基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

基于多特征分布式拒绝服务攻击的检测

分布式拒绝服务(DDoS)攻击是目前网络安全领域的一个热门话题.文章提出了一个IP流交互算法(IFI),它融合了正常流和DDoS攻击流的多特征,用IFI时间序列描述了网络流量的状态,并提出一种基于IFI时间序列的高效率的DDoS攻击检测方法(DADF).实验结果表明,IFI能很好地融合正常流和DDoS攻击流的多特征,它能有效地从正常流中区分DDoS攻击流;DADF能快速检测DDoS攻击,并且在复杂的情况下具有较高的检测率和低误报率.     

基于Multi-stream Combined隐马尔柯夫模型源端检测DDoS攻击

提出了一种新颖的综合考虑多维观测特征的DDoS攻击源端检测方法。该方法引入S-D-P特征概念，并抽取TCP/IP包头中的标志位和ID字段构成多维观测特征，采用Multi-stream Combined隐马尔可夫模型（MC-HMM）在源端网络检测DDoS攻击。大量实验表明,MC-HMM方法克服了基于一维观测特征的检测算法信息量过小的固有缺陷，能够有效降低检测的误报率和漏报率，提高DDoS攻击源端检测精度。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于时间序列分析的分布式拒绝服务攻击检测

该文分析了分布式拒绝服务(DDoS)攻击的特点,提出了一种基于流连接密度(FCD)时间序列分析的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,获得能够在多维空间描述当前流量状态的AAR模型参数向量序列,然后使用经过样本训练的支持向量机(SVM)分类器进行攻击识别;充分考虑了报警的时间间隔及分布情况,提出一种报警可信度评估算法对SVM分类结果进行二次处理,以消除网络流量噪声及分类错误所带来的影响．实验结果显示,该检测方法能够有效检测DDoS攻击,可信度评估算法能够明显减少误报,降低误报率,显著提高检测质量．     

一种运用限幅自相似性的新型DDoS入侵检测机制

本文提出了一种新型的DDoS入侵检测方法，在建立正常网络流量模型基础上，对网络流量的自相似性-Hurst参数、Hurst参数的时变函数H(t)进行分析，对网络流量进行实时限幅，由自相似性的变化来预测DDoS攻击，并用数据库对攻击定住。试验表明基于网络流量的统计分析方法能够在一定程度上检测出DDoS攻击，比传统的基于特征匹配的DDoS入侵检测方法，在实时性、准确率上有较大提高。     

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。     

改进的基于熵的DDoS攻击检测方法

基于熵的分布式拒绝服务攻击(DDoS)攻击的检测方法相比其他基于流量或特征的检测方法,具有计算简便、灵敏度高、误报率低、不增加额外网络流量、不增加额外硬件成本等特点。为了进一步提高了DDoS攻击检测的准确率,并降低误报率,提出一种改进的基于熵的DDoS攻击检测方法。该方法将DDoS攻击细分为不同的威胁等级,对每个威胁等级的攻击进行不同次数的检测。NS-2模拟实验结果验证了其有效性。     

基于NetFlow的网络测量

本文提出了基于NetFlow的网络流量采集,检测整个网络DoS／DDoS攻击的方法,特别是流量变化比较大的大型网站的DoS／DDoS攻击的异常检测和防御。设计的入侵检测系统利用Cisco路由器的NetFlow技术,采集单位时间每个路由器端口的流量大小作为观测序列,采用HSMM（隐半马尔可夫模型）,检测可能存在的攻击,能达到较好的检测效果。     

Deciding optimal entropic thresholds to calibrate the detection mechanism for variable rate DDoS attacks in ISP domain: honeypot based approach

High bandwidth DDoS attacks consume more resources and have direct impact at ISP level in contrast to low rate DDoS attacks which lead to graceful degradation of network and are mostly undetectable. Although an array of detection schemes have been proposed, current requirement is a real time DDoS detection mechanism that adapts itself to varying network conditions to give minimum false alarms. DDoS attacks that disturb the distribution of traffic features in ISP domain are reflected by entropic variations on in stream samples. We propose honeypot detection for attack traffic having statistically similar distribution features as legitimate traffic. Next we propose to calibrate the detection mechanism for minimum false alarm rate by varying tolerance factor in real time. Simulations are carried out in ns-2 at different attack strengths. We also report our experimental results over MIT Lincoln lab dataset and its subset KDD 99 dataset. Results show that the proposed approach is comparable to previously reported approaches with an advantage of variable rate attack detection with minimum false positives and negatives.     

结合概率图模型与DNN的DDoS攻击检测方法

从传统网络到物联网,分布式拒绝服务攻击一直是网络安全的隐患。为提高分布式拒绝服务攻击的检测率,提出基于概率图模型与深度神经网络的DDoS攻击检测方案。该检测方案由数据预处理阶段和攻击检测阶段组成,在数据预处理阶段,研究了正常数据包与攻击包的区别,分别从TCP、UDP以及IP数据包包头信息提取出较高维的统计特征,根据随机森林计算的特征重要性因子,保留了前22个特征用于流量检测。22个统计特征通过概率图模型的隐马尔科夫算法进行聚类,然后将聚类结果通过检测阶段的深度神经网络对网络数据进行进一步的检测。在CICDoS数据集上进行验证性实验,结果表明,该检测方法的准确率最高可达99.35%,最低检测误报率和漏警率分别可达0.51%和0.12%。     

基于可编程协议无关报文处理的分布式拒绝服务攻击检测

传统软件定义网络（SDN）中的分布式拒绝服务（DDoS）攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理（P4）可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络（data standardization-deep neural network,DS-DNN）复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。     

基于网络流量的应用层DDoS攻击检测方法研究

根据应用层DDoS攻击和正常网络流量在特征上的不同,提出一种基于流量分析的应用层DDoS攻击检测方法,通过对源IP地址进行分析,能够有效地识别应用层DDoS攻击.同时,针对DDoS攻击流量和突发流量的相似性,在识别DDoS攻击的同时,能够正确区分突发流量,减少误报和漏报.     

一种基于小波分析的DDoS攻击检测方法

通过对网络流量的分形特性和分布式拒绝服务（DDoS）的特点进行研究,提出了一种基于小波分析的DDoS攻击检测方法,并设计了该方法检测攻击的模型。对网络流量的分形特性进行判断,然后对具有自相似特性和多重分形特性的网络流量,分别采用基于小波分析的Hurst指数方差法和基于多窗口小波分析的Holder指数法检测DDoS攻击。通过对DARPA 2000年数据的实验表明,该方法能够有效地检测到攻击,对大流量背景攻击、低速率攻击、反射式攻击也都达到了较高的检测率,比传统方法有效。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

DDOS攻击检测和防御模型

提出了基于聚集和协议分析防御分布式拒绝服务攻击(aggregate-based protocol analysis anti-DDoS,简称APA-ANTI-DdoS)模型来检测和防御DDoS攻击.APA-ANTI-DDoS模型包括异常流量聚集、协议分析和流量处理.异常流量聚积把网络流量分为正常流量和异常流量;协议分析寻找异常流量中DDoS攻击流量的特征;流量处理则根据当前的DDoS攻击流量特征,过滤异常流量并测试当前聚积流量的拥塞控制特性,恢复被误判的流量.随后实现了APA-ANTI-DDoS系统.实验结果表明,APA-ANTI-DDoS模型能很好地识别和防御DDoS攻击,能在误判时恢复非攻击流量,保证合法的正常网络通信.