基于IXP1200平台的DDoS防御系统实现

分布式拒绝服务攻击对Internet服务存在巨大威胁。当前的防御手段受成本和技术的限制，在此类攻击面前显得非常软弱。本文在基于网络处理器IXP1200平台上实现了DDoS防御系统，该系统使用了非参数CUSUM算法来检测DDoS攻击并且可以在检测到攻击时过滤掉非法报文。该模型对效率给予更多关注。     

基于Linux Netfilter的DDoS防火墙设计

分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重。文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙。验证结果表明,该防火墙能够较好的防御DDoS攻击。     

用活动IP表和ICMP报文防御IP欺骗DDoS攻击

介绍了分布式拒绝服务攻击的原理;分析了四种具有代表性的防御方法;提出一种针对IP欺骗DDoS攻击的防御方法,在自治系统边界,利用活动IP记录表对进入自治系统的数据包进行处理,来自活动IP的网络流直接通过;没有活动记录的IP数据包被自治系统边界路由器或邻近边界的路由器丢弃,并发送网间控制报文协议(ICMP)超时差错报文通报源节点,IP不活动的IP欺骗DDoS攻击数据包不能到达受害节点;被丢弃的合法数据包由其源节点上层协议或应用进行重传。     

基于非参数CUSUM算法的DDoS攻击防御策略

分布式拒绝服务攻击(DDoS)具有突发性、攻击主机分布广等特点,对其防御尤显困难.从分析DDoS攻击原理及常见的防御策略入手,根据非参数CUSUM算法,给出了基于流连接密度时间序列分析的DDoS攻击防御策略及其模型,并进行了与理论值比较的实验取证.结果表明:该防御模型能够在很大程度上有效防御DDoS攻击.     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

DDoS攻击原理及防御

分布式拒绝服务攻击（Distributed Denial of Service，DDOS）是近年来对Internet具有巨大影响的恶意攻击方式，给互联网业务带来了不可估量的损失。互联网的攻击手段层出不穷，而分布式拒绝服务攻击是其中的佼佼者，由于其简单、破坏性很大，而被攻击者广泛使用。DDoS攻击分析和防御方法是当前网络安全领域的重要前沿。本文阐述了DoS攻击的原理和DDoS攻击的原理，提出了DDoS的防御措施。     

采用数据挖掘的拒绝服务攻击防御模型

针对拒绝服务攻击的特点,提出了一种采用数据挖掘技术的防御模型。该模型以实时抽样流量作为数据来源,采用关联分析法提取可信IP列表用于数据包的过滤,并利用贝叶斯分类算法对数据包的危险等级进行评估。该模型弥补了传统的基于可信IP列表过滤的不足,并在防御攻击时能有效区分正常流量与异常流量。实验证明该模型能够对拒绝服务攻击进行有效、实时的防御。     

一种状态检测防火墙的攻击防御机制

讨论了一种在Linux操作系统内核防火墙的攻击防御机制,提出了检测网络攻击的机制和总体架构。在Linux操作系统防火墙的基础上构建了攻击防御框架,针对不同的攻击模式,该框架提供相应的状态检测方法判定攻击的发生并使攻击不能成功。提出的攻击防御体系具有通用、可扩展的特点,可以有效克服传统包过滤防火墙在抗攻击和入侵检测方面的局限性。结果表明:该攻击防御机制可以显著改善防火墙系统的IP安全性。     

基于移动Ad Hoc网络的分布式拒绝服务攻击检测算法

提出了一种适用于移动Ad Hoc网络的分布式拒绝服务攻击(DDoS)检测算法,对基于序列分析的Kolmogorov复杂度估值算法做了改进.新算法对网络中的流进行相关分析,并计算序列特征集的复杂度,通过对复杂度分析来检测分布式拒绝服务攻击.仿真实验结果表明,本算法的误检率、检测时间等性能要好于传统的复杂度估计算法.     

无缓冲服务的DoS攻击

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)是目前严重影响网络安全和戚胁网站服务质量的一种攻击手段．本文通过对无缓冲服务的DoS攻击进行讨论，并从攻击者的角度研究了如何到达最好的攻击效果，最后对DoS／DDoS攻击的防范提出了一些建议。     

基于PCC时间序列的DDoS检测算法

现有的DDoS检测方法大多局限于数据包检测这一层面,不能完整描述DDoS攻击过程,从而影响检测效果。针对这一问题,本文提出一种基于PCC(Packet and Conversation considering with Context)时间序列检测算法,从数据包级和会话流级进行分析,能更加全面地描述DDoS攻击过程;同时考虑前后数据的关联性,融合上下文信息,采用支持向量机（SVM）分类器建立DDoS攻击检测模型;最后提出一种可信报警策略进一步消除噪声和误分类带来的影响。实验结果显示,该方法能够有效检测DDoS攻击,减小网络流量噪声对检测结果的影响。     

利用分治策略实现DDoS攻击路径标识题

针对分布式拒绝服务(DDo S)攻击防御中的数据包标记溯源技术,基于分治策略提出用简单的递归关系分别表示攻击树构、攻击路径频率检测、数据包和路径关联这3个基本防御实现,使用单数据包带内路径标识符用于唯一的数据包和路径关联,而把攻击树构建及攻击路径频率作为独立的带外操作来处理.通过在真实网络拓扑环境下对网络流量和存储开销的测试,证明本方法可以高流量负荷下以很小的开销同时对大量受害主机的提供单一数据包回溯保证.     

网络流单边连接密度的时间序列分析

检测分布式拒绝服务（DDoS）攻击的困难性在于攻击数据包与正常数据包并无本质上的区别,为了正确识别DDoS,需要找到它与正常流的根本区别。使用虚假源IP地址的攻击包能够耗尽目标主机的网络带宽和系统资源,却无法与目标机建立完整的双向通信。因此,用于直观反映网络流异常的单边连接密度(OWCD)概念被提出并用于识别DDoS攻击,同时对OWCD的时间序列的进行了分析,揭示了OWCD序列的性质,为利用这个指标来进行DDoS检测提供依据。实验表明,OWCD能直观地区分正常流和攻击流,其序列为白噪声序列,能够作为DDoS检测的独立指标。OWCD序列不仅能够检测DDoS攻击,还能反映攻击强度。     

利用入侵检测技术防范DDoS

分布式拒绝服务攻击(DDoS)由多宿主机发动,是目前常见的网络攻击中比较严重的一种,难于检测和跟踪。为此,阐述了DDoS的攻击方式的体系结构,并较为详细地分析了DDoS的机理并给出了攻击实例,概述了入侵检测技术的概念,提出了利用入侵检测技术防范DDoS攻击的一种尝试。设计一个针对DDoS的入侵检测方案,该方案检测通过路由器的数据包的流量判断是否异常。如果发现数据包的异常发送,则发出受攻击信号。本方案由3部分组成:包分类,获取原始的网络流量统计;流量离散函数,计算网络数据包的发送特性;基于变异的检测,在当前流量远远偏离历史上的正常变化范围时做出反应。     

多类支持向量机的DDoS攻击检测的方法

为了利用SVM准确的检测DDoS,需要找到区分正常流和攻击流的特征向量,根据DDoS攻击的特点,提出了独立于流量的相对值特征向量。为了在指示攻击存在的同时,也指示攻击强度,多类支持向量机(MCSVM)被引入到DDoS检测中。实验表明,RLT特征与MCSVM相结合,可以有效检测到不同类型的DDoS攻击,并且能准确地指示攻击强度,优于目前已有的检测方法。使用RLT特征进行DDoS检测,比使用单一攻击特征进行识别的方法,包含更多的攻击信息,可以得到较高的检测精度。     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.