一种基于历史信任数据的DDOS防御模型

分布式拒绝服务攻击给网络安全和网络服务质量带来了巨大的威胁。通过对分布式拒绝服务攻击原理及现有防御措施的分析,为了更有效防御这类攻击的发生,可以考虑在边界路由器上建立一种基于历史信任数据的源地址库的防御模型。该模型以历史信任数据库为依托,通过对异常IP包使用核心无状态公平排队算法进行源地址检测并对其处理结果做出相应的处理,可以有效、快速过滤掉异常的IP包数据,提前防止网络受到分布式拒绝服务攻击的侵害。     

基于历史信任数据的DDoS防御模型

文中概述了DDoS攻击方法,分析了传统的DDoS攻击的防御技术。提出了一种基于历史信任数据的DDoS防御模型,并对模型的异常数据检测方法,信任数据库建立机理及源地址检测算法进行了说明。     

网络攻击追踪技术性能分析

DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包.     

基于Web行为轨迹的应用层DDoS攻击防御模型

为了有效防御应用层分布式拒绝服务攻击（DDoS）,定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型。把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。     

随机伪造源地址分布式拒绝服务攻击过滤

由于能够有效隐藏攻击者,随机伪造源地址分布式拒绝服务攻击被广泛采用.抵御这种攻击的难点在于无法有效区分合法流量和攻击流量.基于此类攻击发生时攻击包源地址的统计特征,提出了能够有效区分合法流量和攻击流量,并保护合法流量的方法.首先设计了一种用于统计源地址数据包数的高效数据结构Extended Counting Bloom Filter(ECBF),基于此,提出了随机伪造源地址分布式拒绝服务攻击发生时合法地址识别算法.通过优先转发来自合法地址的数据包,实现对合法流量的有效保护.采用真实互联网流量进行模拟,实验结果表明,所提方法能精确识别合法地址,有效地保护合法流量,尤其能够较好地保护有价值的交易会话.所提方法的时间复杂性为O(1),并且只需数兆字节的内存开销,可嵌入边界路由器或网络安全设备,如防火墙中,实现随机伪造源地址分布式拒绝服务攻击的在线过滤.     

基于边界网关的自适应DDoS攻击防御策略

传统基于主机的防御无法应对分布式拒绝服务(DDoS)攻击对整个自治系统的冲击.提出了双过滤并行净化网络方案、基于自治系统的自适应概率包标记方案和基于源地址验证的单播反向路径转发策略,形成了基于边界网关的DDoS攻击防御体系,提高了包标记方案的效率,简化了防御部署.实验验证了该防御体系的有效性.     

分布式拒绝服务攻击建模与形式化描述

分布式拒绝服务（DDoS）攻击严重威胁网络的安全性。需要有合适的模型来刻画DDoS攻击的行为特征，指导DDoS攻击的分析、检测和防御。使用攻击树对分布式拒绝攻击进行建模，并引入Object_Z语言对具体攻击模式进行了面向对象的形式化描述。分布式拒绝服务攻击的攻击树模型可以刻画出分布式拒绝服务攻击的本质特征，对其具体子类的形式化描述又可以降低构造攻击模型的复杂度，从而易于使用，分析和维护。     

基于分布式反射拒绝服务攻击的包标记技术的研究

分布式拒绝服务攻击是当今网络安全领域最难防御的攻击之一。在众多的解决方法中,数据包标记无疑成为最主动和最有效的方法。该文通过提出一种结合自适应包标记和代数编码包标记两者特点的新型分布式拒绝服务攻击包标记方法来实现标记过程,并通过对攻击源发出的数据包进行分析重组和IP回溯,从而达到重构攻击树,追踪攻击源头的目的。     

DDOS防御的新方法

目前,基于包标记的IP追踪和攻击包识别技术是有效防御分布式拒绝服务攻击的主要手段之一。提出一种基于确定包标记的防御新方法通过在子网中增加跟踪服务器,改变EPS编码方式,并通过边界路由器来追踪和识别攻击数据包。实验表明,方法具有追踪攻击源数量大,没有误报率,可以实现攻击包识别、单包追踪和有效保护网络拓扑的隐秘性等优点。     

DDOS攻击主动防御机制的设计

随着信息技术的发展,DDOS(分布式拒绝服务)攻击对整个互联网带来越大越大的危害,本论文分析了DDOS攻击原理和常见攻击形式,并提出一种新的防御机制,对网络中每个节点进行侦测,将整个网络分成信任、不信任、攻击等三个区域,再利用防御包携带防御代码并修补安全漏洞。     

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

一种基于源的DDoS攻击防御系统的设计

当前拒绝服务攻击工具随处可得,且易操作,使得分布式拒绝服务攻击发生的频率越来越高,此类攻击已被公认为互联网上最难解决的问题之一.本文主要基于R.Mahajan等提出的防范模型,将随机边标记和过滤机制相结合,设计了基于随机边标记的DDoS攻击防范系统.此系统可以充分利用IP回溯和过滤机制的优点,并相互弥补其不足.相对R.Mahajan等的方法来说,能更好地保护合法用户的请求及攻击源与受害者之间的网络带宽资源.     

基于源目的IP地址对数据库的防范DDos攻击策略

提出了一种基于源目的IP地址对数据库的防范分布式拒绝服务攻击(distributed denial of service attacks,简称DDos)攻击策略.该策略建立正常流量的源目的IP地址对数据库(source and destination IP address database,简称SDIAD),使用扩展的三维Bloom Filter表存储SDIAD,并采用改进的滑动窗口无参数CUSUM(cumulative sum)算法对新的源目的IP地址对进行累积分析,以快速准确地检测出DDos攻击.对于SDIAD的更新,采用延迟更新策略,以确保SDIAD的及时性、准确性和鲁棒性.实验表明,该防范DDos攻击策略主要应用于边缘路由器,无论是靠近攻击源端还是靠近受害者端,都能够有效地检测出DDos攻击,并且有很好的检测准确率.     

一种改进的路由包标记追踪方案

提出了一种基于中国余数定理的包标记方案,对分布式拒绝服务攻击的来源进行追踪。该方案使用中国余数的唯一性来标记IP分块的特征,相对其他包标记算法运算简单,并且有效避免了Hash碰撞的发生,可以在不用假设受害者拥有网络拓扑信息的基础上,只需要较少的标记数据包在较短的时间内重构出攻击路径。该包标记方案在相对量较大的攻击中,能够有效减少重构路径的误报,且计算速度也较其他的包标记方案更快。仿真结果验证了该方案在路由追踪中的正确性和有效性。     

攻击源定位问题的研究

绝大多数网络攻击都使用伪造的IP地址，使被攻击者很难确定攻击源的位置，从而不能有针对性的实施保护策略．能否找到一种类似于traceroute方法的逆过程，能追踪报文的传输路径，是网络安全领域的一大难点．对攻击源定位问题进行了深入的研究、分析，对每一种方法进行了算法抽象，并用流程图描述，其中重点阐述了针对拒绝服务攻击的定位方法——采样标记法．最后对当前定位方法进行了比较和归纳，指出了各种方法的优缺点．     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

基于改进模糊C-均值聚类的DDoS攻击安全态势评估模型

新型网络环境下,传统的网络态势评估方法已经不能有效地评估分布式拒绝服务攻击DDoS的安全态势。提出了基于改进模糊C 均值FCM聚类的DDoS攻击的安全态势评估模型。该模型根据新老用户网络流IP地址状态变化和单双向网络流的融合特征,计算出网络系统各节点的风险指标,通过汇聚网络中各个节点的风险指标生成整个网络的安全态势信息,再用改进的模糊C-均值聚类算法将融合的安全态势信息分为五个安全等级,最后采用风险等级识别模型对整个网络的DDoS攻击安全态势进行定量评估。实验结果表明,该模型能够合理有效地评估DDoS攻击的安全态势,比现有的评估方法更准确灵活。     

基于流连接信息熵的DDoS攻击检测算法

分析了分布式拒绝服务(DDoS)攻击的特点，提出了流连接信息熵的定义，并通过对流连接信息熵时间序列的分析，采用非参数CUSUM算法进行DDoS攻击检测。该检测方法对固定IP、端口号随机变化的DDOS攻击有比较好的检测效果。实验结果证明，该方法能够以较高的精确度及时地检测出DDoS 攻击行为。