一种分布式拒绝服务攻击的检测模型

提出了一种实时检测网络是否受到DDoS攻击的新模型,解决了传统检测方法难以区分突变正常流量与异常流量的问题.结合网络正常流量的特点,提出了检测DDoS攻击的新度量和检测算法.该算法不仅结构简洁、运算速度快;而且能够充分利用已知信息,具有较强的抗干扰能力.实际检测结果表明,本模型可实现时DDoS攻击的实时检测.     

一种基于小波分析的DDoS攻击检测方法

通过对网络流量的分形特性和分布式拒绝服务（DDoS）的特点进行研究,提出了一种基于小波分析的DDoS攻击检测方法,并设计了该方法检测攻击的模型。对网络流量的分形特性进行判断,然后对具有自相似特性和多重分形特性的网络流量,分别采用基于小波分析的Hurst指数方差法和基于多窗口小波分析的Holder指数法检测DDoS攻击。通过对DARPA 2000年数据的实验表明,该方法能够有效地检测到攻击,对大流量背景攻击、低速率攻击、反射式攻击也都达到了较高的检测率,比传统方法有效。     

基于提升小波的DDoS实时检测

以小波法估计Hurst指数为基础,提出了基于提升算法的实时Hurst指数估计法。由NS2仿真实验的结果分析出检测DDoS攻击时流量样本与Hurst指数的关系,得到检测DDoS的实时方法.与传统检测方法相比,该法实时高效。     

一种IPv6环境下DDoS实时检测方法

DDoS攻击是当今网络包括下一代网络IPv6中最严重的威胁之一,提出一种基于流量自相似的IPv6的实时检测方法。分别采用改进的WinPcap实现流数据的实时捕获和监测,和将Whittle ML方法首次应用于DDoS攻击检测。针对Hurst估值方法的选择和引入DDoS攻击流的网络进行对比仿真实验,结果表明:Hurst估值相对误差,Whittle ML方法比小波变换减少0.07%;检测到攻击的误差只有0.042%,准确性达99.6%;增强了DDoS攻击检测的成功率和敏感度。     

基于时间序列分析的Web服务器DDoS攻击检测

摘要: 分布式拒绝服务攻击(Distributed Denial of Service, DDoS)的目标是破坏网络服务的有效性,是当前Web服务安全的主要威胁之一。本文提出了一种基于时间序列分析的DDoS攻击检测方法。该方法利用网络流量的自相似性,建立Web流量时间序列变化的自回归模型,通过动态分析Web流量的突变来检测针对Web服务器的DDoS攻击。在此基础上,通过对报警数据的关联分析,获得攻击的时间和位置信息。实验结果表明：该方法能有效检测针对Web服务器的DDoS攻击。     

基于实时方差时间图法的DDoS攻击检测

分布式拒绝服务攻击(DDoS)是目前最难解决的网络安全问题之一。基于自相似理论求解Hurst参数值存在的问题,在改进的方差时间图算法(OTVTP)的基础上,文章提出了基于自相似参数方差检测DDoS攻击的方法,并设计了采用该方法检测DDoS攻击的模型。实验结果表明,提出的方法能实时、准确检测和区分由DDoS攻击引起的Hurst参数变化,且检测率比传统方法要高。     

基于数据预处理的DDoS攻击检测方法研究

利用小波分解网络流量的方法,提出了一种基于数据预处理的分布式拒绝服务DDoS攻击检测算法。通过对小尺度流量数据进行预处理,使得短相关的网络流量体现出长相关性并保持小尺度模型的时间敏感度,满足了Hurst指数刻画多分形模型的条件,解决了现有小尺度网络异常实时检测方法的缺陷,如Holder指数检测算法误报率高、VTP检测法检测率不足等问题。     

基于改进小波分析的DDoS攻击检测方法

为准确及时检测DDoS攻击,在研究小波分析法检测DDoS攻击的基础上,提出一种基于主成分分析法和小波分析法的自适应DDoS检测方法,设计采用该方法检测DDoS攻击的模型及算法,分析其增大正常网络流量与异常网络流量之间Hurst参数差值的原因。实验结果表明,该方法减弱了检测结果对门限值的依赖性,提高检测率,防止漏报、误报情况的发生,且由于网络数据维数的降低,该方法大幅提高了检测速度。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

基于分组无关问题模型的隐私保护算法

针对分组无关问题模型存在隐私泄露的问题,提出一种改进的分组无关问题模型,采用随机响应的方法,通过对原始数据进行伪装变换处理,实现具有隐私保护的关联规则挖掘。实验结果表明,改进后的模型在伪装变换后的数据集上挖掘出的规则与原始数据规则相比,保证了低误差,具有较好的隐私保护性。     

基于FRFT自相似参数估计的异常流量检测方法

针对传统异常流量检测方法检测精度较低, Hurst指数估计受估计序列尺度的影响, 提出了基于分数阶傅里叶变换（FRFT）估计Hurst指数的方法。在此基础上, 实现了基于Hurst指数变化的异常检测, 有效解决了方法实现过程中FRFT最佳估计的分数阶阶数选择及Hurst参数求解的关键问题。实验表明, 基于FRFT的估计不受序列非平稳性影响, 对Hurst指数估计具有较高的估计精度, 并且可以准确地检测网络异常。     

基于Hurst指数方差分析的DDoS攻击检测方法

研究分布式拒绝服务(DDoS)攻击对网络自相似性的影响,提出一种通过计算Hurst指数方差检测DDoS攻击的方法,通过使用MIT的林肯实验室数据进行试验,得出DDoS攻击的判决条件。实验表明,该方法能检测DDoS攻击引起的Hurst指数方差的变化,其检测率比传统的特征匹配方法高出8%,误报率比自相似性检测方法低了3%。     

基于动态阈值的网络异常检测

基于Hurst指数进行异常检测的模型多采用固定阈值的方法,不能很好的适应动态变化的网络环境.针对该问题设计了一种基于动态阈值的检测方法,该方法在采用Hurst指数分析的基础上,通过EWMA和滑动窗口模型控制有效数据的个数并根据网络的变化动态调整检测阈值,提高了模型的检测能力.实验结果表明,在采用动态阈值进行DDOS异常检测时具有较高的检测率.     

基于支持向量机和Hurst指数的集成入侵检测研究

提出了一种将SVM算法与Hurst指数相结合的入侵检测方法—集成入侵检测。DARPA上的测试结果表明,该方法不仅能够发现网络中已知的攻击,还能够确定网络中未知的攻击,提高了入侵检测的效率。     

校园网网络流量自相似性的测定

根据自相似性理论,网络流量自相似性的程度可由计算Hurst参数的大小来测定。本文通过在校园网主干路上进行网络数据包的采集,然后用方差时间方法和R／S方法计算所采集流量的Hurst参数值,以检测校园网网络流量的自相似性。通过实验的分析与比较,验证了自相似性的存在,并对如何运用Hurst值的变化来进行流量异常检测做了初步的 探讨。     

基于Hurst参数的DoS/DDoS攻击实时检测技术研究

在对VTP方法分析的基础上,对基于VTP的实时在线计算Hurst参数技术进行了性能分,并利用这种技术,对MIT的林肯实验室数据进行了分析,得出了DDoS攻击过程中,网络流量的自相似模型的Hurst参数变化规律,并由此总结出一种基于Hurst参数实时检测DDoS攻击发生的技术。