DDoS攻击原理及防御

分布式拒绝服务攻击（Distributed Denial of Service，DDOS）是近年来对Internet具有巨大影响的恶意攻击方式，给互联网业务带来了不可估量的损失。互联网的攻击手段层出不穷，而分布式拒绝服务攻击是其中的佼佼者，由于其简单、破坏性很大，而被攻击者广泛使用。DDoS攻击分析和防御方法是当前网络安全领域的重要前沿。本文阐述了DoS攻击的原理和DDoS攻击的原理，提出了DDoS的防御措施。     

基于IP电子欺骗的防御策略研究

介绍IP电子欺骗的涵义，并剖析其攻击方法和手段，在分析其所造成的危害基础上，提出保护WEB站点，抵御其“入侵”的综合防御策略。     

基于DDoS攻击的检测与防御实验系统的设计

DDoS是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁,同传统的DDoS相比,基于应用层的DDoS攻击隐藏效果更好,破坏力更强。DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地检测和识别攻击,为安全防御提供有效支撑。现有的大多数DDoS检测方法难以区分攻击者的攻击行为和突发的大流量正常请求行为,基于网络行为分析的检测方法对于攻击者的异常行为能够较好的辨识,因此基于网络行为分析的DDoS检测方法的实验系统对教学显得尤为必要。     

DDoS攻击与IP拥塞控制研究

IP网络的流量控制是在网络正常工作时采取的一系列措施,通过避免出现发生网络拥塞所需的条件,来进行拥塞控制。该文讨论了现有的主流方法,并对其应用于DDoS攻击防护的性能进行了分析和比较。结果表明,其中的任何一种方法都需要在改进后,才能有效地应用于控制DDoS攻击所造成的网络拥塞。     

IP欺骗攻击技术原理、方法、工具及对策

IP欺骗技术（IP Spoofing）起源较早，应用十分广泛。但黑客可以利用IP欺骗技术截断正常的TCP通信，或被目标主机所信任的机器向其发起TCP连接。中介绍了IP欺骗技术的原理、方法以及常用工具，分析了在现有条件下解决这一问题的策略，并提出了建立高级模式匹配策略来进行入侵检测的方法，该方法可以有效地防御和检测IP欺骗攻击。     

网络技术IP欺骗研究

随着Internet的迅速发展,人们对网络安全的要求越来越来高.而Internet的基础协议TCP/IP协议,本身就存在很多无法克服的漏洞和缺点,所以TCP/IP的安全受到很多人的关注.本文仅对Internet中IP地址欺骗的原理、方法和预防措施做一个研究.     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

IP电子欺骗剖析、实施及其防范

IP电子欺骗是网络中突破防火墙系统的一种常见的网络攻击方式。从理论的角度．分析了IP电子欺骗的原理，并以unix系统作为实例，给出了实现IP电子欺骗的一般步骤及关键代码。同时结合当前业界网络安全现状，提出了对IP电子欺骗进行防范的一般方法。     

IP欺骗技术原理及方法研究

IP欺骗作为网络攻击的一种手段,近年来被人们越来越重视。针对IP欺骗攻击的原理和实现过程展开研究,并根据技术原理给出了具体的实现方法。     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。     

主动网技术及应用

主动网比传统网络具有更大的灵活性，它可以在分布式系统中更好地协调不同设备的工作，把计算所需的负荷和数据传输的负荷较合理地分担给不同设备，有效地避免单点故障，并能够缩短数据处理和数据传输的时延，提高数据的端到端(end-to-end)可达性，在主动网中，有望依照网络的当前状态，对路由器等交换设备的缓冲进行细致的管理、并对数据流所携带的信息进行归类和缓存，利用冗余路径进行数据传输，从而降低拥塞的概率和拥塞的程度，提高网络的当前性能和可预测性。     

基于网络异常流量判断DoS/DDoS攻击的检测算法

为了对泛洪DoS/DDoS（Denial of Service/Distributed Denial of Service）攻击做出准确判断,在对泛洪DoS/DDoS攻击发生时网络流量变化特性进行分析的基础上,给出一种基于网络异常流量判断泛洪DoS/DDoS攻击的检测算法。该算法通过对流量大小和波动趋势的判断,对泛洪DoS/DDoS攻击的发生进行检测。实验结果表明,在不失一般性的基础上,判断泛洪DoS/DDoS攻击的成功率为100%。     

利用边际谱Hurst参数检测DDoS攻击

为了有效检测分布式拒绝服务(DDoS)攻击,提出对网络流量信号进行希尔伯〖JP9〗特-〖JP〗黄变换(HHT),得到相应的边际谱,计算边际谱的Hurst参数. 以最大化综合指数为目标,训练实验数据的边际谱Hurst取值,得到检测阈值,通过与该阈值的大小进行比较判断是否有DDoS攻击发生. 实验结果表明该方法具有一定的检测效果.      

基于支持向量机和多资源最大最小公平的DDoS防御

采用分布式过滤的方法防御分布式拒绝服务（DDoS）攻击,通过将分布式防御合作限定在互联网自治域(AS)内,为应对选取了合适的网络范围,且考虑了带宽和受害机处理能力这2类资源及其相互作用.基于支持向量机(SVM)的多资源最大最小公平（SMMF）算法,根据受害端流量情况动态调整自治域边界的过滤器参数,保证了多资源最大最小公平,以达到较优的防御效果.模拟实验表明,该算法在具一般性的攻击场景下能有效抑制攻击流量,且在已有方法失效的情况下仍能保证合法流量吞吐量维持在正常水平.在路由器上实现了该过滤器,结果表明,即使安装上千个过滤器也只需极少量的内存,且仍能保证路由器的正常吞吐率.     

云计算环境下DDoS攻击及防御研究

随着云计算的普及,DDoS攻击成为影响云计算发展的严峻挑战。文章介绍了云计算的基础知识和DDoS攻击技术的基本原理,然后分别对来源于云平台外部的DDoS攻击和来源于云平台内部的DDoS攻击原理进行分析,并提出了对应的防范策略与建议。     

卫星TCP/IP的拥塞控制与协议欺骗

针对TCP/IP over Satellite中启动时间长、拥塞恢复时间长以及通信效率低等问题，给出了扩展初始窗口、选择确认和快速重传/快速恢复三种解决办法，并讨论了基于SSCOP协议的协议欺骗问题，该方法提高了TCP/IP over Satellite的效率和安全性。