基于全局网络PCA的DDoS攻击检测方法

随着网络规模的不断扩充,对于DDoS攻击的集中式检测方法已经无法满足实时性和准确性等要求。针对大规模网络中的DDoS攻击行为,提出了一种基于全局PCA的分布式拒绝服务攻击检测方法(WPCAD)。该方法由传统的OD矩阵得出各节点的ODin矩阵,各分布式处理单元通过PCA分析到达该节点的多路OD流之间的相关性,利用DDoS攻击流引起流量之间相关性突变的特性来完成检测。该方法采用分布式处理的方式,降低了检测数据所消耗的带宽,并满足了检测的实时性。实验结果表明该方法具有更好的检测效果。     

移动自组网中基于路由信息的攻击对网络性能的影响分析

综述了移动自组网中针对路由信息的主要攻击方法和防御体系，并将基于路由信息的攻击方法分为主动性攻击和自私性攻击两大类．论文针对这两大类攻击的特点，建立仿真实验环境，并在DSR路由协议的基础上加入了自私性和主动性的路由信息攻击模式，分析和比较了这两类攻击模式对移动自组网络性能的影响．模拟结果表明在网络中不存在不良节点的情况下，随着网络稳定性不断增加，网络性能不断提高；若存在不良节点，网络的包传输率、吞吐量有明显下降．当不良节点达到10％时，网络包传输率、吞吐量急剧下降，严重时下降为正常情况的50％左右．     

以网络性能为核心的移动自组网Flooding攻击防御技术

移动自组网(Mobile Ad Hoc Networks,MANETs)所面临的Flooding攻击是一种严重DOS攻击行为。然而,现有的针对Flooding攻击的防范技术因不能较好地适应MANETs特性(如有限资源、动态拓扑等)而难以在MANETs网络性能和网络安全之间保持平衡。通过分析移动自组网的时空动态性、网络性能评估与Flooding安全威胁之间的内在关系,提出了一种基于性能评估的Flooding攻击防御技术。通过构建可量化的MANETs安全威胁、防御收益与代价的评估指标体系,实现了基于网络安全和性能平衡的防御及其性能优化方法。仿真实验结果表明,所提出的防御技术可有效地弥补现有移动自组网安全技术存在的一些缺陷,因而能够 满足移动自组网特性且适合于实际应用。     

基于移动agent的DDoS攻击协同防范技术研究

分布式拒绝服务攻击(distributed denial-of-service,DDoS)已经对Internet的稳定运行造成了很大的威胁。近两年来,DDoS的攻击方法和工具变得越来越复杂,越来越有效,追踪真正的攻击者也越来越困难。从攻击防范的角度来说现有的技术仍然不足以抵御大规模的攻击。文中通过分析DDoS攻击原理以及DDoS攻击行为,提出了一个基于移动agent的分布式协同入侵检测模型。该模型通过构建本地入侵检测模块和反DDoS实体模块来协同对分布式拒绝访问攻击形成大面积网络预警机制,以达到在陷于大规模分布式拒绝访问攻击时,能够最小化检测和反应时间,并进行自动响应。     

战场自组织网络中MAC层的注入攻击

基于对战场自组织网络中IEEE 802.11 MAC协议的安全性分析,提出一种新的注入攻击方法,与传统注入攻击相比不表现出任何自私攻击行为,可以有效地躲避检测。利用NS2仿真平台搭建了具有分簇结构的战场自组织网络场景,在此环境下进行注入攻击仿真;模拟结果表明,新的注入攻击方法可以降低战场自组织网络数据安全传输的可靠性,攻击节点增多将加大攻击效果。     

基于SVM的VANET黑洞攻击检测方法

车载自组网（ VANET）在遭受黑洞攻击时会丢失数据分组,影响网络正常通信。提出了针对黑洞攻击的特征向量选择方法,建立了正常情况和黑洞攻击情况下的车队仿真模型,并采用支持向量机（ SVM）的方法对VANET进行黑洞入侵检测。仿真结果表明：对于非源、目的节点以及攻击节点,采用该检测方法时都能够保持较高的检测率和较低的误检率,达到了基于单个节点通信数据判断当前 VANET是否遭受黑洞攻击的较好效果。     

一种新颖的移动自组网灰洞攻击检测方案

移动自组网(mobile ad hoc networks,MANETs)是典型的分布式网络,没有集中式的管理节点,网络拓扑动态变化,而且网络带宽有限.移动自组网无网络基础设施的特点,使其易于受到各种拒绝服务攻击(denial of service,DoS).灰洞攻击是一种类型的拒绝服务攻击,攻击者在网络状态良好的情况下,首先以诚实的方式参与路由发现过程,然后以不被察觉的方式丢弃部分或全部转发数据包.首先介绍了相关工作、DSR算法、聚合签名算法和网络模型.然后基于聚合签名算法,给出了用于检测丢包节点的3个相关算法:证据产生算法、审查算法和诊断算法.证据产生算法用于节点产生转发证据;审查算法用于审查源路由节点;诊断算法用于确定丢包节点.最后分析了算法的效率.ns-2仿真结果表明,在移动速度中等的网络中,提出的算法可以检测出多数丢包节点,且路由包开销较低.舍弃含丢包节点的路由后,数据发送率有相应的改善.     

基于SD-IoT的DDoS攻击防御方法

为解决软件定义物联网中防御DDoS攻击的问题,提出一种攻击溯源与防御方法.该方法部署在软件定义物联网控制器中,当检测到网络中有DDoS攻击发生时,进行节点流量特征提取,利用提出的基于信任模型-自组织映射(trust model-self organizing map,T-SOM)算法的DDoS攻击溯源方法,根据提取到的节点流量特征对网络内节点进行聚类,通过控制器中的网络拓扑找出攻击节点的M ac地址.由防御模块进行端口封禁和packet_in报文过滤实现DDoS攻击防御.实验结果表明,该方法能够对DDoS攻击节点进行有效溯源,快速下发流表隔离攻击节点并过滤packet_in报文.     

减弱DDoS攻击的策略研究

DDoS攻击是目前威胁网络安全的主要因素之一.除非修改TCP/IP的内核,否则,从理论上没有办法彻底解决,但通过一些技术手段,可以有效地阻止一些DDoS攻击,降低攻击的危害.基于这一观点,总结并分析了现有的减弱DDoS攻击危害的防御机制,并在仿真环境中验证了算法的有效性,对进一步认识DDoS攻击及其防御具有参考价值.     

基于P2P平台的DDoS攻击防御方法

P2P系统的分散性、匿名性和随机性等特点容易被利用发起大规模的分布式拒绝服务(DDoS)攻击。为此,提出一种分布式的防御方法。通过在应用层构建一套数据发送授权机制,使P2P平台中的节点在未得到目标节点授权之前不能向其发送大量数据,从而阻止攻击数据到达被攻击者。仿真实验结果证明,该模型可以抵御利用P2P软件发起的DDoS攻击。     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

基于ISP网络的DDoS攻击防御方法研究

针对DDoS攻击在ISP网络中的行为特点,提出了一种基于ISP网络的DDoS攻击协作防御方法.该方法从流量信息中构造出攻击会聚树,并根据攻击会聚树找出攻击数据流在ISP网络中的源,在源头对攻击数据流进行控制,从而达到在ISP网络内防御DDoS攻击的目的.该方法克服了在整个网络中防御DDoS攻击耗资巨大的缺点.实验结果表明,该方法能够快速有效了实现对DDoS攻击的防御.     

基于速率限制的源端网络DDoS防御

分布式拒绝服务攻击(DDoS)给Internet网络造成了巨大的威胁。目前已提出的各种防御机制都无法有效解决DDoS攻击报文特征随机变化的问题。文章提出一个从源端网络检测和防御DDoS的机制。该机制结合网路流的对称性和Patricia树的汇聚方法检测DDoS攻击,并利用速率限制方法阻止DDoS攻击。仿真测试表明,该方法的防御效果显著优于被攻击端防御方法,减少DDoS攻击对正常网络流的影响。     

基于软件定义物联网的分布式拒绝服务攻击检测方法

由于物联网（IoT）设备众多、分布广泛且所处环境复杂,相较于传统网络更容易遭受分布式拒绝服务（DDoS）攻击,针对这一问题提出了一种在软件定义物联网（SD-IoT）架构下基于均分取值区间长度-K均值（ELVR-Kmeans）算法的DDoS攻击检测方法。首先,利用SD-IoT控制器的集中控制特性通过获取OpenFlow交换机的流表,分析SD-IoT环境下DDoS攻击流量的特性,提取出与DDoS攻击相关的七元组特征;然后,使用ELVR-Kmeans算法对所获取的流表进行分类,以检测是否有DDoS攻击发生;最后,搭建仿真实验环境,对该方法的检测率、准确率和错误率进行测试。实验结果表明,该方法能够较好地检测SD-IoT环境中的DDoS攻击,检测率和准确率分别达到96.43%和98.71%,错误率为1.29%。     

基于速率限制的源端网络DDoS防御

分布式拒绝服务攻击(DDoS)给Internet网络带来了巨大的威胁,目前已提出的各种防御机制都无法有效解决DDoS攻击报文特征随机变化的问题,本文提出一个从源端网络检测和防御制方法阻止DDoS攻击。仿真测试表明,该方法的防御效果显著优于被攻击端防御方法,减少DDoS攻击对于正常网络流的影响。     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

一种IPv6环境下实时DDoS防御方法

现有的DDoS防御方法大多是针对传统IPv4网络提出的,而且它们的防御实时性还有待进一步提高。针对这种情况,提出了一种IPv6环境下实时防御DDoS的新方法,其核心思想是首先在受害者自治系统内建立决策判据树,然后依据决策判据1和2对该树进行实时监控,如果发现攻击,就发送过滤消息通知有关实体在受害端和源端一起对攻击包进行过滤,从而保护受害者。实验证明,该方法能够在秒钟数量级检测到攻击并且对攻击包进行过滤,能有效地防范多个DDoS攻击源。另外,该方法还能准确地区分攻击流和高业务流,可以在不恢复攻击路径的情况下直接追踪到攻击源所在的自治系统（甚至是子网）。     

一种IPv6环境下DDoS实时检测方法

DDoS攻击是当今网络包括下一代网络IPv6中最严重的威胁之一,提出一种基于流量自相似的IPv6的实时检测方法。分别采用改进的WinPcap实现流数据的实时捕获和监测,和将Whittle ML方法首次应用于DDoS攻击检测。针对Hurst估值方法的选择和引入DDoS攻击流的网络进行对比仿真实验,结果表明:Hurst估值相对误差,Whittle ML方法比小波变换减少0.07%;检测到攻击的误差只有0.042%,准确性达99.6%;增强了DDoS攻击检测的成功率和敏感度。     

Monitoring the macroscopic effect of DDoS flooding attacks

Creating defenses against flooding-based, distributed denial-of-service (DDoS) attacks requires real-time monitoring of network-wide traffic to obtain timely and significant information. Unfortunately, continuously monitoring network-wide traffic for suspicious activities presents difficult challenges because attacks may arise anywhere at any time and because attackers constantly modify attack dynamics to evade detection. In this paper, we propose a method for early attack detection. Using only a few observation points, our proposed method can monitor the macroscopic effect of DDoS flooding attacks. We show that such macroscopic-level monitoring might be used to capture shifts in spatial-temporal traffic patterns caused by various DDoS attacks and then to inform more detailed detection systems about where and when a DDoS attack possibly arises in transit or source networks. We also show that such monitoring enables DDoS attack detection without any traffic observation in the victim network.