基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

基于流量和IP熵特性的DDoS攻击检测方法

针对现有DDoS(Distributed Deny of Service)攻击检测率低、误报率较高等问题进行了深入研究。根据DDoS攻击发生时网络中的流量特性和IP熵特性,建立了相应的流量隶属函数和IP熵隶属函数,隶属函数的上下限参数通过对真实网络环境仿真得到。提出了基于流量和IP熵特性的DDoS攻击检测算法,先判断流量是否异常,再判断熵是否异常,进而判断是否发生了DDoS攻击,提高了。由仿真结果可以看出：单独依靠流量或IP熵都不能很好地检测出DDoS攻击。该算法将流量和IP熵特性综合考虑,准确地检测出了DDoS攻击,降低了误报率,提高了检测率。     

基于NetFlow的网络测量

本文提出了基于NetFlow的网络流量采集,检测整个网络DoS／DDoS攻击的方法,特别是流量变化比较大的大型网站的DoS／DDoS攻击的异常检测和防御。设计的入侵检测系统利用Cisco路由器的NetFlow技术,采集单位时间每个路由器端口的流量大小作为观测序列,采用HSMM（隐半马尔可夫模型）,检测可能存在的攻击,能达到较好的检测效果。     

云环境下一种基于信任的加密流量DDoS发现方法

针对云环境下分布式拒绝服务(distributed denial-of-service,DDoS)攻击加密攻击流量隐蔽性更强、更容易发起、规模更大的问题,提出了一种云环境下基于信任的加密流量DDoS发现方法TruCTCloud.该方法在现有基于机器学习的DDoS攻击检测中引入信任的思想,结合云服务自身的安全认证,融入基于签名和环境因素的信任评估机制过滤合法租户的显然非攻击流量,在无需对加密流量解密的前提下保障合法租户流量中包含的敏感信息.其后,对于其他加密流量和非加密流量,引入流包数中位值、流字节数中位值、对流比、端口增速、源IP增速这5种特征,基于特征构建Ball-tree并提出基于k近邻(k-nearest neighbors,k NN)的流量分类算法.最后,在OpenStack云环境下检测了提出方法的效果,实验表明TruCTCloud方法能快速发现异常流量和识别DDoS攻击的早期流量,同时,能够有效保护合法用户的敏感流量信息.     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

基于验证与自主学习的主动DDoS防御系统

主动DDoS防御系统(ADDS)主要防御基于网络的DDoS攻击。使用体系防御技术组织防火墙、路由器和中心主机共同防御,弥补了防火墙、路由器和内核级防御程序单独防御的不足;使用分区超时技术使系统具有快速防御DDoS的能力;使用流量分析技术控制路由器,优化网络流量分配;使用连接验证技术消除傀儡机的攻击。多种技术和多层次的防御使系统具有较强的防御DDoS攻击能力。     

基于流特征相对熵的DDOS攻击检测方法的研究

分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击是互联网的重要威胁之一。笔者通过分析DDoS攻击的原理及其攻击特征,从延长检测响应时间和减少计算复杂度的角度提出了一种DDoS攻击的检测方法。该方法基于DDoS攻击的流量特征,提取有效的流量特征参数,并根据参数变化及时、准确地判断DDoS攻击的发生时间。实验结果证明,该方法能迅速有效地检测到DDoS攻击,并对其他网络安全异常检测具有指导作用。     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

防御分布式拒绝服务攻击的入侵检测模型

本文通过对典型分布式扫描服务（DDoS)攻击的工具Trinoo的攻击特性分析，提出了三层检测DDoS的模型。该模型利用了IP和端口陷阱，特征字符串匹配和流量分析等有效的检测手段，通过三层检测，逐级跟踪，综合分析，从而比较准确地判断Trinoo的入侵，它改进了Snort检测中仅靠特征字符匹配进行判断的方法，从而降低了误报警率，同时该模型中分析和解决问题的思路对于防御其它攻击有着很重要的参考价值。     

IPv6中一种基于卷积的DDoS攻击两阶段防御机制

针对IPv6快速普及背景下分布式拒绝服务(DDoS)攻击威胁不断增长的现状, 提出一种两阶段的DDoS攻击防御机制, 包括初期实时监控DDoS攻击发生的预检测阶段, 以及告警后精准过滤DDoS攻击流量的深度检测阶段. 首先, 分析IPv6报文格式并解析PCAP流量捕获文件中的16进制头部字段作为样本元素. 其次, 在预检测阶段, 引入轻量化二值卷积神经网络(BCNN), 设计一种二维流量矩阵作为模型输入, 整体感知网络在混杂DDoS流量后出现的恶意态势作为告警DDoS发生的证据. 告警后, 深度检测阶段介入, 引入一维卷积神经网络(1DCNN)具体区分混杂的DDoS报文, 从而下发阻断策略. 在实验中, 自建IPv6-LAN拓扑并基于NAT 4to6技术重放CIC-DDoS2019公开集生成纯IPv6-DDoS流量源测试. 结果证明, 所提机制提升针对DDoS攻击的响应速度、准确度和攻击流量过滤效率, 当DDoS流量出现仅占总网络6%和10%时, BCNN就能以90.9%和96.4%的准确度感知到DDoS攻击的发生, 同时1DCNN能够以99.4%准确率区分DDoS报文并过滤.     

A new mechanism for metastability of under-saturated traffic responsible for time-delayed traffic breakdown at the signal

In this paper we introduce a new mechanism of metastability of under-saturated traffic at the signal that is responsible for a time-delayed traffic breakdown revealed by Kerner (2011). In our model, we assume that the metastability of under-saturated traffic at the signal is caused by a dependence of the mean time of driver acceleration from a queue at the signal on the driver’s stopped time within the queue. With the use of Nagel–Schreckenberg model, we demonstrate that this mechanism of the metastability of city traffic can lead to the time-delayed traffic breakdown at the signal.     

城市交通系统的微观仿真研究

基于微观交通模型,将面向对象方法与可视化技术运用到城市交通系统的微观仿真研究中,开发了一套具有一定实用价值的交通仿真软件。仿真结果表明,车辆运行动画与人的直观交通经验一致。该方法可用于对一般的规模庞大的道路交通网络的研究。     

高速公路交通状态的联合估计方法

提出一种有效的高速公路交通密度预测估计方法。通过分析交通模型，建立了系统的离散化状态和误差模型表达式，并采用推广Kalman滤波方法进行估计．为进一步增强数值稳定性以及提高计算效率，根据系统矩阵分块的特点，采用分块的正交化U-D分解算法实现时间更新，同时采用序列U-D分解方法进行测量更新．仿真计算和实际应用表明，该方法可以给出工程实用结果。     

基于周期性网络流量模型的校园网流量预测

网络流量模型是网络性能评价、网络协议设计和网络规划等的基础,然而实践证明基于泊松过程的传统流量模型并不适用于实际的网络流量.在对大量校园网络流量数据统计分析的基础上,提出一个基于周期性网络流量的网络流量模型,将网络流量分为时间相关分量和正态随机分量,并利用分布拟合检验算法加以验证,同时给出了在不同置信度下基于该流量模型的流量预测算法,从而保证对校园网络高效的管理.     

基于模糊神经网络的道路交叉口交通控制方法

提出了一种基于模糊神经网络的道路交叉口交通控制方法，分别把关键车流信息和非关键车流信息作为控制输入，采用两级控制器结构，综合形成控制策略。仿真结果表明，与传统的定时控制方法和只考虑关键车流的情形相比，所提出的两级神经网络控制方法在车辆平均延误时间和排队长度方面都有较大改进。     

自适应网络流量线性预测算法及应用*

Internet网络流量的分析、模型仿真以及流量的预测,在网络管理和设计中起着很重要的作用。分析了CERNET网络流量行为,提出了CERNET IP Backbone的流量模型,同时将自适应滤波的新思想引入网络流量的模型仿真和预测,提出了自适应网络流量线性预测的新算法,并将其应用于CERNET的网络流量预测。     

基于时间特征的网络流量预测模型

本文设计一种基于时间特征的网络流量预测模型,并采用该流量模型预测网络流量。文章提出网络流量预测误差的数学定义,根据测试实验表明,我们的流量模型具有更高的可用性,并适用实际运行的网络环境。     

基于sFlow技术的网络流量监测系统研究

讨论传统流量测量技术的局限,介绍基于sFlow技术的流量监测系统设计与实现.使用本系统能够提供更为详实的全网网络流量数据,这是使用传统方法难以实现的.     

Robust identification for multi-section freeway traffic models

1IntroductionIt is important to estimate the densityandspeed oftrafficfor the safetyandtraffic control .For decades ,manyresearchwork have been done to estimate traffic density, trafficvolume ,average speed,and other parameters[1,2] .Theproblemof estimating dynamic traffic has been involved inparts of those research work[1 ~4] .By means of O_Dmatrix,some researchers have also made a series of studiesof traffic prediction and traffic layout estimation[5] .However , most of the research work m…     

基于流量特征的网络流量预测研究

传统的非线性模型已经不再适用于网络流量建模,为了能够更精确地对网络流量建模,必须考虑到网络流量的特性。针对网络流量的自相似、长度分布、周期等特征进行分析,结合小波变换与时间序列模型,有效地建立流量预测模型。首先对流量的自相似和平稳性进行分析,并对长度、周期等特征进行描述,其次根据实际流量的自相似性和平稳性选择小波变换与时间序列相结合的方法进行建模,产生预测结果,最后根据长度与周期特征粗略判断预测的合理性。根据实验验证与分析,该方法具有极大的灵活性,相比单一的小波-FARIMA模型可以减少大量的运算,同时能够描述网络流量的短相关与长相关特性。