基于DDoS攻击的检测与防御实验系统的设计

DDoS是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁,同传统的DDoS相比,基于应用层的DDoS攻击隐藏效果更好,破坏力更强。DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地检测和识别攻击,为安全防御提供有效支撑。现有的大多数DDoS检测方法难以区分攻击者的攻击行为和突发的大流量正常请求行为,基于网络行为分析的检测方法对于攻击者的异常行为能够较好的辨识,因此基于网络行为分析的DDoS检测方法的实验系统对教学显得尤为必要。     

无线局域网DDoS攻击概述

在无线网络飞速发展的今天,针对无线网络的DDoS攻击也随之而来。本文详细介绍了针对无线网络体系结构各个层次的攻击方法,以及这些攻击方法的原理和利用的无线网络漏洞。     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

DDoS攻击检测误报警去除策略研究

在基于网络行为分析的DDoS攻击检测中,人们往往把提升检测性能的研究重点放在提取更有效的属性特征、扩大检测范围、选用精度更高的机器学习算法等方面。文章则以DDoS攻击检测产生的报警信息为研究对象,通过一定的策略从大量的报警信息中去除误报警信息,从而达到降低误报的目的。     

DDoS攻击与IP拥塞控制研究

IP网络的流量控制是在网络正常工作时采取的一系列措施,通过避免出现发生网络拥塞所需的条件,来进行拥塞控制。该文讨论了现有的主流方法,并对其应用于DDoS攻击防护的性能进行了分析和比较。结果表明,其中的任何一种方法都需要在改进后,才能有效地应用于控制DDoS攻击所造成的网络拥塞。     

用活动IP表和ICMP报文防御IP欺骗DDoS攻击

介绍了分布式拒绝服务攻击的原理;分析了四种具有代表性的防御方法;提出一种针对IP欺骗DDoS攻击的防御方法,在自治系统边界,利用活动IP记录表对进入自治系统的数据包进行处理,来自活动IP的网络流直接通过;没有活动记录的IP数据包被自治系统边界路由器或邻近边界的路由器丢弃,并发送网间控制报文协议(ICMP)超时差错报文通报源节点,IP不活动的IP欺骗DDoS攻击数据包不能到达受害节点;被丢弃的合法数据包由其源节点上层协议或应用进行重传。     

基于机器学习的DDoS攻击检测

简要回顾了DDoS攻击的工作原理和造成的危害,介绍了KNN和XGBoost两种机器学习算法的基本流程,提出了一种结合KNN算法和XGBoost算法的新DDoS攻击检测模型.在新模型中,通过使用KNN算法训练出模型,预测一个评分,作为新的特征加入原数据集中,再放到XGBoost中进行新一轮训练.利用标准数据集KDD CUP99进行了实验.实验数据表明,KNN和XGBoost融合模型训练和攻击检测的速度快,适用于DDoS攻击检测.     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

DDoS攻击检测模型的设计

为了有效检测服务器是否受到DDoS攻击,设计了一种基于朴素贝叶斯分类算法的DDoS攻击检测模型. 首先大量抓取服务器数据包,选择受到DDoS攻击时产生较明显变动的5种特征数据作为基本参数,所有数据可分为受攻击与未受攻击两类. 然后利用正态分布函数拟各合特征量的分布情况,并计算出各个特征量的条件概率. 最后,选取测试数据,得到测试数据在贝叶斯公式下被分为受攻击与未受攻击两类的后验概率,并通过比较此两个后验概率值的大小,判断出服务器是否受到DDoS攻击. 该模型经MATLAB仿真实验的验证,获得了较高的准确率,保证了对DDoS攻击的有效检测,并由C＋＋代码进行实现.     

包过滤的DDoS防御系统

简要描述了分布式拒绝服务的原理和体系结构,分析了基于IP标记技术的智能包过滤方案的优点和不足,并在此基础上提出一种改进的多边包过滤方案.     

分布式DDoS攻击源入侵追踪模型设计

针对DDoS攻击源追踪过程中入侵追踪设备间缺少分布式协同的问题,提出了分布式入侵追踪模型.设计了分布式入侵追踪设备部署策略和追踪算法,建立了入侵追踪设备Agent模型和OMNeT＋＋仿真模型.实验证明,相对于非分布式入侵追踪模型,分布式入侵追踪模型能够更有效地追踪攻击源,提高了追踪能力.     

认证确定包标记算法

确定包标记算法只需要边界路由器进行标记,可以对只使用少量包的拒绝服务攻击进行追踪,能同时追踪上千个攻击者,并且易于实现。针对确定包标记算法中,被攻击者控制的路由器（边界路由器或中间路由器）修改标记或加入伪造包。进而妨碍受害者重构人口地址的问题,提出了新的基于MAC认证的确定包标记算法。研究表明,认证确定包标记算法提供了足够的安全性,能有效阻止子网内的攻击者或傀儡路由器伪造虚假的标记,从而保证了受害者端地址重构的准确性。     

DDoS攻击防御模型的仿真研究

针对DDoS攻击的特点,提出一个基于协议类型判断和流量控制以及拥塞控制的DDoS攻击防御模型,并给出了模型中相关统计值的表达式,以及检测和防御的算法流程．在OPNET中针对典型的TCP SYN flood攻击防御给出了详细的节点建模过程．运用二组不同强度的攻击流进行试验,分析在启用防御机制和未启用防御机制时服务器对攻击流的处理效果．仿真实验表明,此模型对于不同强度的攻击流都有较好的抑制作用,证明了此模型的有效性．     

改进的压缩边分段采样算法

针对Savage等人的压缩边采样算法，提出一种改进的压缩边采样算法，该算法利用IP包头与分段相关的字段作为重载字段，增加了边信息存储所需要的空间，降低了重构过程的计算复杂度，并采用64位Hash作为误差效验以显著降低多个攻击者同时存在时重构路径的虚警率，而且通过对重构过程的算法优化进一步降低了计算复杂度，对重构路径所需要的包数、计算量和重构路径的虚警率进行比较．结果证明．改进算法远远超过原算法．将原算法重构路径所需要的计算量（所需要计算的Hash次数）从m^8降低到3m^2（其中m为在相同距离的攻击源个数）以下，在同时有20个攻击者时．原算法虚警率已经高达0．99，使其不可用，而改进算法在同时有1000个攻击者的情况下的虚警概率仍然近似为0，因此改进的压缩边采样算法能够很好地应用到大规模DDoS攻击源追踪中。     

一种网络攻击路径重构方案

对目前攻击源追踪中的报文标记方案进行了分析,给出了利用IP报文中的选项字段,以概率将流经路由器的地址标注报文,使得受害主机能够根据被标注报文内的地址信息重构出攻击路径的代数方法。运用代数方法记录报文流经路由器的地址,利用报文中记录的信息可重构路径。本方案有很低的网络和路由器开销,也容易扩充到IPv6和未来的主干网。     

分布式拒绝服务攻击的攻击树建模

分布式拒绝服务(distributeddenialofservice,DDoS)攻击严重威胁了网络的安全性。网络攻击的攻击树建模方法是卡内基梅隆大学提出的一种以结构化、可重用的方式来描述攻击信息建模方法;介绍了攻击树建模方法,研究了分布式拒绝服务攻击的攻击树,给出了分布式拒绝服务攻击的具体的攻击树模型,并分析了其可重用性,探讨了如何结合攻击树采取措施提高网络安全性;安全分析和设计人员可借此构造更安全的信息系统。     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。