基于模糊C-均值聚类算法的DDoS攻击检测与仿真

提出一种新的、基于模糊C均值聚类理论的分布式拒绝服务攻击检测方法.该方法根据分布式拒绝服务的攻击特征,利用模糊C-均值聚类方法(Fuzzy C-Means Clustering Algorithm, FCM)对分布式拒绝服务攻击中的网络连接数据进行分析,从而发现异常网络的行为模式,并检测DDoS攻击.实验结果显示,该检测方法能够有效检测DDoS攻击,具有较低的误报率,并能实现对攻击的实时检测.     

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。     

基于聚类的应用层DDoS攻击检测方法研究

目前应用层分布式拒绝服务（Application Layer Distributed Denial of Service,AL-DDoS）攻击对网络安全造成的威胁与日俱增,针对应用层用户访问行为,研究了一种基于多聚类中心近邻传播（Multi-Exemplar Affinity Propagation,MEAP）聚类算法的AL-DDoS攻击检测模型。该方法使用用户请求序列的信息熵作为输入,通过MEAP快速获得能够描述用户浏览行为的特征模型,对新加入的请求序列计算到各个聚类中心的距离,设定阈值从而区别正常与攻击序列。通过模拟实验表明,该方法能够有效地完成在线AL-DDoS攻击准实时检测。     

结合概率图模型与DNN的DDoS攻击检测方法

从传统网络到物联网,分布式拒绝服务攻击一直是网络安全的隐患。为提高分布式拒绝服务攻击的检测率,提出基于概率图模型与深度神经网络的DDoS攻击检测方案。该检测方案由数据预处理阶段和攻击检测阶段组成,在数据预处理阶段,研究了正常数据包与攻击包的区别,分别从TCP、UDP以及IP数据包包头信息提取出较高维的统计特征,根据随机森林计算的特征重要性因子,保留了前22个特征用于流量检测。22个统计特征通过概率图模型的隐马尔科夫算法进行聚类,然后将聚类结果通过检测阶段的深度神经网络对网络数据进行进一步的检测。在CICDoS数据集上进行验证性实验,结果表明,该检测方法的准确率最高可达99.35%,最低检测误报率和漏警率分别可达0.51%和0.12%。     

一种基于数据挖掘的DDoS攻击入侵检测系统

防御分布式拒绝服务(DDoS)攻击是当前网络安全中最难解决的问题之一。针对该问题文章设计了基于数据挖掘技术的入侵检测系统,使用聚类k-means方法结合Apriori关联规则,较好地解决了数值属性的分类问题,从数据中提取流量特征产生检测模型。实验表明,该系统可以有效检测DDoS攻击。     

分布式拒绝服务攻击的软防御系统

提出了一种分布式拒绝服务攻击的软防御系统模型.针对分布式拒绝服务攻击的行为和目标,从服务器自身适应入手,设计了一个服务资源管理系统,对访问资源进行管理和优化.在代理连接服务中采用流水技术优化SYN半连接的数量及连接时间.有效的阻止了分布式拒绝服务的攻击,优化了服务器的访问管理,提高了服务器的访问效率.     

基于改进模糊C-均值聚类的DDoS攻击安全态势评估模型

新型网络环境下,传统的网络态势评估方法已经不能有效地评估分布式拒绝服务攻击DDoS的安全态势。提出了基于改进模糊C 均值FCM聚类的DDoS攻击的安全态势评估模型。该模型根据新老用户网络流IP地址状态变化和单双向网络流的融合特征,计算出网络系统各节点的风险指标,通过汇聚网络中各个节点的风险指标生成整个网络的安全态势信息,再用改进的模糊C-均值聚类算法将融合的安全态势信息分为五个安全等级,最后采用风险等级识别模型对整个网络的DDoS攻击安全态势进行定量评估。实验结果表明,该模型能够合理有效地评估DDoS攻击的安全态势,比现有的评估方法更准确灵活。     

基于k-Means改进算法的分布式拒绝服务攻击检测

分布式拒绝服务（DDoS）攻击是当前主要的网络安全威胁之一。本文分析了DDoS攻击的本质特征,提出了结合流量及流特征分布熵的检测策略,并根据问题需要改进了k-mea ns聚类算法,并用之建立攻击检测模型。最后,使用LLDOS1．0数据集对该模型进行测试。实验结果表明,该模型具有良好的检测精度,验证了检测策略的有效性。     

基于主成分分析的拒绝服务和网络探测攻击检测

针对拒绝服务和网络探测攻击难以检测的问题,提出了一种新的基于主成分分析的拒绝服务和网络探测攻击检测方法。首先在攻击流量和正常流量数据集上应用主成分分析,得到所有流量数据集的各种不同统计量;然后依据这些统计量构造攻击检测模型。实验表明：该模型检测拒绝服务和网络探测攻击的检测率达到99%;同时能够让受攻击对象在有限的时间内做出反应,减少攻击对服务器的危害程度。     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。     

基于线性预测的DDoS攻击检测方法

分布式拒绝服务攻击的原理简单、危害严重,如TCP淹没攻击。该文介绍一种快速、有效的方法来检测TCP SYN flooding攻击,通过线性预测分析来预防、拒绝服务攻击(DoS)。该检测机制采用TCP在响应超时情况下的指数回退算法性质,计算受攻击网络中的收到的SYN和发出的SYN＋ACK数据包数量之差进行数学建模,可以在很短的延时内检测SYN Flooding攻击。该算法可以方便地运用在叶节点路由器和防火墙中。     

基于SNMP的DoS攻击特征提取方法

主要描述了利用SNMP来提取DoS攻击的特征的方法和过程。首先通过DoS攻击实验,利用自己编写的SNMP数据采集软件记录了SNMP对象值在几种常见DoS攻击下的变化情况,然后定性地分析这些变化情况,最后总结了基于SNMP的DoS攻击特征。     

层次化的主机抗DoS攻击能力测试方法

在基于协议的DoS攻击分类方法完备性分析和针对主机的DoS攻击效果层次性分析的基础上,建立了TCP/IP协议层次与常用DoS攻击方法及其对主机影响的指标集的层次性对应关系,提出了针对重要主机的层次化抗DoS攻击能力综合测试方法及其流程,并结合实例说明了层次化主机抗DoS攻击能力测试的完备性及其有效性.     

Ant-based IP traceback

The denial-of-service (DoS) attacks with the source IP address spoofing techniques has become a major threat to the Internet. An intrusion detection system is often used to detect DoS attacks and to coordinate with the firewall to block them. However, DoS attack packets consume and may exhaust all the resources, causing degrading network performance or, even worse, network breakdown. A proactive approach to DoS attacks is allocating the original attack host(s) issuing the attacks and stopping the malicious traffic, instead of wasting resources on the attack traffic.

In this paper, an ant-based traceback approach is proposed to identify the DoS attack origin. Instead of creating a new type or function or processing a high volume of fine-grained data used by previous research, the proposed traceback approach uses flow level information to identify the origin of a DoS attack.

Two characteristics of ant algorithm, quick convergence and heuristic, are adopted in the proposed approach on finding the DoS attack path. Quick convergence efficiently finds out the origin of a DoS attack; heuristic gives the solution even though partial flow information is provided by the network.

The proposed method is evaluated through simulation on various network environments and two simulated real networks, NSFNET and DFN. The simulation results show that the proposed method can successfully and efficiently find the DoS attack path in various simulated network environments, with full and partial flow information provided by the networks.     

基于Hurst参数评估的网络异常检测方法的研究

真实的网络流量普遍存在统计上的自相似性,因此传统的基于泊松过程和马尔科夫模型等已不能反映实际测量的流量.针对传统检测方法存在的问题,将基于Hurst参数评估应用到DoS攻击检测中,由H参数变化来检测DoS攻击.通过分析DARPA 1998入侵检测数据表明,基于该法的Hurst参数评估能够检测到DoS攻击,此法比传统的基于特征匹配的网络流量异常检测法在检测精度上有较大提高.     

基于Markov的无线传感器网络入侵检测机制

本文采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案——MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度,减少了预测误差或信道误码所带来的误报。仿真实验结果表明,Markov模型具有较高的预测精度,能够实时地预测传感器网络流量;MPDD方案能够快速、有效地检测拒绝服务攻击且消耗资源较少。     

基于能量预测的传感器网络信任机制研究

信任机制最近已建议作为一个无线传感器网络(WSNs)有效的安全机制.文中提出了一种信任机制(EPTM),该机制不仅可以防止被入侵的节点或者恶意节点选举为簇头,而且还设计出一种新型副簇头节点来监察簇头以防止他们的恶意行为.特别介绍了一种基于能量预测的方法来检测拒绝服务攻击(DoS)的节点,选出值得信赖的簇.最后通过仿真验证了机制的可行性,结果表明:EPTM可以有效防御拒绝服务(DoS)攻击.     

抵御DoS攻击的认证协议安全方案

认证协议为保证其安全性,通常要使用复杂的密码算法,从而造成DoS攻击隐患.为解决该问题,基于保护协议响应方的立场,综合Cookie方法和工作量证明方法的思想,采用两阶段认证的方法,提出了该一种抵御DoS攻击的认证协议安全方案.对方案进行了框架设计和实现设计,并根据方案建立实验模型.实验结果的分析表明了方案抵御DoS攻击的能力,然后分析了安全方案的安全特性.最后应用安全方案对Helsinki协议进行了改进,增强了该协议的抗DOS攻击能力.     

Event-triggered containment control for multi-agent systems under hybrid cyber attacks

This paper studies event-triggered containment control problem of multi-agent systems (MASs) under deception attacks and denial-of-service (DoS) attacks. First, to save limited network resources, an event-triggered mechanism is proposed for MASs under hybrid cyber attacks. Different from the existing event-triggered mechanisms, the negative influences of deception attacks and DoS attacks are considered in the proposed triggering function. The communication frequencies between agents are reduced. Then, based on the proposed event-triggered mechanism, a corresponding control protocol is proposed to ensure that the followers will converge to the convex hull formed by the leaders under deception attacks and DoS attacks. Compared with the previous researches about containment control, in addition to hybrid cyber attacks being considered, the nonlinear functions related to the states of the agents are applied to describe the deception attack signals in the MAS. By orthogonal transformation of deception attack signals, the containment control problem under deception attacks and DoS attacks is reformulated as a stability problem. Then, the sufficient conditions on containment control can be obtained. Finally, a set of simulation example is used to verify the effectiveness of the proposed method.     

自适应事件触发通信机制下机理解析与数据驱动融合的ICPS双重安全控制

针对存在拒绝服务(DoS)攻击与执行器故障的工业信息物理融合系统(ICPS),将机理解析与数据驱动方法相结合,在新型自适应事件触发通信机制下,研究双重安全控制问题.首先,设计自适应事件触发机制,能够触发参数随系统行为动态自适应变化,节约更多网络通信资源;其次,基于系统最大允许时延建立攻击检测机制,可以有效区分大、小能量DoS攻击;再次,基于极限学习机算法(ELM)建立时序预测模型,用于大能量DoS攻击时重构修正控制量,以主动容侵攻击的影响,并给出与小能量攻击时机理解析的弹性被动容侵来提升系统对攻击的防御能力;然后,借助T-S模糊理论、时滞系统理论、新型Bessel-Legendre不等式等,推证得到系统鲁棒观测器及双重安全控制器的解析求解方法,使双重安全控制与通讯性能得到折衷协同提升;最后,通过实例仿真验证所提出方法的有效性.