基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

网络DDoS攻击流的小波分析与检测

将小波分析中的小波变换模极大方法用于检测分布式拒绝服务攻击引起的突发流量。在探讨如何运用小波模极大对突发流量进行判定的基础上,设计了一个检测突发攻击流量的方法,并对实际采集到的网络流量和仿真攻击流量的混合流作了计算机模拟验证。结果表明,当攻击流的突变幅度为正常流量的2倍￣3倍时,检测漏判率不超过5%;当攻击流的突变幅度提升为正常流量均值的3倍￣5倍时,检测漏判率不超过1%。攻击越强,检测漏判率越小。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点。现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDo S攻击检测方法。模拟不同类型的低速率DDo S攻击和5G环境下不同场景的正常流量,在网络入口处收集流量并提取其流特征信息,得到多类型低速率DDo S攻击数据集;从统计阈值和特征工程的角度,分别分析了不同类型低速率DDo S攻击的特征,得到了40维的低速率DDo S攻击有效特征集;基于该有效特征集采用CNN-RF混合深度学习算法进行离线训练,并对比该算法与LSTM-Light GBM和LSTM-RF算法的性能;在网关处部署CNN-RF检测模型,实现了多类型低速率DDo S攻击的在线检测,并使用新定义的错误拦截率和恶意流量检测率指标进行了性能评估。结果显示,在120 s的时间窗口下,所提方法能够在线检测出4种类型的低速率DDo S攻击,包括Slow Headers攻击、Slow Body攻击、SlowRead攻击和Shrew攻击,错误拦截率达到11.03%,恶...     

基于软件定义物联网的分布式拒绝服务攻击检测方法

由于物联网（IoT）设备众多、分布广泛且所处环境复杂,相较于传统网络更容易遭受分布式拒绝服务（DDoS）攻击,针对这一问题提出了一种在软件定义物联网（SD-IoT）架构下基于均分取值区间长度-K均值（ELVR-Kmeans）算法的DDoS攻击检测方法。首先,利用SD-IoT控制器的集中控制特性通过获取OpenFlow交换机的流表,分析SD-IoT环境下DDoS攻击流量的特性,提取出与DDoS攻击相关的七元组特征;然后,使用ELVR-Kmeans算法对所获取的流表进行分类,以检测是否有DDoS攻击发生;最后,搭建仿真实验环境,对该方法的检测率、准确率和错误率进行测试。实验结果表明,该方法能够较好地检测SD-IoT环境中的DDoS攻击,检测率和准确率分别达到96.43%和98.71%,错误率为1.29%。     

分布式拒绝服务攻击防御技术综述

分布式拒绝服务（DDoS）攻击是当前互联网安全的重要威胁之一,攻击者往往利用系统漏洞控制多个主机构成僵尸网络,协同向攻击目标发起攻击。简要介绍了目前常见的DDoS攻击手段,并分别根据部署位置和响应时间对DDoS防御系统进行了分类介绍,综合分析了各种主要防御系统的工作原理、使用场景和自身特点。     

Cooperative Detection Method for DDoS Attacks Based on Blockchain

Distributed Denial of Service (DDoS) attacks is always one of the major problems for service providers. Using blockchain to detect DDoS attacks is one of the current popular methods. However, the problems of high time overhead and cost exist in the most of the blockchain methods for detecting DDoS attacks. This paper proposes a blockchain-based collaborative detection method for DDoS attacks. First, the trained DDoS attack detection model is encrypted by the Intel Software Guard Extensions (SGX), which provides high security for uploading the DDoS attack detection model to the blockchain. Secondly, the service provider uploads the encrypted model to Inter Planetary File System (IPFS) and then a corresponding Content-ID (CID) is generated by IPFS which greatly saves the cost of uploading encrypted models to the blockchain. In addition, due to the small amount of model data, the time cost of uploading the DDoS attack detection model is greatly reduced. Finally, through the blockchain and smart contracts, the CID is distributed to other service providers, who can use the CID to download the corresponding DDoS attack detection model from IPFS. Blockchain provides a decentralized, trusted and tamper-proof environment for service providers. Besides, smart contracts and IPFS greatly improve the distribution efficiency of the model, while the distribution of CID greatly improves the efficiency of the transmission on the blockchain. In this way, the purpose of collaborative detection can be achieved, and the time cost of transmission on blockchain and IPFS can be considerably saved. We designed a blockchain-based DDoS attack collaborative detection framework to improve the data transmission efficiency on the blockchain, and use IPFS to greatly reduce the cost of the distribution model. In the experiment, compared with most blockchain-based method for DDoS attack detection, the proposed model using blockchain distribution shows the advantages of low cost and latency. The remote authentication mechanism of Intel SGX provides high security and integrity, and ensures the availability of distributed models.     

Microsoft Windows vs. Apple Mac OS X: Resilience against ARP cache poisoning attack in a local area network

ABSTRACT

Robust security measures are integrated into new release versions of operating systems (OSs) to ensure that users have a more secure and reliable environment in which to run their daily tasks. In this article, through extensive practical experiments, we evaluate and compare the resilience of popular versions of Microsoft Windows OSs and Apple Mac OS X against Address Resolution Protocol (ARP) cache poisoning attack in a local area network (LAN). The experimental results demonstrate clearly that all tested versions of Windows OSs and Apple Mac OS X are vulnerable to the ARP cache poisoning attack, and do not deploy built-in efficient security features to prevent success of this attack. In addition, the experimental results directly contradict the common belief that Windows OSs are always less secure than Apple OSs. On the other hand, the article analyzes the efforts that have been made and the different methods that have been applied to detect and prevent ARP cache poisoning attacks. The article shows that none of these efforts and methods has been able to give satisfactory results.     

基于集成学习的多类型应用层DDoS攻击检测方法

针对应用层分布式拒绝服务（DDoS）攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞（CC）、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。     

分布式拒绝服务攻击原理和防治策略

分布式拒绝服务攻击(DDoS)攻击是网络攻击中经常采用而难以防范的攻击手段.通过实例,对分布式拒绝服务攻击进行了描述,探讨了如何构造攻击网络,结合实际经验与国内外网络安全的现状列出了一些防治DDoS的实际手段.     

TCP SYN分布式拒绝服务攻击分析

分布式拒绝服务(DDoS)攻击是当前影响因特网正常工作的一个严重的问题,出现的攻击将会阻止合法的用户使用其所需要的资源。本研究将借助于SSFNet(ScalableSimulationFramework)模拟软件构建相应的网络环境,并模拟了TCPSYN溢出攻击的全过程。通过调整相关的实验参数设置,给出了在不同攻击强度下被攻击子网的通讯流量图。通过实验可以看出,DDoS攻击的目的在于耗费被攻击目标机器的资源而使其拒绝提供正常服务,而不是消耗大量的网络带宽。论文还进一步说明了从攻击开始到目标机器瘫痪的时间取决于攻击的强度,即攻击者所控制的发起攻击的机器数量以及发送攻击包的数量。     

TCP DDoS攻击与防范

随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段也随之倍出,网络攻击导致网络和用户受到侵害,其中分布式拒绝服务DDoS以其攻击范围广、隐蔽性强、简单有效等特点成为常见的网络攻击技术之一,极大地影响网络和业务主机系统的有效服务.其中的TCP DDoS它利用了传统协议中三次握手协议的不安全性,向互联网服务器发送大量的报文.由于服务器接收大量无效的报文,而使得正常的报文无法得到及时响应.如何检测这种攻击发生以及如何降低这种攻击所带来的后果已成为目前安全界研究的热点问题.     

基于Mobile-Agent的DDoS攻击防御模型

分布式拒绝服务（DDoS）攻击已经成为网络最大的安全威胁之一。如何防御DDoS攻击是人们研究的一个热点问题。文中使用报文标记和移动代理技术，构建基于移动代理的DDoS攻击防御模型，在很大程度上降低了来自ISP域外的分布式拒绝服务攻击对域内主机的影响。并利用移动代理的容错性，使模型中重要元件具有很好的抵抗分布式拒绝服务攻击的性能，提高了防御模型自身的抗攻击性。最后讨论了模型的具体实现。     

DDoS攻击分类与效能评估方法研究

DDoS攻击是一类常见而又难以防范的网络攻击模式，对Internet网络系统的正常运行构成了巨大威胁。DDoS攻击的分类方法和攻击效能评估是计算机网络攻防对抗研究的一项重要而紧迫的任务。本文介绍了DDoS攻击的原理、方法、一般概念和主要目标，研究了基于攻击代理的传播模式、通讯方式、作用机制等特征的DDoS攻击分类方法体系，分析了DDoS攻击的攻击效能评价指标体系。在分析了DDoS攻击效能评估的特点的基础上提出了DDoS攻击效能评估的模糊评价评估模型。     

MDCI:一个分布式检测DDoS攻击的方法

鉴于DDoS攻击分布式、汇聚性的特点，实现分布在大规模网络环境中的多个IDS系统间合作检测有助于在攻击流形成规模前合成攻击全貌并适当反应．MDCI系统首次提出了环形合作模式，即构建一个环重要网络信息资源的IDS系统合作组，通过组内节点同信息共享和警报关联分析，迅速判定DDoS攻击、MDCI系统中，采用报头内容分析和反向散射分析相结合的方法对本地捕获的数据报进行分析并采用统一标准格式对可疑特征进行报警；采用数据流分类概率评估的方法实现合作结点间警报信息的关联分析，从而合成攻击的全貌．通过实验可以看到，该系统有效地提高了针对DDoS攻击的预警速度．     

WSNs中采用动态模阈值检测DDoS攻击

无线传感器网络正逐渐过渡到实际的应用,在这些应用环境中,WSNs会遭到曾经危害过因特网和无线网络的攻击.DDoS攻击是这类攻击中的一种.这一恶意攻击甚至可以导致一些大型的网络拒绝合法顾客,合伙人和用户的服务.本文通过使用一种简单有效的方法来检测DDoS攻击.与以前提出的基于统计知识的统计阈值方法不同的,该方法的动态阈值基于模糊数学,是一种鲁棒性较强的方法.     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

Distributed Denial of Service Attacks: A Threat or Challenge

In today’s cyber world, the Internet has become a vital resource for providing a plethora of services. Unavailability of these services due to any reason leads to huge financial implications or even consequences on society. Distributed Denial of Service (DDoS) attacks have emerged as one of the most serious threats to the Internet whose aim is to completely deny the availability of different Internet based services to legitimate users. The attackers compromise a large number of Internet enabled devices and gain malicious control over them by exploiting their vulnerabilities. Simplicity of launching, traffic variety, IP spoofing, high volume traffic, involvement of numerous agent machines, and weak spots in Internet topology are important characteristics of DDoS attacks and makes its defense very challenging. This article provides a survey with the enhanced taxonomies of DDoS attacks and defense mechanisms. Additionally, we describe the timeline of DDoS attacks to date and attempt to discuss its impact according to various motivations. We highlighted the general issues, challenges, and current trends of DDoS attack technology. The aim of the article is to provide complete knowledge of DDoS attacks and defense mechanisms to the research community. This will, in turn, help to develop a powerful, effective, and efficient defense mechanism by filling the various research gaps addressed in already proposed defense mechanisms.     

基于蚁群优化的DDoS防御技术研究

分布式拒绝服务(DDoS)是目前攻击范围最广、破坏性最大的网络攻击之一。为此,提出一种基于数字蚂蚁的网络信息系统安全防御模型。利用蚁群优化算法计算网络中节点的资源相关性,构建一个防御DDoS攻击的数字蚂蚁联盟模型,通过确定DDoS攻击方式、标记数据报和限制流量3个步骤,实现一种具有群体智能和协同性的防御机制。     

校园网DDoS攻击防御平台建设方案研究

分布式拒绝服务攻击(DDoS)已经成为互联网最大的威胁之一。分析了校园网现状,建立了业务模型,提出了流量清洗设备的功能要求,设计了一种校园网DDoS攻击防御平台的设计方案。并分析了DDOS攻击清洗方案的流量牵引技术、触发技术、流量清洗技术与流量回注技术。     

基于拥塞参与度的分布式低速率DoS攻击检测过滤方法

分布式低速率拒绝服务攻击(DLDoS)利用已有网络协议和网络服务中自适应机制的漏洞发起攻击,其攻击效率和隐蔽性比传统洪泛式分布式拒绝服务攻击(DDoS)高得多,更加难于检测和防御。本文对DLDoS攻击进行了建模和形式化,提出了基于拥塞参与度的DLDoS攻击检测过滤方法。实验分析表明,该方法能有效检测DLDoS攻击,并降低误报率。