一种DDoS攻击的检测算法

对于骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,本文提出一种基于全局流量异常相关分析的检测方法,根据攻击流引起流量之间相关性的变化,采用主成份分析提取多条流量中的潜在异常部分之间的相关性,并将相关性变化程度作为攻击检测测度。实验结果证明了测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,该方法能够取得更高的检测率。     

一种新的分布式DDoS攻击防御体系

Internet技术的发展和应用,给人们的生产和生活带来了很多便捷,但随之出现的网络安全问题,也成为日益严重的社会问题。针对网络中存在的DDoS攻击进行研究,以分布式并行系统的思想为基础,建立了一种新型DDoS攻击的安全防御体系。该体系通过不同组件间的相互协调、合作,实现了对DDoS攻击的分析及其防御。在对DDoS的攻击流量进行分析的过程中,以数据挖掘的模糊关联规则的方法进行分析,并实现了对攻击源的定位,有效地避免了攻击造成进一步的危害。     

基于小波和分形原理的DDoS攻击检测方法

提出一种基于离散小波变换和分形原理的DDoS攻击检测方法.该方法通过高散小波变换的多分辩率分析突现DDoS攻击特征,对小波变换系数进行盒分形维计算,将经实验确定的关键盒维数作为多维空间的向量序列,最后使用经过样本训练的K-nn（K最近邻）分类器进行攻击识别.实验结果表明分形与小波相结合取得了较好的检测效果,与离散小波检测方法相比,该方法提高了检测精确度.     

SDN中一种基于熵值检测DDoS攻击的方法

软件定义网络(SDN)是一种新型的网络架构,特点是转发控制分离,可以自定义控制器软件。控制器集中控制是SDN的优点之一,但SDN特性也使得其自然成为分布式拒绝服务攻击(DDo S)的目标,容易造成管理网络功能的失效。文中提出了一种基于熵值的DDo S攻击检测算法,该算法利用控制器集中控制的特点,高效地处理数据包的信息,通过计算熵值,检测DDo S攻击并发出警报。实验表明该方法具有较高的准确度。     

DDoS攻击原理与防御

分布式拒绝服务攻击(Distributed Denial of Serviece Attack)是目前黑客用的比较多的攻击手段,这种攻击对网络造成的危害性越来越大.为了更好地了解这种攻击的特点,从而避免产生更大的损失,这里从DoS和DDoS的攻击原理进行探讨研究,研究常见的DDOS攻击的类型如Smurf攻击、Trinoo攻击等.根据这些攻击的特点,提出DDoS攻击的检测方法即基于特征的攻击检测和基于异常的攻击检测.这两种检测技术各有所长,在实际使用中往往需要将两者结合起来,共同提高DDoS检测的准确性.     

一个防御DDoS攻击的入侵检测系统

介绍了一种集成了网络流量数据采集与DDoS攻击检测的入侵检测系统,并嵌入攻击报警机制,其算法核心基于网络流量的自相关函数.该系统可根据用户指定攻击的识别概率,漏报概率与误报概率,而后进行有效检测和报警,并实现基于GUI界面的友好风格及C 类的封装.     

DDoS攻击的检测和控制方法

在当前计算机应用环境中开展DDoS攻击检测控制工作,技术人员应该积极尝试不同的方法,从而显著提高应对攻击的有效性。根据不同攻击位置,制定不同的攻击控制侧率,才能够提高DDoS攻击检测控制的精准性。技术人员应该注意检测工具的软件升级,提高检测的灵敏程度。从攻击源端、骨干层过滤和攻击终端过滤三个方面,对攻击对象进行分析,从而显著提高DDoS攻击检测控制的应对效率。本文从DDoS攻击防御的方式进行分析,提出几点有利于应对攻击活动的可行性建议。     

基于小波分析的网络低速率DDoS攻击检测方法

为减少网络DDoS（分布式拒绝服务）攻击检测误报率,实现对网络DDoS攻击的精准检测,有针对性地调节网络的运行速率,文章设计一种基于小波分析的网络低速率DDoS攻击检测方法。提取DDoS攻击特征,布设异常攻击定位节点,识别异常波段进行同步处理,构建小波分析DDoS攻击检测模型。最终的测试结果表明,对比于传统攻击检测小组,文章设计的小波分析DDoS攻击检测小组误差较小,检测效率较高,具有一定的应用价值。     

DoS／DDoS攻击与防御

DoS／DDoS攻击大致分为：攻击服务器软件、恶意访问、恶意消耗网络频带等。其中，攻击服务器软件脆弱性的分组(或者称作包)，被称为“脆弱性攻击分组”。这种攻击分组是黑客从非法入侵的终端，直接发送给攻击目标服务器等。     

一种基于相似度的DDoS攻击检测方法

在分析了网络流量构成的基础上,提出了基于相似度的DDoS检测方法。这种方法不是简单的根据流量的突变来检测网络状况,而是从分析攻击对流量分布的影响着手。首先对网络流量进行高频统计,然后对其相邻时刻进行相似度分析,根据相似度的变化来发现异常。从大量的实验结果可以看出基于相似度的检测方法能够比较有效的发现大流量背景下,攻击流量并没有引起整个网络流量显著变化的DDoS攻击,因此更适合大规模网络的异常检测。     

DDoS攻击检测研究综述

DDoS攻击作为当前网络安全最严重的威胁之一,近年来随着僵尸网络的盛行,其攻击影响日趋扩大,因此对DDoS攻击进行检测变得尤为重要。本文按照攻击层次和检测位置的不同,对于不同的DDoS攻击检测方法给出了详细的分类,同时在此基础上对各类检测方法进行分析和性能比较,明确了各种检测方法的特点和应用范围,最后讨论了当前攻击检测存在的问题及进一步研究的方向。     

DDoS Attack Detection and Wavelets

This paper presents a systematic method for DDoS attack detection. DDoS attack can be considered a system anomaly or misuse from which abnormal behavior is imposed on network traffic. Attack detection can be performed via abnormal behavior identification. Network traffic characterization with behavior modeling could be a good indication of attack detection. Aggregated traffic has been found to be strong bursty across a wide range of time scales. Wavelet analysis is able to capture complex temporal correlation across multiple time scales with very low computational complexity. We utilize energy distribution based on wavelet analysis to detect DDoS attack traffic. Energy distribution over time will have limited variation if the traffic keeps its behavior over time (i.e. attack-free situation) while an introduction of attack traffic in the network will elicit significant energy distribution deviation in a short time period. Our experimental results with typical Internet traffic trace show that energy distribution variance markedly changes, causing a spike when traffic behaviors are affected by DDoS attack. In contrast, normal traffic exhibits a remarkably stationary energy distribution. In addition, this spike in energy distribution variance can be captured in the early stages of an attack, far ahead of congestion build-up, making it an effective detection of the attack.     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

一种新型拒绝服务攻击的研究

Shrew DDoS(Distributed Denial of Service)攻击是一种新型的DDoS攻击,也称低速率DDoS攻击。它是利用TCP超时重传机制的漏洞,通过估计合法TCP流的RTO(Retransmission timeout)作为低速率攻击发包的周期T,周期性的发送短脉冲,使得攻击流可以周期性地占用网络带宽,这样就会让合法的TCP流总是认为网络的负担很重,造成所有受其影响的TCP流进入超时重传状态,最终使得受害主机的吞吐量大幅度降低,从而达到攻击目的。由于其攻击速率低,可以躲避传统的高速率攻击防御机制。这种新型拒绝服务攻击具有隐蔽性好、效果明显的特点。     

基于流量强度的DDoS攻击源追踪快速算法

DDoS攻击以其破坏力大、易实施、难检测、难追踪等特点,而成为网络攻击中难处理的问题之一。攻击源追踪技术是阻断攻击源、追踪相关责任、提供法律证据的必要手段。基于网络拓扑理论和路由器流量特性原理以及可编程式路由器的体系结构,提出了一种追踪DDoS攻击源的分布式快速算法,该算法可以准确、协调、高效地判断路由器的数据流量值,受害者可以根据流量强度推断出恶意攻击数据流的来源,从而快速追溯和定位DDoS攻击源。     

基于SNMP和神经网络的DDoS攻击检测

DDoS（Distributed Denial of Service）已经严重威胁计算机网络安全。对DDoS攻击检测的关键是找到能反映攻击流和正常流区别的特征,设计简单高效的算法,实时检测。通过对攻击特点的分析,总结出15个基于SNMP（Simple Network Management Protocol）的检测特征。利用BP神经网络高效的计算性能,设计了基于SNMP和神经网络的DDoS攻击检测模型,提高了检测实时性和准确性。实验表明：该检测模型对多种DDoS攻击都具有很好的检测效果。     

基于VTP方法的DDoS攻击实时检测技术研究

为了能及时准确检测DDoS攻击的发生,在对方差－时间图(VTP,Variance－Time Plots)方法分析的基础上,对基于VTP的实时在线计算Hurst参数技术进行了性能分析,得出了其具有高效性的结论,并利用这种技术,对MIT的林肯实验室数据进行了分析,总结出了DDoS攻击过程中,网络流量的自相似模型的Hurst参数变化规律,即DDoS攻击刚开始时,Hurst参数具有较快的上升趋势,然后在参数值很高水平的基础上具有缓慢下降趋势,直到计算Hurst参数的网络流量全部是DDoS攻击流量时,有一个突然下降的现象(从0.95以上降至0.45左右),并由此总结出一种基于Hurst参数实时检测DDoS攻击发生的技术.