基于用户自服务的DDoS攻击防御方案分析与应用

随着互联网应用的不断丰富与发展,不同类型不同目的的网络攻击也越演越烈,其中以DDoS攻击尤甚,这些攻击直接影响了用户的业务可用性、服务质量,也对运营商的网络性能造成了很大的冲击。运营商从自身网络安全及提供增值业务的角度出发,正着力研究安全策略的部署。鉴于传统的DDoS攻击防御方案采用单一的流量清洗方式,且过分依赖于检测设备的灵敏度与可靠性,文章提出并分析了3种基于用户自服务的DDoS攻击防御方案,由用户主动发起、主动参与,从而使安全防护更为便利、直接、有效,在提高用户体验的同时提供了不同的防御效果供选择。     

一种基于资源感知的小流量DDoS攻击防御方法

分布式拒绝服务攻击（DDoS）对网络具有极大的破坏性,严重影响现网的正常运营。虽然现网已经部署针对DDoS的流量清洗系统,然而小流量的攻击较洪水型攻击更难以被感知,进而不能得到有效的清洗。本文分析了网络中小流量DDoS攻击的原理和防御现状,并提出一种基于资源感知的小流量DDoS攻击防御方法。     

迪普科技入围中国移动DDoS集采

日前,中国移动DDoS设备集中采购结果公布,凭借多年来在异常流量清洗领域的深厚积淀,迪普科技成为仅有的两家入围厂商之一。这是在中国电信DDoS设备集中采购取得第一名之后,迪普科技在运营商异常流量清洗市场取得的又一重大突破,凸显了迪普科技异常流量清洗产品在业界的领先地位。目前,防御DDoS攻击最有效的方法是在现有网络出口处部署DDoS防御设备,在攻击流量威胁到用户网络之前将其阻隔在外。为确保网络的正常使用以及业务顺利的开展,近年来,运营商愈加重视DDoS防御设备的采购及部署。继中国电信集团对DDoS设备进行集采后,中国移动集团也于2014年底启动了DDoS设备的集中采购。此次集中采购将决定2015年全年中国移动所有DDoS设     

基于边界网关的自适应DDoS攻击防御策略

传统基于主机的防御无法应对分布式拒绝服务(DDoS)攻击对整个自治系统的冲击.提出了双过滤并行净化网络方案、基于自治系统的自适应概率包标记方案和基于源地址验证的单播反向路径转发策略,形成了基于边界网关的DDoS攻击防御体系,提高了包标记方案的效率,简化了防御部署.实验验证了该防御体系的有效性.     

基于流媒体服务DDoS攻击防范研究

分布式拒绝服务（Distributed Deny of Service,DDoS）攻击是目前最难解决的网络安全问题之一。在研究RTSP（Real-Time Streaming Protocol）协议漏洞基础上,提出一种有效防御流媒体服务DDoS攻击防御方案。该方案基于时间方差图法（Variance-TimePlots,VTP）,计算自相似参数Hurst值,利用正常网络流量符合自相似模型的特性来进行DDoS攻击检测,并综合采用黑白名单技术对流量进行处理。最后通过MATLAB仿真工具进行了模拟实验,并对结果进行了分析,在协议分析基础上能合理控制流量,使得DDoS攻击检测准确率、实时性高,目标流媒体服务器带宽和资源得到了有效保护。     

基于IXP 1200平台的DDoS攻击防御研究

分布式拒绝服务攻击（DDoS）已经成为互联网最大的威胁之一.提出了一种基于Intel IXP1200网络处理器平台的DDoS防御系统的设计方案,并实际实现了一个防御系统D-Fighter.提出了解决DDoS攻击的两个关键技术：数据包认证和细微流量控制的原理和方法,并在D-Fighter中设计实现.经过实际网络测试环境的应用测试表明,D-Fighter达到了设计目标,对DDoS攻击的防御有较好的效果.     

DDoS攻击恶意行为知识库构建

针对分布式拒绝服务（distributed denial of service,DDoS）网络攻击知识库研究不足的问题,提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建,包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类;网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模,并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling,DOTS）协议搭建分布式知识库,实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明,DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量,并具备分布式知识库间的知识更新和推理功能,表现出良好的可扩展性。     

DDoS攻击原理及其防御机制的研究

DDoS攻击是一种被黑客广泛应用的攻击方式,它以破坏计算机系统或网络的可用性为目标,危害性极大。本文首先介绍了DDoS攻击的攻击原理,接着从DDoS攻击的攻击手段和攻击方式两个方面对DoS攻击进行分类介绍,然后针对DDoS攻击的方式,提出了一种检测和防御DDoS攻击的模型,最后利用入侵检测技术和数据包过滤技术,设计了一个针对DDoS攻击的检测与防御系统,该系统具有配置简单、易于扩展、实用性较强等优点。     

一种新的分布式DDoS攻击防御体系

Internet技术的发展和应用,给人们的生产和生活带来了很多便捷,但随之出现的网络安全问题,也成为日益严重的社会问题。针对网络中存在的DDoS攻击进行研究,以分布式并行系统的思想为基础,建立了一种新型DDoS攻击的安全防御体系。该体系通过不同组件间的相互协调、合作,实现了对DDoS攻击的分析及其防御。在对DDoS的攻击流量进行分析的过程中,以数据挖掘的模糊关联规则的方法进行分析,并实现了对攻击源的定位,有效地避免了攻击造成进一步的危害。     

IP城域网DDoS攻击的检测与封堵探讨

近两年来,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击成为一种日益常见的网络异常流量,它不仅导致被攻击者的网络服务中断,还对电信运营商的IP城域骨干网的安全构成严重威胁.从电信运营商的角度,分析了危害IP城域网安全的DDoS攻击特征,在综合考虑攻击特征、技术现状、投资成本的基础上,提出一种容易在IP城域网部署的DDOS攻击检测与封堵方案.试用结果表明,该方案可以显著提高运营商IP城域网在DDoS攻击事件方面的响应处理能力.     

基于OpenFlow与sFlow的DDoS攻击防御方法

分布式拒绝服务(DDoS)攻击是目前比较流行的网络攻击,其破坏力大并且难以防范追踪,对互联网安全造成了极大的威胁。针对此问题提出了一种基于OpenFlow与sFlow的入侵检测方法,通过sFlow采样技术实时检测网络流量,依据网络正常流量设定流量阈值,并通过对超过阈值的异常流量进行攻击检测、判断攻击流,最终使用OpenFlow协议阻断攻击源。该方法可以在几秒内自动检测、处理多种DDoS攻击。实验结果表明,与现有方案对比,该方法能够实时检测并阻止DDoS攻击,有效降低网络资源消耗。     

基于自治系统的DDoS攻击防御技术研究

DDoS攻击是危害巨大且难以防御的一种网络攻击方式,基于自治系统路由器上流量认证的防御技术,可有效地抵御这种攻击,但其也存在_些不足.由此对一些尚不完善的地方进行了改进,提出了基于自治系统的两级认证体制,满足了数据传输效率与安全性的要求,并通过引入数据传输速率与当前剩余生存周期的的关系,扩展了其防御攻击的范围,实现了不但可以抵御洪水DDoS攻击,还可以抵御半开式连接DDoS攻击.     

基于用户信誉值防御DDoS攻击的协同模型

提出了一种基于用户信誉值防御DDoS攻击协同(CDDACR,cooperation defense DDoS attack based on client reputation)模型来检测和防御DDoS攻击.该模型在逻辑上由2个检测代理构成:路由器端的RDA(router detection agent)和服务器端的SDA(server detection agent).RDA对用户数据流进行粗粒度检测,旨在过滤具有明显DDoS攻击特征的恶意数据流;SDA对用户数据流进行细粒度检测,检测并过滤恶意的狡猾攻击和低流量攻击,RDA和SDA协同工作来实时监测网络状况.实验结果表明,CDDACR模型能实时地识别和防御DDoS攻击,并且在异常发生时有效地阻止服务器被攻击的可能性.     

网络蠕虫型分布式拒绝服务攻击的原理及防御

网络蠕虫型分布式拒绝服务攻击在扫描和捕获傀儡机时采用了网络蠕虫软件。通过这种传播形式布置DDoS的傀儡机具有数量更大、分布面更广、攻击时流量巨大的特点，阻塞被攻击目标同时还可造成大规模网络瘫痪，产生比普通DDoS攻击更加严重的后果。基于当前DDoS的最新研究成果，对网络蠕虫型分布式拒绝服务攻击的传播形式，攻击原理做出分析并提出了相应的防御方法。     

基于可延展带宽分配的卫星网络高可用性方案

随着IPTV等网络服务的蓬勃发展,以及地面互联网的接入与融合,针对空间信息网络的资源规划势在必行.同时,为了有效抵抗分布式拒绝服务(DDoS)攻击,可用性设计成为卫星正常运转的重要前提.提出了基于网络带宽资源分配的DDoS攻击防御体系,建立了有效的卫星网络拓扑结构模型,并引入了路由状态数据包的概念,设计了相应的卫星网络路由协议.在此基础上,阐述了具有延展性的网络带宽分配机理及其实现方式.根据安全性分析与实验评估结果,提出方案可在有效防范敌手攻击的同时,保障带宽资源的可延展分配,同时方案具备良好的实现性能.     

一种DNS DDoS攻击行为的分析及其应对措施

随着互联网业务的迅猛发展,网络安全问题也越来越突出。对一种针对DNS系统的危害巨大DDoS攻击行为进行了分析,并研究探讨有效的DDoS流量自动抑制系统设计、部署方案。     

SDN环境下基于LightGBM的DDoS流量分类

软件定义网络(SDN)以其高度的网络可编程性和灵活性,通过将控制平面与数据平面解耦,克服了传统网络中存在的问题,近年来成为一种新的网络结构。但由于控制器是SDN的核心部分,因此更容易发生攻击,尤其是分布式拒绝服务攻击(DDoS),已经成为SDN环境的最大安全威胁。分布式拒绝服务(DDoS)攻击会使SDN控制器和交换机流表过载,导致网络性能下降,甚至瘫痪整个网络。检测攻击速度快、精度高,误报率低是解决DDoS攻击的关键。为此,我们通过公开的入侵检测数据集IDS2018,使用LightGBM算法训练DDoS分类模型,实现对正常流量和DDoS攻击流量的分类。对比XGBoost算法,改进后的LightGBM算法分类效果更好。使用虚拟环境Mininet构建SDN拓扑,使用Ryu作为SDN控制器。模拟DDoS攻击并通过sFlow RT收集攻击流量,利用训练好的DDoS流量分类模型进行检测,模型五折交叉验证AUC达到0.81。     

分布式拒绝服务攻击及防御机制研究

分布式拒绝服务(DDoS)攻击是当今网络面临的最严峻的威胁之一,研究防御DDoS攻击的技术非常重要。文章分析了DDoS攻击原理,并深入介绍了当前DDoS攻击的防御技术。     

DDoS攻击的技术分析与防御策略

系统地分析分析了DDoS攻击的实现原理,列举了发动DDoS攻击的常用工具,针对攻击产生的机理,提出了详细可行的DDoS攻击防御策略.最后给出市场上典型DDoS攻击检测与响应系统的主要性能和防御DDoS攻击的研究方向.     

ISP防御DDoS攻击机制研究

通过对DDoS攻击的原理及特征进行分析,并根据ISP在网络中的地位和作用,讨论了DDoS攻击的监测和防御方法,提出了建立分布式防御系统来应对DDoS攻击的方法。