首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到20条相似文献,搜索用时 93 毫秒
1.
基于网络连接分析的DDoS攻击检测模型   总被引:6,自引:0,他引:6  
吴庆涛  邵志清  钱夕元 《计算机工程》2006,32(10):135-136,166
分布式拒绝服务(Distmuted Denial of Service,DDoS)攻击是当前网络安全的主要威胁之一。通过对网络连接特征的分析,提出了一种DDoS攻击检测模型。该模型利用DDoS早期攻击阶段的固有特性,从网络连接数据的统计分析中探寻系统正常行为的分布规律并确定DDoS攻击检测阈值。最后,通过模拟攻击实验验证了检测模型的有效性。实验结果表明,该模型能快速有效地实现对早期DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。  相似文献   

2.
分析了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。  相似文献   

3.
季燕 《计算机科学》2013,40(7):129-130,161
目前应用层DDoS攻击严重危害互联网的安全。现有的检测方法只针对某种特定的应用层DDoS攻击,而不能识别应用层上其它的DDoS攻击。为了能快速有效地识别出多种应用层DDoS攻击,提出一种基于请求关键词的应用层DDoS攻击检测方法,该方法以单位时间内请求关键词的频率分布差和个数作为输入,采用隐马尔可夫模型来检测应用层DDoS攻击。实验结果表明,该方法对应用层上的多种DDoS攻击都具有很高的检测率和较低的误报率。  相似文献   

4.
对DDoS攻击中傀儡机的管理进行研究,提出了DDoS攻击的傀儡机动态分布策略,该策略根据实际需要可以定时随机改变傀儡机在僵尸网络中的层次位置,也可以根据傀儡机配置信息以及当时的性能情况择优确定傀儡机位置,从而增加了DDoS攻击灵活性和攻击效果,也增加了被攻击方追踪检测的难度和DDoS攻击的隐蔽性。  相似文献   

5.
陆军  杜蕾 《电脑学习》2011,(3):79-81
对DDoS攻击中傀儡机的管理进行研究,提出了DDoS攻击的傀儡机动态分布策略,该策略根据实际需要可以定时随机改变傀儡机在僵尸网络中的层次位置,也可以根据傀儡机配置信息以及当时的性能情况择优确定傀儡机位置,从而增加了DDoS攻击灵活性和攻击效果,也增加了被攻击方追踪检测的难度和DDoS攻击的隐蔽性。  相似文献   

6.
基于小波神经网络的DDoS攻击检测及防范   总被引:3,自引:0,他引:3  
DDoS攻击的检测及防范是目前计算机安全研究领域中的难点和热点。文章在系统地分析比较国内外DDoS攻击检测及防范理论和方法的基础上,根据DDoS攻击时引起网络数据流异常波动的特点,运用小波神经网络理论和方法,建立了DDoS检测和防范模型,并据此设计了相应的软件产品。仿真结果显示,该方法能有效地检测和防范DDoS攻击。  相似文献   

7.
一种基于小波求解的DDoS攻击检测模型   总被引:1,自引:0,他引:1  
分析了小波求解检测DDoS攻击的方法,提出了一种基于小波求解的DDoS检测模型。通过实时监控网络的数据流量,形成实时流量序列,动态的更新分解尺度,对网络流量序列的长相关性的特征值Hurst指数实时监控,以此来检测DDoS攻击。实验证明,该模型能实时有效地检测到DDoS攻击的发生,检测率和误检率都较好,耗时较短。  相似文献   

8.
基于改进小波分析的DDoS攻击检测方法   总被引:3,自引:0,他引:3       下载免费PDF全文
为准确及时检测DDoS攻击,在研究小波分析法检测DDoS攻击的基础上,提出一种基于主成分分析法和小波分析法的自适应DDoS检测方法,设计采用该方法检测DDoS攻击的模型及算法,分析其增大正常网络流量与异常网络流量之间Hurst参数差值的原因。实验结果表明,该方法减弱了检测结果对门限值的依赖性,提高检测率,防止漏报、误报情况的发生,且由于网络数据维数的降低,该方法大幅提高了检测速度。  相似文献   

9.
基于地址相关度的分布式拒绝服务攻击检测方法   总被引:1,自引:0,他引:1  
分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.  相似文献   

10.
基于特征参数相关性的DDoS攻击检测算法   总被引:1,自引:1,他引:0  
针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性.  相似文献   

11.
随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。  相似文献   

12.
Creating defenses against flooding-based, distributed denial-of-service (DDoS) attacks requires real-time monitoring of network-wide traffic to obtain timely and significant information. Unfortunately, continuously monitoring network-wide traffic for suspicious activities presents difficult challenges because attacks may arise anywhere at any time and because attackers constantly modify attack dynamics to evade detection. In this paper, we propose a method for early attack detection. Using only a few observation points, our proposed method can monitor the macroscopic effect of DDoS flooding attacks. We show that such macroscopic-level monitoring might be used to capture shifts in spatial-temporal traffic patterns caused by various DDoS attacks and then to inform more detailed detection systems about where and when a DDoS attack possibly arises in transit or source networks. We also show that such monitoring enables DDoS attack detection without any traffic observation in the victim network.  相似文献   

13.
Distributed Denial of Service (DDoS) attacks have been increasing with the growth of computer and network infrastructures in Ubiquitous computing. DDoS attacks generating mass traffic deplete network bandwidth and/or system resources. It is therefore significant to detect DDoS attacks in their early stage. Our previous approach used a traffic matrix to detect DDoS attacks quickly and accurately. However, it could not find out to tune up parameters of the traffic matrix including (i) size of traffic matrix, (ii) time based window size, and (iii) a threshold value of variance from packets information with respect to various monitored environments and DDoS attacks. Moreover, the time based window size led to computational overheads when DDoS attacks did not occur. To cope with it, we propose an enhanced DDoS attacks detection approach by optimizing the parameters of the traffic matrix using a Genetic Algorithm (GA) to maximize the detection rates. Furthermore, we improve the traffic matrix building operation by (i) reforming the hash function to decrease hash collisions and (ii) replacing the time based window size with a packet based window size to reduce the computational overheads. We perform experiments with DARPA 2000 LLDOS 1.0, LBL-PKT-4 of Lawrence Berkeley Laboratory and generated attack datasets. The experimental results show the feasibility of our approach in terms of detection accuracy and speed.  相似文献   

14.
低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点。现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率 DDoS 攻击检测方法。模拟不同类型的低速率DDoS 攻击和 5G 环境下不同场景的正常流量,在网络入口处收集流量并提取其流特征信息,得到多类型低速率DDoS攻击数据集;从统计阈值和特征工程的角度,分别分析了不同类型低速率DDoS攻击的特征,得到了40维的低速率DDoS攻击有效特征集;基于该有效特征集采用CNN-RF混合深度学习算法进行离线训练,并对比该算法与LSTM-LightGBM和LSTM-RF算法的性能;在网关处部署CNN-RF检测模型,实现了多类型低速率DDoS攻击的在线检测,并使用新定义的错误拦截率和恶意流量检测率指标进行了性能评估。结果显示,在120 s的时间窗口下,所提方法能够在线检测出4种类型的低速率DDoS攻击,包括Slow Headers攻击、Slow Body 攻击、Slow Read 攻击和 Shrew 攻击,错误拦截率达到 11.03%,恶意流量检测率达到 96.22%。结果表明,所提方法能够显著降低网络入口处的低速率DDoS攻击流量强度,并在实际环境中部署和应用。  相似文献   

15.
李颖之  李曼  董平  周华春 《计算机应用》2022,42(12):3775-3784
针对应用层分布式拒绝服务(DDoS)攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞(CC)、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。  相似文献   

16.
In this paper, we propose a behavior-based detection that can discriminate Distributed Denial of Service (DDoS) attack traffic from legitimated traffic regardless to various types of the attack packets and methods. Current DDoS attacks are carried out by attack tools, worms and botnets using different packet-transmission rates and packet forms to beat defense systems. These various attack strategies lead to defense systems requiring various detection methods in order to identify the attacks. Moreover, DDoS attacks can craft the traffics like flash crowd events and fly under the radar through the victim. We notice that DDoS attacks have features of repeatable patterns which are different from legitimate flash crowd traffics. In this paper, we propose a comparable detection methods based on the Pearson’s correlation coefficient. Our methods can extract the repeatable features from the packet arrivals in the DDoS traffics but not in flash crowd traffics. The extensive simulations were tested for the optimization of the detection methods. We then performed experiments with several datasets and our results affirm that the proposed methods can differentiate DDoS attacks from legitimate traffics.  相似文献   

17.
Kejie  Dapeng  Jieyan  Sinisa  Antonio 《Computer Networks》2007,51(18):5036-5056
In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.  相似文献   

18.
针对传统检测方法存在精度低、训练复杂度高、适应性差的问题,提出了基于快速分数阶Fourier变换估计Hurst数的DDoS攻击检测方法。利用DDoS攻击对网络流量自相似性的影响,通过监测Hurst指数变化阈值判断是否存在DDoS攻击。在DARPA2000数据集和不同强度TFN2K攻击流量数据集上进行了DDoS攻击检测实验,实验结果表明,基于FFrFT的DDoS攻击检测方法有效,相比于常用的小波方法,该方法计算复杂度低,实现简单,Hurst4数估计精度更高,能够检测强度较弱的DDoS攻击,可有效降低漏报、误报率。  相似文献   

19.
与传统的基于低层协议的DDoS攻击相比,应用层DDoS具有更加显著的攻击效果,而且更加难以检测。现有的解决方法包括:特征检测、流量限制、隐半马尔可夫模型等。这些方法在检测应用层DDoS攻击(如,HTTP Get Flood)攻击时检测率不高或者检测速度较慢。提出的基于用户浏览行为的检测方法对HTTPFlood攻击检测效果明显得到改善。  相似文献   

20.
针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号