基于网络流量自相似性的入侵检测技术

提出一种根据网络业务自相似性对网络流量进行异常检测和判断的方法,从而为及时、准确地判断和制止大规模DDoS攻击的发生提供了新的手段。和传统的方法相比,该方法不需要对分组内容进行检测,效率较高,可用于大流量网络节点的DDoS攻击检测和防范工作。     

一种运用限幅自相似性的新型DDoS入侵检测机制

本文提出了一种新型的DDoS入侵检测方法,在建立正常网络流量模型基础上,对网络流量的自相似性-Hurst参数、Hurst参数的时变函数H(t)进行分析,对网络流量进行实时限幅,由自相似性的变化来预测DDoS攻击,并用数据库对攻击定住。试验表明基于网络流量的统计分析方法能够在一定程度上检测出DDoS攻击,比传统的基于特征匹配的DDoS入侵检测方法,在实时性、准确率上有较大提高。     

校园网网络流量自相似性的测定

根据自相似性理论,网络流量自相似性的程度可由计算Hurst参数的大小来测定。本文通过在校园网主干路上进行网络数据包的采集,然后用方差时间方法和R／S方法计算所采集流量的Hurst参数值,以检测校园网网络流量的自相似性。通过实验的分析与比较,验证了自相似性的存在,并对如何运用Hurst值的变化来进行流量异常检测做了初步的 探讨。     

网络流量自相似性影响因素的研究

网络流量特征是分析和研究网络性能、规划网络建设的基础。由于自相似模型能够更加真实地描述网络传输的特性,通过生成自相似性的流量进行仿真研究。提出将业务源流量自相似性与网络传输的TCP协议相结合进行研究的方法,探讨影响自相似流量的因素,分析网络行为随参数变化的情况。仿真结果表明业务源流量的自相似与网络状态无关,而网络传输的TCP协议自适应改变网络状态,从而间接改变网络流量的自相似性,但并不能消除业务源流量的自相似性。     

基于网络流量的入侵检测研究

首先给出计算机网络正常和异常的概念,接着介绍入侵检测中的误用检测和异常检测。然后对网络流量中的主要入侵检测方法进行介绍。最后基于网络流量的特点,简单介绍了网络流量在入侵检测中的发展趋势和主要研究方向。     

一种IPv6环境下DDoS实时检测方法

DDoS攻击是当今网络包括下一代网络IPv6中最严重的威胁之一,提出一种基于流量自相似的IPv6的实时检测方法。分别采用改进的WinPcap实现流数据的实时捕获和监测,和将Whittle ML方法首次应用于DDoS攻击检测。针对Hurst估值方法的选择和引入DDoS攻击流的网络进行对比仿真实验,结果表明:Hurst估值相对误差,Whittle ML方法比小波变换减少0.07%;检测到攻击的误差只有0.042%,准确性达99.6%;增强了DDoS攻击检测的成功率和敏感度。     

校园网络流量自相似性分析与研究

对于校园网等小规模的局域网,通过计算网络流量自相似值的方法无法有效检测网络异常流量。针对该问题,在分析校园网络流量特点的基础上,将网络流量分解成趋势项和随机成分等其他项,使用经验模式分解消除网络流量中的趋势项,使得网络流量序列的自相似值能直接反映随机成分状态。实验结果表明,该方法能提高异常流量检测的准确性。     

基于一种相对Hamming距离的入侵检测方法--RHDID

首先分析了传统入侵检测方法的不足,即误用入侵检测方法难于检测新形式的入侵,异常入侵检测方法难于建立合理有效的正常行为特征和检测方法。然后,通过对特权进程的系统调用和参数序列的研究,提出了一种相对Hamming距离入检测方法（RHDID）。应用RHDID检测入侵不仅能有效降低漏报率和误报率,而且使实时入侵检测成为可能。最后,原型系统证实了该方法的可行性,获得了在实时环境中检测入侵的技术效果。     

基于网络入侵检测系统的优势

与基于主机入侵检测系统 (ＨＩＤＳ)相比 ,基于网络入侵检测系统 (ＮＩＤＳ)具有单独的ＨＩＤＳ无法轻易提供的能力。1、ＮＩＤＳ具有实时特性 ,它能够在当可疑的流量流经网络时 ,实时发现它们 ,且提供比ＨＩＤＳ更快的响应和通知。2、由于ＮＩＤＳ既检测包头 ,也检测包的载荷 ,因此它可以检测到ＨＩＤＳ可能会遗漏的攻击。3、当安全探测器被配置成以混杂模式的方式运行 ,非常难以被检测 ,具有较强的隐蔽性 ,这也就防止了入侵检测系统本身遭到直接攻击。4、安全探测器使用的数据源是实际的网络流量 ,一旦被捕捉到就不会丢失。不仅攻击嵌入在…     

网络业务流量自相似性及判断方法研究

随着网络规模的扩大,网络速度的提高,对于网络业务流量特性的研究已经成为网络性能分析最主要的方向之一。通过对网络流量的研究,可以为预测网络性能、保障关键业务所需的QoS等应用提供必要的支持。主要介绍网络流量自相似性以及形成自相似的可能原因以及自相似程度的判断方法。     

一种针对DDoS攻击的新型防护机制研究

本文提出了一种新型的基于网络流量自相似性的DDoS防护机制,给出了该机制的体系结构,其中包括攻击检测、路径定位、特征提取、生成响应策略、实时响应、处理结束等步骤.并在此基础上,对其数据结构和工作机制进行详细的分析和设计.实验证明此方法能够较好地对DDoS攻击加以检测和防护,比传统的基于特征匹配的DDoS入侵防护方法具有较好的性能.     

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

随着网络技术的发展,网络环境变得越来越复杂,对网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,包括无法解决安全后门问题,不能阻止网络内部攻击等问题。在众多的网络安全威胁中,DDoS攻击以其实施容易,破坏力度大,检测困难等特点而成为网络攻击检测与防御的重中之重。近年来,针对网络流量相关性的DDoS攻击检测方法层出不穷,文章在分析DDoS攻击检测方法的基础上,利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。     

基于源端检测的DDoS防御机制

提出了一种新型的基于源端检测的DDoS防御机制。它能够比较精确地识别DDoS攻击数据流,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响,不会影响用户对网络的正常使用。讨论了如何在Windows平台上的具体实现,给出了具体实验 分析。     

基于随机森林分类模型的DDoS攻击检测方法

分布式拒绝服务（distributed denial-of-service,DDoS）是目前常见的网络攻击方式之一。在正常访问过程中访问都是理性的,流量较小且存在很大的不确定性;当发生DDoS攻击时,访问是非理性的,会产生大量的流量且存在一定规律。基于机器学习算法（SVM、HMM等）的DDoS攻击检测技术取得一些进展,但还存在着样本数量过多时易发生过拟合和未充分利用上下文信息等不足。基于随机森林的分类模型能够融合上下文信息,且在样本数量增多时不容易发生过拟合。本文提出一种基于随机森林的DDoS攻击检测方法,将数据流信息熵作为分类标准,对TCP洪水攻击、UDP洪水攻击、ICMP洪水攻击等三种常见的攻击方式进行特征分析,在此基础上使用基于随机森林分类模型分别对三类DDoS攻击方式进行分类检测,实验结果表明该方法能够较为准确地区分正常流量和攻击流量。     

基于网络流量的应用层DDoS攻击检测方法研究

根据应用层DDoS攻击和正常网络流量在特征上的不同,提出一种基于流量分析的应用层DDoS攻击检测方法,通过对源IP地址进行分析,能够有效地识别应用层DDoS攻击.同时,针对DDoS攻击流量和突发流量的相似性,在识别DDoS攻击的同时,能够正确区分突发流量,减少误报和漏报.     

基于小波神经网络的DDoS攻击检测及防范

DDoS攻击的检测及防范是目前计算机安全研究领域中的难点和热点。文章在系统地分析比较国内外DDoS攻击检测及防范理论和方法的基础上,根据DDoS攻击时引起网络数据流异常波动的特点,运用小波神经网络理论和方法,建立了DDoS检测和防范模型,并据此设计了相应的软件产品。仿真结果显示,该方法能有效地检测和防范DDoS攻击。     

基于序贯变化检测的DDoS攻击检测方法

给出了一种有效的DDoS攻击检测方法,将DDoS攻击的检测作为序贯变化检测的一个具体实例来分析,采用序贯变化检测算法--非参数CUSUM算法进行检测.方法具有计算量小、检测迅速准确、适用于不同网络环境和攻击模式的优点,有一定的实用价值.文章最后对两种典型的攻击模式进行了实际检测,全面评估了检测算法在不同DDoS攻击场景下的性能.     

一种基于BiLSTM的低速率DDoS攻击检测方法

低速率分布式拒绝服务（Low-rate Distributed Denial of Service, LDDoS）攻击是一种新型的DDoS攻击方式,因其具有低速率、周期性和隐蔽性等特点,可躲避传统的DDoS攻击检测技术,更加难于检测和防御。本文提出一种基于特征选择和双向长短期记忆（Bidirectional Long Short Term Memory, BiLSTM）神经网络结合的LDDoS攻击检测方法。该方法使用分层交叉验证的递归特征消除（Recursive Feature Elimination CV, REFCV）特征选择算法挖掘双向流中最优的11个特征集合作为神经网络的输入,建立基于BiLSTM神经网络模型的LDDoS攻击检测分类器进行分类,达到LDDoS攻击检测的目的。实验结果表明该方法比卡尔曼滤波和NCAS算法有较高的检测率,误报率和漏报率都很低。     

基于移动agent的DDoS攻击协同防范技术研究

分布式拒绝服务攻击(distributed denial-of-service,DDoS)已经对Internet的稳定运行造成了很大的威胁。近两年来,DDoS的攻击方法和工具变得越来越复杂,越来越有效,追踪真正的攻击者也越来越困难。从攻击防范的角度来说现有的技术仍然不足以抵御大规模的攻击。文中通过分析DDoS攻击原理以及DDoS攻击行为,提出了一个基于移动agent的分布式协同入侵检测模型。该模型通过构建本地入侵检测模块和反DDoS实体模块来协同对分布式拒绝访问攻击形成大面积网络预警机制,以达到在陷于大规模分布式拒绝访问攻击时,能够最小化检测和反应时间,并进行自动响应。