首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到20条相似文献,搜索用时 109 毫秒
1.
一种基于Hurst参数的SYN Flooding攻击实时检测方法   总被引:1,自引:0,他引:1  
严芬  王佳佳  殷新春  黄皓 《计算机科学》2008,35(12):109-113
提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.  相似文献   

2.
分布式拒绝服务攻击(distributed denial of service, DDoS)是网络安全领域的一大威胁. 作为新型网络架构, 软件定义网络(software defined networking, SDN)的逻辑集中和可编程性为抵御DDoS攻击提供了新的思路. 本文设计并实现了一个轻量级的SDN环境下的DDoS攻击检测和缓解系统. 该系统使用熵值检测方法, 并通过动态阈值进行异常判断. 若异常, 系统将使用更精确的决策树模型进行检测. 最后, 控制器通过计算流的包对称率确定攻击源, 并下发阻塞流表项. 实验结果表明, 该系统能够及时响应DDoS攻击, 具有较高的检测成功率, 并能够有效遏制攻击.  相似文献   

3.
一种轻量级的拒绝服务攻击检测方法   总被引:14,自引:0,他引:14  
陈伟  何炎祥  彭文灵 《计算机学报》2006,29(8):1392-1400
分布式拒绝服务攻击的原理简单,但危害严重.在攻击源端的检测方法有诸多优点,但也存在着挑战,如攻击源端攻击数据流量小,不易检测,不能使用服务商过多的资源等.文中针对这些特点提出了一种在攻击源端的轻量级方法.该方法使用Bloom Filter对网络数据进行提取,在此基础上使用变化点检测方法对数据进行分析,可以达到使用少量资源进行准确检测的目的.重放DARPA数据的实验表明,在使用相同存储开销的前提下,该方法与同类工作相比,检测结果更准确,计算资源消耗更少.  相似文献   

4.
基于攻击检测的网络安全风险评估方法   总被引:1,自引:0,他引:1  
为了实时评估网络安全风险,建立了用于描述主机安全状态的隐马尔可夫模型,以入侵检测系统的报警信息作为模型输入,计算主机处于被攻击状态的概率.针对攻击报警,提出了一种新的攻击成功概率计算方法,然后结合攻击威胁度计算主机节点的风险指数.最后利用主机节点重要性权重与节点风险指数量化计算网络风险.实例分析表明,该方法能够动态绘制网络安全风险态势曲线,有利于指导安全管理员及时调整安全策略.  相似文献   

5.
分布式网络异常攻击检测模型仿真分析   总被引:2,自引:1,他引:1  
针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。  相似文献   

6.
根据网络蠕虫攻击的特点,建立了能够反映蠕虫扫描特征的失败连接流量(FCT)时间序列,提出了一种基于FCT时间序列小波包能量特征和支持向量机(SVM)的蠕虫检测新方法。该方法利用小波包分析计算FCT时间序列在各频带投影序列的能量分布,获得能够表征蠕虫扫描的特征向量,使用经过样本训练的SVM分类器进行分类,实现蠕虫攻击扫描的自动检测。实验结果表明,该方法能够比较准确地检测蠕虫攻击,和理论值相比,漏报率低于6%,误报率低于1%。  相似文献   

7.
分析了分布式拒绝服务(Distributed Denial of Service,DDoS)攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。  相似文献   

8.
田志成  张伟哲  乔延臣  刘洋 《软件学报》2023,34(4):1926-1943
深度学习已经逐渐应用于恶意代码检测并取得了不错的效果.然而,最近的研究表明:深度学习模型自身存在不安全因素,容易遭受对抗样本攻击.在不改变恶意代码原有功能的前提下,攻击者通过对恶意代码做少量修改,可以误导恶意代码检测器做出错误的决策,造成恶意代码的漏报.为防御对抗样本攻击,已有的研究工作中最常用的方法是对抗训练.然而对抗训练方法需要生成大量对抗样本加入训练集中重新训练模型,效率较低,并且防御效果受限于训练中所使用的对抗样本生成方法.为此,提出一种PE文件格式恶意代码对抗样本检测方法,针对在程序功能无关区域添加修改的一类对抗样本攻击,利用模型解释技术提取端到端恶意代码检测模型的决策依据作为特征,进而通过异常检测方法准确识别对抗样本.该方法作为恶意代码检测模型的附加模块,不需要对原有模型做修改,相较于对抗训练等其他防御方法效率更高,且具有更强的泛化能力,能够防御多种对抗样本攻击.在真实的恶意代码数据集上进行了实验,实验结果表明,该方法能够有效防御针对端到端PE文件恶意代码检测模型的对抗样本攻击.  相似文献   

9.
无线通信网络的脆弱性使工业信息物理系统(ICPS)的稳定性容易遭受拒绝服务(DoS)攻击的影响.为检测ICPS中的DoS攻击,本文基于反馈控制理论,采用卡尔曼滤波器和χ2检测器结合的检测方案建立攻击检测模型.卡尔曼滤波器用于去除环境噪声,并得到测量残差;χ2检测器通过测量残差得到检测值,再结合攻击检测判决规则,判断系统是否受到DoS攻击.为证明所采用方法的有效性,以球杆系统为被控对象,通过Simulink/TrueTime进行仿真,并使用欧几里得检测器作对比实验.实验结果表明,基于反馈控制理论的攻击检测模型可以有效地检测ICPS中的DoS攻击;相较于欧几里得检测器,χ2检测器能够更好地检测DoS攻击.  相似文献   

10.
针对微电网环境下虚假数据注入攻击的状态估计问题,提出了一种基于分析状态测量值增量的攻击检测机制.在假设系统稳态的情况下,对系统测量值的增量,进行关于χ2的假设检验,能够有效检测出精心设计的攻击.对本文提出的方法在Matlab中进行仿真,实验结果表明在特定的系统情况下,对于非恒定的攻击,该方法能提高检测出攻击的成功率.  相似文献   

11.
基于AdaCostBoost算法的网络钓鱼检测   总被引:1,自引:0,他引:1  
针对日益严重的网络钓鱼攻击, 提出机器学习的方法进行钓鱼网站的检测和判断. 首先, 根据URL提取敏感特征, 然后, 采用AdaBoost算法进行训练出分类器, 再用训练好的分类器对未知URL检测识别. 最后, 针对非平衡代价问题, 采用了改进后的AdaBoost算法--AdaCostBoost, 加入代价因子的计算. 实验结果表明, 文中提出的网络钓鱼检测方法, 具有较优的检测性能.  相似文献   

12.
PTIR:一个用于检测恶意主机攻击的记录协议   总被引:3,自引:0,他引:3  
移动代理作为一种分布计算和移动计算的支撑技术,得到广泛研究。但由于移动代理的迁移执行,引起一全新安全问题:如何保护遭主机攻击的移动代理?即恶意主机问题,从检测恶意主机攻击的角度出发,人们提出了基于参考状态(reference states)的方法,但目前所提出方法的开销都比较大。认为只需记录移动代理在各主机运行时的输入和运行后的结果即可,基于此,提出新的检测恶意主机攻击的协议PTIR(a protocol tracing inputs and results to detect malicious host‘s attacks),比较分析表明,新协议的检测开销有较大降低。  相似文献   

13.
Sybil攻击会破坏无线传感器网络的冗余备份、多路径路由等机制,基于INSENS路由协议中的路由建立机制,从事件观测区域到基站建立两条路径,建立第二条路径的同时,利用节点与邻居节点间的距离,以及第一条路径中节点的位置信息检测出Sybil攻击,从而建立绕过Sybil攻击的第二条路径,将事件区域观测到的数据传输给基站。实验表明提出的方法能够使路径有效地绕过Sybil攻击,并且建立的安全路由协议在节点计算量、存储量及能量消耗三方面的性能均低于采用共享密钥进行身份认证的防范和检测Sybil攻击方法中的开销。  相似文献   

14.
为了提高基于小波变换的数字水印算法抵抗图像旋转攻击的能力,文章提出一种抗旋转攻击的小波域数字水印算法。对于旋转造成的几何攻击,我们可通过Radon变换计算原始图像水印在角度为0°的一组投影参照向量R0和待检测图像在0°~359°之间的投影参照向量R,然后对R的每一组投影参照向量与R0作相关系数计算。找到其相关系数最大的投影参照向量所对应的角度θ。在水印检测前先利用角度θ对图像进行几何校正,然后进行水印的提取。通过仿真实验结果证明,该方法可以获得良好的图像视觉效果,对于旋转几何攻击具有很强的鲁棒性,同时对于加噪、滤波、JPEG压缩、剪切攻击也具有很好的鲁棒性。  相似文献   

15.
无线传感器网络中的Sybil攻击会破坏无线传感器网络的路由算法、公平资源分配等机制,因此研究Sybil攻击的防范和检测方法存在一定的意义.分析了Sybil攻击的破坏性,阐述了目前已有的防范和检测Sybil攻击的方法,并针对目前已有方法的不足,提出了从节点的能量消耗、计算量等性能进行优化出发,设计出有效的Sybil攻击防范和检测机制.  相似文献   

16.
Distributed Denial of Service (DDoS) flooding attacks are one of the typical attacks over the Internet. They aim to prevent normal users from accessing specific network resources. How to detect DDoS flooding attacks arises a significant and timely research topic. However, with the continuous increase of network scale, the continuous growth of network traffic brings great challenges to the detection of DDoS flooding attacks. Incomplete network traffic collection or non-real-time processing of big-volume network traffic will seriously affect the accuracy and efficiency of attack detection. Recently, sketch data structures are widely applied in high-speed networks to compress and fuse network traffic. But sketches suffer from a reversibility problem that it is difficult to reconstruct a set of keys that exhibit abnormal behavior due to the irreversibility of hash functions. In order to address the above challenges, in this paper, we first design a novel Chinese Remainder Theorem based Reversible Sketch (CRT-RS). CRT-RS is not only capable of compressing and fusing big-volume network traffic but also has the ability of reversely discovering the anomalous keys (e.g., the sources of malicious or unwanted traffic). Then, based on traffic records generated by CRT-RS, we propose a Modified Multi-chart Cumulative Sum (MM-CUSUM) algorithm that supports self-adaptive and protocol independent detection to detect DDoS flooding attacks. The performance of the proposed detection method is experimentally examined by two open source datasets. The experimental results show that the method can detect DDoS flooding attacks with efficiency, accuracy, adaptability, and protocol independability. Moreover, by comparing with other attack detection methods using sketch techniques, our method has quantifiable lower computation complexity when recovering the anomalous source addresses, which is the most important merit of the developed method.  相似文献   

17.
无线传感器网络中的Sybil攻击检测   总被引:2,自引:0,他引:2  
余群  张建明 《计算机应用》2006,26(12):2897-2899
对Sybil攻击进行了研究,提出了一种基于地理位置信息的检测方法。利用基站和节点间传输的数据包信息检测部分Sybil攻击,构造多条路径,定义查询包,对通过不同路径到达目标节点的查询包中的字段值进行比较,再结合多跳确认机制,检测网络中的Sybil攻击。这种方法避免了传统的加密、身份认证等方法带来的高计算量和通信量,节省了节点能量。  相似文献   

18.
In this paper, we present a new rule-based method to detect phishing attacks in internet banking. Our rule-based method used two novel feature sets, which have been proposed to determine the webpage identity. Our proposed feature sets include four features to evaluate the page resources identity, and four features to identify the access protocol of page resource elements. We used approximate string matching algorithms to determine the relationship between the content and the URL of a page in our first proposed feature set. Our proposed features are independent from third-party services such as search engines result and/or web browser history. We employed support vector machine (SVM) algorithm to classify webpages. Our experiments indicate that the proposed model can detect phishing pages in internet banking with accuracy of 99.14% true positive and only 0.86% false negative alarm. Output of sensitivity analysis demonstrates the significant impact of our proposed features over traditional features. We extracted the hidden knowledge from the proposed SVM model by adopting a related method. We embedded the extracted rules into a browser extension named PhishDetector to make our proposed method more functional and easy to use. Evaluating of the implemented browser extension indicates that it can detect phishing attacks in internet banking with high accuracy and reliability. PhishDetector can detect zero-day phishing attacks too.  相似文献   

19.
陈志锋  李清宝  张平  王烨 《软件学报》2017,28(7):1732-1745
近年来,代码复用攻击与防御成为安全领域研究的热点.内核级代码复用攻击使用内核自身代码绕过传统的防御机制.现有的代码复用攻击检测与防御方法多面向应用层代码复用攻击,忽略了内核级代码复用攻击.为有效检测内核级代码复用攻击,提出了一种基于细粒度控制流完整性(CFI)的检测方法.首先根据代码复用攻击原理和正常程序控制流构建CFI约束规则,然后提出了基于状态机和CFI约束规则的检测模型.在此基础上,基于编译器辅助实现CFI标签指令插桩,并在Hypervisor中实现CFI约束规则验证,提高了检测方法的安全性.实验结果表明该方法能够有效检测内核级代码复用攻击,并且性能开销不超过60%.  相似文献   

20.
Denial-of-service (DOS) is a type of computer attack, which can essentially disable computers and networks.Resource consumption type of DOS attack could not be detected by the traditional misuse detection technique. This paper presents a new method of support vector mchine (SVM) to detect these attacks. We find that a DOS attack to a host is related to the activities within an impact data set of the host. The SVM method is used to classify the subsets of an impact data set to estimate its anomalism. The experiment result shows that this method can detect resource consumption type of DOS attacks, such as SYNflood, Smurf and UDP-storm. A receiver operating characteristic curve is plotted to determine performance for any possible operating point of the DOS attacks detection.  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号