基于URL动态映射的HTTP DDOS防御模型

应用层分布式拒绝服务攻击(APP-DDoS)越来越普遍,也更加难以防御。针对常见且攻击效果明显的HTTP服务DDoS攻击,提出一种基于URL动态映射的防御模型。通过对客户端请求的资源地址进行动态映射,隐藏资源的真实物理地址,保证只有在映射地址有效时,用户才能获得Web服务器的真正资源响应。实验验证,该模型通过URL动态映射技术使攻击者在发起攻击时无法准确定位攻击资源,从而确保了正常用户对应用层资源的有效访问,提高了应用层HTTP服务的抗攻击性。     

应用层洪泛攻击的异常检测

从近年的发展趋势看, 分布式拒绝服务攻击已经从原来的低层逐渐向应用层发展, 它比传统的攻击更加有效且更具隐蔽性. 为检测利用合法应用层HTTP请求发动的洪泛攻击, 本文把应用层洪泛攻击视为一种异常的用户访问行为, 从用户浏览行为的角度实现攻击检测. 基于实际网络流的试验表明,该模型可以有效测量Web用户的访问行为正常度并实现应用层的DDoS洪泛攻击检测.     

基于时间序列分析的应用层DDoS攻击检测

根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对参数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。     

基于Web行为轨迹的应用层DDoS攻击防御模型

为了有效防御应用层分布式拒绝服务攻击（DDoS）,定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型。把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。     

基于大偏差统计模型的Http-Flood DDoS 检测机制及性能分析

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10-36,而大部分恶意攻击者的大偏差概率则小于10-40由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10-60时,其有效检测率可达97.5％,而误检率仅为0.6％.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5％的情况下,该机制的检测率比现有检测机制提高0.6％.     

基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析?

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10?36,而大部分恶意攻击者的大偏差概率则小于10?40.由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10?60时,其有效检测率可达97.5%,而误检率仅为0.6%.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5%的情况下,该机制的检测率比现有检测机制提高0.6%.     

应用层DDOS攻击检测技术研究

随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。     

基于用户行为分析的应用层DDoS攻击检测方法*

应用层拒绝服务攻击与传统的拒绝服务相比,其破坏性更大,也更难被检测和防御。对此,基于用户浏览行为的分析,提出了一种采用自回归模型来检测应用层DDoS攻击的方法。通过AR模型和卡尔曼滤波,学习和预测正常用户的访问并判断异常;当定位异常访问源后,反馈给前端路由器进行限流或过滤。在电信IDC实际网络环境中,测试结果表明该方法是有效的。     

基于用户浏览行为的HTTP Flood检测方法

与传统的基于低层协议的DDoS攻击相比,应用层DDoS具有更加显著的攻击效果,而且更加难以检测。现有的解决方法包括：特征检测、流量限制、隐半马尔可夫模型等。这些方法在检测应用层DDoS攻击（如,HTTP Get Flood）攻击时检测率不高或者检测速度较慢。提出的基于用户浏览行为的检测方法对HTTPFlood攻击检测效果明显得到改善。     

基于移动agent的DDoS攻击协同防范技术研究

分布式拒绝服务攻击（distributed denial—of—service，DDoS）已经对Internet的稳定运行造成了很大的威胁。近两年来，DDoS的攻击方法和工具变得越来越复杂，越来越有效，追踪真正的攻击者电越来越困难。从攻击防范的角度来说现有的技术仍然不足以抵御大规模的攻击。文中通过分析DDoS攻击原理以及DDoS攻击行为，提出了一个基于移动agent的分布式协同入侵检测模型。该模型通过构建本地人侵检测模块和反DDoS实体模块来协同对分布式拒绝访问攻击形成大面积网络预警机制，以达到在陷于大规模分布式拒绝访问攻击时，能够最小化检测和反应时间，并进行自动响应。     

基于集成学习的多类型应用层DDoS攻击检测方法

针对应用层分布式拒绝服务（DDoS）攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞（CC）、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。     

基于时间序列分析的Web服务器DDoS攻击检测

摘要: 分布式拒绝服务攻击(Distributed Denial of Service, DDoS)的目标是破坏网络服务的有效性,是当前Web服务安全的主要威胁之一。本文提出了一种基于时间序列分析的DDoS攻击检测方法。该方法利用网络流量的自相似性,建立Web流量时间序列变化的自回归模型,通过动态分析Web流量的突变来检测针对Web服务器的DDoS攻击。在此基础上,通过对报警数据的关联分析,获得攻击的时间和位置信息。实验结果表明：该方法能有效检测针对Web服务器的DDoS攻击。     

Securing Cloud Computing from Flash Crowd Attack Using Ensemble Intrusion Detection System

Flash Crowd attacks are a form of Distributed Denial of Service (DDoS) attack that is becoming increasingly difficult to detect due to its ability to imitate normal user behavior in Cloud Computing (CC). Botnets are often used by attackers to perform a wide range of DDoS attacks. With advancements in technology, bots are now able to simulate DDoS attacks as flash crowd events, making them difficult to detect. When it comes to application layer DDoS attacks, the Flash Crowd attack that occurs during a Flash Event is viewed as the most intricate issue. This is mainly because it can imitate typical user behavior, leading to a substantial influx of requests that can overwhelm the server by consuming either its network bandwidth or resources. Therefore, identifying these types of attacks on web servers has become crucial, particularly in the CC. In this article, an efficient intrusion detection method is proposed based on White Shark Optimizer and ensemble classifier (Convolutional Neural Network (CNN) and LighGBM). Experiments were conducted using a CICIDS 2017 dataset to evaluate the performance of the proposed method in real-life situations. The proposed IDS achieved superior results, with 95.84% accuracy, 96.15% precision, 95.54% recall, and 95.84% F1 measure. Flash crowd attacks are challenging to detect, but the proposed IDS has proven its effectiveness in identifying such attacks in CC and holds potential for future improvement.     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

基于特征参数相关性的DDoS攻击检测算法

针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性.