基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

DDOS攻击检测和防御模型

提出了基于聚集和协议分析防御分布式拒绝服务攻击(aggregate-based protocol analysis anti-DDoS,简称APA-ANTI-DdoS)模型来检测和防御DDoS攻击.APA-ANTI-DDoS模型包括异常流量聚集、协议分析和流量处理.异常流量聚积把网络流量分为正常流量和异常流量;协议分析寻找异常流量中DDoS攻击流量的特征;流量处理则根据当前的DDoS攻击流量特征,过滤异常流量并测试当前聚积流量的拥塞控制特性,恢复被误判的流量.随后实现了APA-ANTI-DDoS系统.实验结果表明,APA-ANTI-DDoS模型能很好地识别和防御DDoS攻击,能在误判时恢复非攻击流量,保证合法的正常网络通信.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。     

东软推出适合运营商骨干网络应用的新产品异常流量分析与响应系统

最近,针对运营商骨干网络的监控检测和分析问题而推出的安全管理类产品异常流量分析与响应系统,正在得到广大运营商的认可。这套系统可以通过对骨干网络流量信息和系统信息的收集,采用多种方法进行分析、检测,实时监控、检测骨十网络中DoS／DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件,提取异常特征,并启动报警和响应系统进行过滤、阻断和防御。同时,而向管理员提供流量分行、流量排名、攻击来源和目标、应用层服务等各类关于骨干网络运行状况的统计分析数据,从而帮助管理员更好地监控和掌握骨干网络的使用情况。     

骨干通信网络流量告警信息关联分析*

提出一种以骨干通信网络流量特征参数告警信息为基础的关联分析方法,首先提取通信网络中多个与异常事件相关的相对粗粒度的流量特征参数,将这些特征参数看做是随时间变化的信号（以下称为流量特征信号）,通过流量特征信号分析获得异常事件的多个告警信息;然后采用Apriori算法进行告警信息关联分析,获得告警信息与异常事件的关联规则。实际网络流量数据的分析表明：使用上述规则能有效地发现骨干通信网异常事件。     

基于数据流势能特征的分布式拒绝服务隐蔽流量检测

在分析分布式拒绝服务( DDoS)攻击现状与发展趋势的基础上,提出一种基于时间序列的网络数据流量势能分析模型,并构造相应的网络流量势能序列。利用自回归模型拟合得到网络数据流量的多维参数向量,以此为依据描述单位时间内网络数据流量势能的稳定性。采用基于支持向量机的方法对网络数据流量的特征参数向量进行分类和训练,获得与训练模型相匹配的最优网络数据流量势能集,实现对不同DDoS攻击方式的流量特性的准确描述。基于DARPA数据集、IXIA 400 T网络测试仪等软硬件设施,构造真实且具有分析价值的网络环境,对网络流量势能分析模型进行验证,并与DDoS攻击流量的识别精度、识别率等关键指标进行分析对比实验,结果表明,该模型对DDoS攻击具有较高的检测精度和较优的检测质量。     

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

基于数据预处理的DDoS攻击检测方法研究

利用小波分解网络流量的方法,提出了一种基于数据预处理的分布式拒绝服务DDoS攻击检测算法。通过对小尺度流量数据进行预处理,使得短相关的网络流量体现出长相关性并保持小尺度模型的时间敏感度,满足了Hurst指数刻画多分形模型的条件,解决了现有小尺度网络异常实时检测方法的缺陷,如Holder指数检测算法误报率高、VTP检测法检测率不足等问题。     

基于NetFlow的网络测量

本文提出了基于NetFlow的网络流量采集,检测整个网络DoS／DDoS攻击的方法,特别是流量变化比较大的大型网站的DoS／DDoS攻击的异常检测和防御。设计的入侵检测系统利用Cisco路由器的NetFlow技术,采集单位时间每个路由器端口的流量大小作为观测序列,采用HSMM（隐半马尔可夫模型）,检测可能存在的攻击,能达到较好的检测效果。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于软件定义物联网的分布式拒绝服务攻击检测方法

由于物联网（IoT）设备众多、分布广泛且所处环境复杂,相较于传统网络更容易遭受分布式拒绝服务（DDoS）攻击,针对这一问题提出了一种在软件定义物联网（SD-IoT）架构下基于均分取值区间长度-K均值（ELVR-Kmeans）算法的DDoS攻击检测方法。首先,利用SD-IoT控制器的集中控制特性通过获取OpenFlow交换机的流表,分析SD-IoT环境下DDoS攻击流量的特性,提取出与DDoS攻击相关的七元组特征;然后,使用ELVR-Kmeans算法对所获取的流表进行分类,以检测是否有DDoS攻击发生;最后,搭建仿真实验环境,对该方法的检测率、准确率和错误率进行测试。实验结果表明,该方法能够较好地检测SD-IoT环境中的DDoS攻击,检测率和准确率分别达到96.43%和98.71%,错误率为1.29%。     

基于TCP缓存的DDoS攻击检测算法

由拒绝服务攻击（DOS）发展而来的分布式拒绝服务攻击（DDoS）已成为目前网络安全的主要威胁之一。从分析TCP缓存入手,提出一种基于缓冲区检测的DDoS检测算法。结合历史连接记录来对TCP缓存进行分析,生成特征向量,通过BP神经网络检测TCP缓存异常程度,根据异常程度判断是否发生攻击。实验结果表明,该算法能迅速准确地检测出DDoS攻击,有效阻止DDoS攻击的发生。     

分布式拒绝服务（DDoS）与防护

分布式拒绝服务攻击是目前严重影响网络安全和威胁网站服务质量的一种攻击手段。文章中讨论了拒绝服务攻击和分布式拒绝服务攻击的产生方式和特点,并提出了相应的防护措施。     

移动AdHoc网络中DoS攻击的建模与仿真

研究一种具有随机开关特性的移动AdHoc网络拒绝服务（DOS）攻击模型。为在仿真场景中反映实际移动AdHoc网络的流量特性,讨论自相似流量的Qualnet生成方法。对3种不同网络流量模型下的数据注入DoS攻击进行仿真与攻击分析,仿真结果表明,具有开关特性的DoS攻击能破坏网络节点、降低网络性能,并可有效地节省能量、避免检测。     

An approach for detecting and preventing DDoS attacks in campus

Nowadays, Denial of Service (DoS) attacks have become a major security threat to networks and the Internet. Therefore, even a naive hacker can launch a large-scale DoS attack to the victim from providing Internet services. This article deals with the evaluation of the Snort IDS in terms of packet processing performance and detection. This work describes the aspect involved in building campus network security system and then evaluates the campus network security risks and threats, mainly analyses the attacks DoS and DDoS, and puts forward new approach for Snort campus network security solutions. The objective is to analyze the functional advantages of the solution, deployment and configuration of the open source based on Snort intrusion detection system. The evaluation metrics are defined using Snort namely comparison between basic rules with new ones, available bandwidth, CPU loading and memory usage.     

Network traffic fusion and analysis against DDoS flooding attacks with a novel reversible sketch

Distributed Denial of Service (DDoS) flooding attacks are one of the typical attacks over the Internet. They aim to prevent normal users from accessing specific network resources. How to detect DDoS flooding attacks arises a significant and timely research topic. However, with the continuous increase of network scale, the continuous growth of network traffic brings great challenges to the detection of DDoS flooding attacks. Incomplete network traffic collection or non-real-time processing of big-volume network traffic will seriously affect the accuracy and efficiency of attack detection. Recently, sketch data structures are widely applied in high-speed networks to compress and fuse network traffic. But sketches suffer from a reversibility problem that it is difficult to reconstruct a set of keys that exhibit abnormal behavior due to the irreversibility of hash functions. In order to address the above challenges, in this paper, we first design a novel Chinese Remainder Theorem based Reversible Sketch (CRT-RS). CRT-RS is not only capable of compressing and fusing big-volume network traffic but also has the ability of reversely discovering the anomalous keys (e.g., the sources of malicious or unwanted traffic). Then, based on traffic records generated by CRT-RS, we propose a Modified Multi-chart Cumulative Sum (MM-CUSUM) algorithm that supports self-adaptive and protocol independent detection to detect DDoS flooding attacks. The performance of the proposed detection method is experimentally examined by two open source datasets. The experimental results show that the method can detect DDoS flooding attacks with efficiency, accuracy, adaptability, and protocol independability. Moreover, by comparing with other attack detection methods using sketch techniques, our method has quantifiable lower computation complexity when recovering the anomalous source addresses, which is the most important merit of the developed method.     

DoS-DDoS: TAXONOMIES OF ATTACKS,COUNTERMEASURES, AND WELL-KNOWN DEFENSE MECHANISMS IN CLOUD ENVIRONMENT

Cloud computing has become a suitable provider of services for organizations as well as individuals through the Internet. Generally, these services become unavailable because of Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks that can deny the legitimate users access to the service delivered by cloud. Taxonomy is an important opportunity for researchers and cloud service providers. Therefore, it provides researchers with a general view about some contributions to understand and ameliorate their limitations and helps cloud service providers to select the best defense strategy to protect their cloud service against DoS and DDoS attacks. In this article, we present taxonomies of DoS and DDoS attacks in cloud environment, countermeasures, and highlight their solutions with another taxonomy of well-known defense mechanisms.     

基于主成分分析的拒绝服务和网络探测攻击检测

针对拒绝服务和网络探测攻击难以检测的问题,提出了一种新的基于主成分分析的拒绝服务和网络探测攻击检测方法。首先在攻击流量和正常流量数据集上应用主成分分析,得到所有流量数据集的各种不同统计量;然后依据这些统计量构造攻击检测模型。实验表明：该模型检测拒绝服务和网络探测攻击的检测率达到99%;同时能够让受攻击对象在有限的时间内做出反应,减少攻击对服务器的危害程度。