积分析,以快速准确地检测出DDos攻击.对于SDIAD的更新,采用延迟更新策略,以确保SDIAD的及时性、准确性和鲁棒性.实验表明,该防范DDos攻击策略主要应用于边缘路由器,无论是靠近攻击源端还是靠近受害者端,都能够有效地检测出DDos攻击,并且有很好的检测准确率.     

一种自适应非参量CUSUM控制图算法

针对CUSUM控制图中存在的固定检测门限和对异常终止反应迟钝的缺点,提出了一种自适应的非参量CUSUM控制图算法.该算法首先利用固定门限剔除野值,同时简化了对显著异常的检测过程.然后,采用简单滑动平均算法对非野值数据进行平滑,并基于切比雪夫不等式理论对平滑后的数据进行转换,使之满足非参量CUSUM算法的使用条件.最后,由算法根据数据转换结果自适应地设置CUSUM算法中的检测门限,并在发出异常告警后实施异常终止监控.在针对SYN洪流攻击的仿真检测试验中,利用该算法能够在检测时延不超过7个采样周期且攻击持续期间不发生漏警的要求下,准确地检测出最低攻击流量仅为正常业务流量20%的攻击行为.     

一种基于双工的分布式拒服务攻击检测机制

本文提出了一种基于双工(双向流)的流量分析检测机制,通过对网络节点输入及输出流量关系的分析来实现对异常流量和正常的突发流量的区分,在此基础上,提出了对研究Internet实际网络异常流量检测具有重要意义的8种状态模型,仿真结果验证了该检测机制的有效性及可行性。     

基于变动和式累积检验算法的DDoS攻击检测

在SYN Flooding攻击检测中,为了检测算法能够实时快速准确地完成检测功能,在异常发生时能够在最短时间内发出警告,同时又必须保证警告结果的准确.根据网络TCP通信业务中SYN数据包与FIN(RST)数据包流量的变化特点,利用变动和式累积检验算法PCUSUM建立检测系统,对归一化后的SYN包与FIN(RST)包差值进行实时监控,检测网络流量异常.检测过程中,算法不需要建立正常业务和攻击行为的详细模型,仿真结果表明,在保持相同检测准确度情况下,算法对SYN Flooding攻击具有较短的报警时间,提高了检测系统的性能.     

一种分布式拒绝服务攻击的检测模型

提出了一种实时检测网络是否受到DDoS攻击的新模型,解决了传统检测方法难以区分突变正常流量与异常流量的问题.结合网络正常流量的特点,提出了检测DDoS攻击的新度量和检测算法.该算法不仅结构简洁、运算速度快;而且能够充分利用已知信息,具有较强的抗干扰能力.实际检测结果表明,本模型可实现时DDoS攻击的实时检测.     

基于BF算法的网络异常流量行为检测

互联网异常流量行为会造成网页内容难以管理、吞噬网络带宽和传播病毒等危害.针对该问题,提出基于Bloom Filter(BF)算法的异常流量检测方法.以点对点(P2P)流量为检测对象,分析BF算法和传统的抽样方法,研究P2P流量常见的特征行为,统计其属性组合,并基于BF算法和抽样方法对异常流量行为进行检测.实验结果证明,该方法能加快异常流量行为的检测速度,提高检测准确率.     

基于流映射的负载均衡调度算法研究

网络管理者需要能够提供可扩展性、吞吐率保证及报文顺序的高性能路由器体系结构.目前基于Crossbar的集中式路由器体系结构难以实现性能和规模的可扩展,基于两级Mesh网络的负载均衡交换结构成为扩展Internet路由器容量的有效的途径.负载均衡路由器存在严重的报文乱序现象,输出端报文重定序复杂度为O(N2).文中提出一种区域均等的负载均衡交换结构,每k个连续的中间级输入端口划分为一个区域,输入端采用基于流映射的负载分配算法UFFS-k(Uniform Fine-grain Frame Spreading,k为聚合粒度,简称UFFS-k),在k个连续的外部时间槽,以细粒度的方式将同一条流的k个信元分派到固定的映射区域,通过理论证明,该调度策略可获得100%吞吐率并能够保证报文的顺序.为避免流量区域集中现象,采用双循环(dual-rotation)方式构建不同输入端口的流到区域的映射关系;为实现负载在中间级输入端口的均衡分布,每个输入端口维护全局统一视图的流量分布矩阵,UFFS-k调度算法根据流量分布矩阵调度单位帧,可以证明,对任意输出端口j,同一区域OQj队列长度相同且不同区域OQj队列长度至多差1,从而实现了100%负载均衡度.UFFS-k调度算法分布于每个输入端口独立执行,根据流到区域的映射关系及负载分布状态分派信元,模拟结果显示,当聚合粒度k=2时,UFFS-k算法在同类维序算法中表现出最优延迟性能.     

复合包标记IP追踪算法研究

在压缩边分段采样算法研究改进基础上,分析攻击路径距离、路由器节点流量统计对标记概率的影响,提出一种复合包标记方法。该方法可以优化算法收敛性,降低运算复杂度和重构路径的差错率,使受害者在最短时间内推测出主要攻击路径,能够很好地应用于多个分布式拒绝服务攻击的攻击源追踪中。     

基于路由器编码的自适应包标记

拒绝服务攻击由于其高发性、大危害、难防范而成为因特网上的一大难题.研究人员为此提出了各种各样的对策,其中概率包标记具有较大的潜力.然而,现有的标记方案都存在各种各样的缺点.提出了一个新的标记方案,与其他标记方法相比,该方案具有反映灵敏,误报率低和计算量小的优点.此外,该方法还限制了攻击者伪造追踪信息的能力.     

DDoS攻击检测综述*

结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,讨论了当前该领域存在的问题及今后研究的方向。     

基于IPv6改进的AMS-v6与APPM-v6方案研究

包标记算法是IPv4下追踪DDOS攻击源最多的一种方法,但IPv6下实施困难.由此对IPv6下包标记方法的可行性进行了研究.为有效和安全的部署和实施数据包标记算法,利用IPv6新的特点,并结合标记流标签等字段,提出两种基于IPv6的改进方案AMS-v6和APPM-v6.在IPv4和IPv6协议下设计模型分别对两种算法进行实验对比,仿真实验结果表明了该算法在IPv6下数据包标记的有效性和适用性,并有效减少重构时间和所需数据包数量,提高重构攻击路径的速度.     

分布式网络入侵检测系统NetNumen的设计与实现

详细介绍了在Linux环境下基于规则的分布式网络入侵检测系统NetNumen.同现有的网络入侵检测系统相比,NetNumen将异常检测(检测包到达频度的异常)和特征检测(检测特定攻击和攻击工具的固有特征)有机地结合起来,对DoS(denial of service),DdoS(distributed denial of service)攻击的检测效果较现有方法有明显的改善.     

一种基于流量统计的DDoS攻击检测方法

介绍的方法可使网络设备检测出并消除DDOS攻击。通过进出受害者或攻击者数据包流量显著的不平衡特性，网络设备可以检测出DDOS攻击。采用此方法的网络设备维护一个针对在线数据包的多层树，通过它监视数据包的流量特性。     

分布式反弹拒绝服务的分析与防范

DDoS(分布式拒绝服务)的攻击手段严重威胁着Internet的安全，在此基础上发展起来的DRDoS(分布式反弹拒绝服务)利用反弹服务器进行的攻击会对网络主机造成更大的危害。该文首先介绍了这种攻击方法的实现原理，然后就可能引发的问题进行了详细分析，最后提出了对DRDoS攻击的几条防范措施。     

基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析?

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10?36,而大部分恶意攻击者的大偏差概率则小于10?40.由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10?60时,其有效检测率可达97.5%,而误检率仅为0.6%.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5%的情况下,该机制的检测率比现有检测机制提高0.6%.     

基于大偏差统计模型的Http-Flood DDoS 检测机制及性能分析

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10-36,而大部分恶意攻击者的大偏差概率则小于10-40由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10-60时,其有效检测率可达97.5％,而误检率仅为0.6％.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5％的情况下,该机制的检测率比现有检测机制提高0.6％.     

一种多层次的追踪器部署策略*

结合K-剪枝算法,提出了一种多层次追踪器部署策略,在第一层的追踪器部署时选择较大的k值进行剪枝,以较小的改造代价部署相对较少的追踪器,来进行关键追踪,在第二层通过二次剪枝,以部署剪枝域内追踪器,对无法通过第一层次节点进行追踪的攻击进行再次追踪,确定攻击来源。该方案能够以较低的网络改造代价以及网络性能代价完成准确追踪。理论分析以及仿真结果验证了该方案的正确性和有效性。     

基于Web系统的网络安全技术分析

随着Internet的飞速发展,基于Web的系统也得到了飞速发展,但是随之而来的网络安全问题不得不引起Web程序开发者和使用者的重视。本文针对Web系统的网络安全问题进行了综合论述,阐述了存在的网络安全隐患,并分析了当前主要的网络安全技术。