一种分布式拒绝服务攻击的检测模型

提出了一种实时检测网络是否受到DDoS攻击的新模型,解决了传统检测方法难以区分突变正常流量与异常流量的问题.结合网络正常流量的特点,提出了检测DDoS攻击的新度量和检测算法.该算法不仅结构简洁、运算速度快;而且能够充分利用已知信息,具有较强的抗干扰能力.实际检测结果表明,本模型可实现时DDoS攻击的实时检测.     

基于特征参数相关性的DDoS攻击检测算法

针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性.     

一种基于Hurst参数的SYN Flooding攻击实时检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于流量和IP熵特性的DDoS攻击检测方法

针对现有DDoS(Distributed Deny of Service)攻击检测率低、误报率较高等问题进行了深入研究。根据DDoS攻击发生时网络中的流量特性和IP熵特性,建立了相应的流量隶属函数和IP熵隶属函数,隶属函数的上下限参数通过对真实网络环境仿真得到。提出了基于流量和IP熵特性的DDoS攻击检测算法,先判断流量是否异常,再判断熵是否异常,进而判断是否发生了DDoS攻击,提高了。由仿真结果可以看出：单独依靠流量或IP熵都不能很好地检测出DDoS攻击。该算法将流量和IP熵特性综合考虑,准确地检测出了DDoS攻击,降低了误报率,提高了检测率。     

基于Hadoop架构的混合型DDoS攻击分布式检测系统

混合型DDoS攻击采取多种数据类型相结合的方式,具有穿透力强、难以被精确检测的特点,逐步取代了单一类型的DDoS攻击.文章针对混合型DDoS攻击的检测,设计了基于Hadoop集群的分布式入侵检测架构,并提出了一种利用MapReduce模型的多属性融合检测算法.该算法对传统的仅从IP单一角度进行检测的算法进行改进,能够融...     

基于TCP缓存的DDoS攻击检测算法

由拒绝服务攻击（DOS）发展而来的分布式拒绝服务攻击（DDoS）已成为目前网络安全的主要威胁之一。从分析TCP缓存入手,提出一种基于缓冲区检测的DDoS检测算法。结合历史连接记录来对TCP缓存进行分析,生成特征向量,通过BP神经网络检测TCP缓存异常程度,根据异常程度判断是否发生攻击。实验结果表明,该算法能迅速准确地检测出DDoS攻击,有效阻止DDoS攻击的发生。     

基于SD-IoT的DDoS攻击防御方法

为解决软件定义物联网中防御DDoS攻击的问题,提出一种攻击溯源与防御方法.该方法部署在软件定义物联网控制器中,当检测到网络中有DDoS攻击发生时,进行节点流量特征提取,利用提出的基于信任模型-自组织映射(trust model-self organizing map,T-SOM)算法的DDoS攻击溯源方法,根据提取到的节点流量特征对网络内节点进行聚类,通过控制器中的网络拓扑找出攻击节点的M ac地址.由防御模块进行端口封禁和packet_in报文过滤实现DDoS攻击防御.实验结果表明,该方法能够对DDoS攻击节点进行有效溯源,快速下发流表隔离攻击节点并过滤packet_in报文.     

一种基于Web 群体外联行为的应用层DDoS 检测方法

由于攻击者采用各种技术手段隐藏攻击行为,DDoS攻击变得越发难以发现,应用层DDoS成为Web服务器所面临的最主要威胁之一。从通信群体的层面分析 Web 通信的外联行为特征的稳定性,并提出了一种应用层DDoS检测方法。该方法用CUSUM算法检测Web群体外联行为参数的偏移,据此来判断DDoS攻击行为的发生。由于外联行为模型刻画的是Web通信群体与外界的交互,并非用户个体行为,所以攻击者难以通过模仿正常访问行为规避检测。该方法不仅能够发现用户群体访问行为的异常,而且能够有效区分突发访问和应用层DDoS攻击。模拟实验结果表明,该方法能够有效检测针对Web 服务器的不同类型的DDoS攻击。     

SDN环境下DDoS攻击检测和缓解系统

分布式拒绝服务攻击(distributed denial of service, DDoS)是网络安全领域的一大威胁. 作为新型网络架构, 软件定义网络(software defined networking, SDN)的逻辑集中和可编程性为抵御DDoS攻击提供了新的思路. 本文设计并实现了一个轻量级的SDN环境下的DDoS攻击检测和缓解系统. 该系统使用熵值检测方法, 并通过动态阈值进行异常判断. 若异常, 系统将使用更精确的决策树模型进行检测. 最后, 控制器通过计算流的包对称率确定攻击源, 并下发阻塞流表项. 实验结果表明, 该系统能够及时响应DDoS攻击, 具有较高的检测成功率, 并能够有效遏制攻击.     

基于Multi-stream Combined隐马尔柯夫模型源端检测DDoS攻击

提出了一种新颖的综合考虑多维观测特征的DDoS攻击源端检测方法。该方法引入S-D-P特征概念,并抽取TCP/IP包头中的标志位和ID字段构成多维观测特征,采用Multi-stream Combined隐马尔可夫模型（MC-HMM）在源端网络检测DDoS攻击。大量实验表明,MC-HMM方法克服了基于一维观测特征的检测算法信息量过小的固有缺陷,能够有效降低检测的误报率和漏报率,提高DDoS攻击源端检测精度。     

Distributed Denial of Service (DDoS) detection by traffic pattern analysis

In this paper, we propose a behavior-based detection that can discriminate Distributed Denial of Service (DDoS) attack traffic from legitimated traffic regardless to various types of the attack packets and methods. Current DDoS attacks are carried out by attack tools, worms and botnets using different packet-transmission rates and packet forms to beat defense systems. These various attack strategies lead to defense systems requiring various detection methods in order to identify the attacks. Moreover, DDoS attacks can craft the traffics like flash crowd events and fly under the radar through the victim. We notice that DDoS attacks have features of repeatable patterns which are different from legitimate flash crowd traffics. In this paper, we propose a comparable detection methods based on the Pearson’s correlation coefficient. Our methods can extract the repeatable features from the packet arrivals in the DDoS traffics but not in flash crowd traffics. The extensive simulations were tested for the optimization of the detection methods. We then performed experiments with several datasets and our results affirm that the proposed methods can differentiate DDoS attacks from legitimate traffics.     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

DDoS攻击实时检测防御系统的硬件实现

分布式拒绝服务攻击是因特网安全的头号威胁。针对DDoS攻击,本文介绍了一种基于MPC860和FPGA的实时检测防御系统的体系结构与实现原理,探讨了基于非参数累积和(CUSUM)算法检测新IP地址到达速率变化的DDoS攻击检测方法。实验结果表明该系统不仅实时检测准确性高、在线检测速度快、防御效果好,而且不损失网络信息吞吐量,保证了合法用户的正常访问。     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

Iterative Dichotomiser Posteriori Method Based Service Attack Detection in Cloud Computing

Cloud computing (CC) is an advanced technology that provides access to predictive resources and data sharing. The cloud environment represents the right type regarding cloud usage model ownership, size, and rights to access. It introduces the scope and nature of cloud computing. In recent times, all processes are fed into the system for which consumer data and cache size are required. One of the most security issues in the cloud environment is Distributed Denial of Service (DDoS) attacks, responsible for cloud server overloading. This proposed system ID3 (Iterative Dichotomiser 3) Maximum Multifactor Dimensionality Posteriori Method (ID3-MMDP) is used to overcome the drawback and a relatively simple way to execute and for the detection of (DDoS) attack. First, the proposed ID3-MMDP method calls for the resources of the cloud platform and then implements the attack detection technology based on information entropy to detect DDoS attacks. Since because the entropy value can show the discrete or aggregated characteristics of the current data set, it can be used for the detection of abnormal data flow, User-uploaded data, ID3-MMDP system checks and read risk measurement and processing, bug rating file size changes, or file name changes and changes in the format design of the data size entropy value. Unique properties can be used whenever the program approaches any data error to detect abnormal data services. Finally, the experiment also verifies the DDoS attack detection capability algorithm.     

针对LTE-A网络中的DDoS攻击流量检测模型

近年来,4G LTE-A技术发展迅猛,移动设备的普及以及各种承载于4G网络的业务和应用已经成为我们日常不可或缺的部分。但网络攻击技术也不断的在发展,特别是近年来针对4G LTE-A网络的攻击技术的不断演进,已成为危害人们切身利益的关键问题。DDoS作为DoS攻击的一种,对网络带来了更大的危害,因此需要研究一种攻击检测模型。文章提出了一个针对LTE-A网络中的DDoS攻击流量检测模型,模型利用熵作为特征之一,并使用随机森林算法训练模型分类器,可将其部署在eNB上对流经该eNB的DDoS流量进行识别。通过验证,所提出的模型的检测准确率可达99.956%。     

一种改进的DRDoS检测算法

分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式。检测并防御这种攻击是解决网络安全领域的重要课题。针对DRDoS的特性,采用了一种改进的DRDoS检测算法——T&A算法。DDoS攻击的预防解决了现有不同特定网络服务技术检测的不足的问题,提出了基于行为异常的方法进行检测的改进方案。通过模拟攻击实验证明,该算法不仅提升了检测率、降低了误报率,而且对资源的占用较少,具有较好预警功能。