抵御DDoS攻击的联动系统

介绍了DDoS攻击的方法和攻击环境，提出了抵御DDoS攻击的联动系统模型（路由器、防火墙、入侵监测系统组成），并采用了petri网工具将防御策略模型化。设置了具体的环境参量，并通过Matlab对联动系统的效果进行了简单的模拟。     

分布式拒绝服务防御技术研究

分布式拒绝服务（Distributed Denial of service,DDoS）攻击是网络安全的主要威胁之一。由于攻击源多采用虚假源IP地址,对攻击行为的溯源和应急处置工作面临很大困难。文章基于路由器的DDoS防御技术进行了分析,重点研究了边采样算法。通过ISP在传输网络路由器上设置DDoS防御系统是可行和有效的。     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

基于随机包标记的不重复标记追踪模型*

DDoS攻击传统的防御措施包括如防火墙、入侵检测系统等采取的是被动防御的策略,防御效果不够理想。采用主动防御策略的攻击源追踪技术,提出一种新的攻击源追踪模型,不需要AMS算法所要求的受害者预先具备上游拓扑数据的强假设前提。新的标记算法对标记过边信息的包不再重复标记,通过上游路由器的配合确认就能定位攻击源,与AMS算法和改进后的AEMS算法相比收敛速度更快,受标记概率和路径长度的影响更小、更稳定。     

DDoS下的TCP洪流攻击及对策

分布式拒绝服务攻击(DDoS)是近年来出现的一种极具攻击力的Internet攻击手段,而TCP洪流攻击是其最主要的攻击方式之一。本文提出了一种针对TCP洪流攻击的本地攻击检测-过滤LADF机制,其部署于受害者及其上游ISP网络。该机制综合使用了一种基于信息熵的异常检测技术、SYN-cookie技术和“红名单”技术来检测攻击报文,最终结合新型防火墙技术,构建起一个完善的本地DDoS防御系统。     

基于NetFlow的网络测量

本文提出了基于NetFlow的网络流量采集,检测整个网络DoS／DDoS攻击的方法,特别是流量变化比较大的大型网站的DoS／DDoS攻击的异常检测和防御。设计的入侵检测系统利用Cisco路由器的NetFlow技术,采集单位时间每个路由器端口的流量大小作为观测序列,采用HSMM（隐半马尔可夫模型）,检测可能存在的攻击,能达到较好的检测效果。     

DDoS攻击肆虐,你挺得住吗?

尽管越来越多的企业已经意识到,在进行网络安全规划的时候,针对DDoS攻击威胁的防范措施应该优先考虑,但是依然有很多人错误地认为防火墙和入侵防御系统(IPS)等传统安全工具可以完全应对DDoS攻击。安全专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。在过去的2012年,发生了很多起DoS和DDoS攻击事件,Radware紧急响应团队(ERT)于2013年年初发布的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的DoS和DDoS攻击事件中:防火墙和IPS设备变成了主要的瓶颈设备。     

一种全面主动的防御DDoS攻击方案

DDoS攻击的防御是当前网络安全研究领域中的难点。文章提出的方案能够全面、主动预防DDoS攻击。使用蜜罐技术能够预防已知类型的DDoS攻击;使用基于RBF-NN能够实时检测DDoS攻击,检测率可以达到97.9%;使用分块包标记算法进行追踪能够保持较低的重构误报率和较低的计算复杂度;使用分组漏斗的负载均衡技术能够有效的缓解攻击效果,保证了服务质量。该方案所采用的技术,实现简单,代价小,具有很好的实际应用前景。     

SIP DDoS分布式入侵防御系统及其负载均衡策略

对SIP DDoS攻击的原理和检测算法进行研究,结合SIP协议本身的特点和一般网络中的分布式入侵防御系统,提出一种在高效防御SIP DDoS攻击的同时使用检测算法检测攻击的分布式防御系统,并为该系统设计了负载交互流程和防火墙模块.根据SIP负载均衡算法和检测算法的要求,为分布式防御系统设计了两级负载均衡策略并给出了实现方法,其中一级负载均衡模块根据SIP消息的头域进行转发,保证对话的完整性和检测算法的要求;二级负载均衡模块根据防御检测节点负载进行转发,保证防御检测节点的负载均衡特性.仿真实验结果表明系统的两级负载均衡算法能够在保证检测算法要求的前提下表现出良好的负载均衡特性.     

BGP协议实现DDoS防御的新思路

近年来,互联网技术的迅速发展带动了边界网关协议(BGP协议)的发展与应用,但是,在其使用过程中,网络攻击问题频发,其中以分布式拒绝服务攻击(DDoS)较为常见,严重影响了BGP协议的稳定性及安全性使用,对此,就需要采取科学策略防范DDoS攻击.本文先简要介绍BGP协议,对其脆弱性进行分析,并指出当前针对BGP协议路由器的DDoS攻击手段,深入探讨了DDoS防御新思路,提出可以通过拓展型访问列表、连接模式匹配和默认路由方式来控制 TCP 连接方向,分别适用于不同的场景,这对提高BGP协议运行安全性具有重要意义.     

基于攻防博弈和随机Petri网的DDoS攻防对抗评估

为了对DDoS攻防行为进行有效评估以防御DDoS攻击,本文首先对DDoS攻防评估研究现状进行了分析,然后基于随机Petri网建立了DDoS攻防行为对抗网,提出了以攻防稳态概率作为攻防行为评估的依据,紧接着基于攻防博弈提出了攻防博弈策略求解方法,最后对本文所建立的DDoS攻防行为对抗网进行稳态分析并综合考虑攻防行为收益和攻防行为强度两方面因素进行了仿真评估,评估结果表明本文方法更具合理性和针对性.     

Web服务中基于流量监控的DDoS攻击防范机制

提出一种基于流量监控的针对Web服务的DDoS攻击防范机制。使用Linux内核的安全选项、Linux虚拟服务器、iptables防火墙以及基于类的排队等技术搭建防范DDoS攻击的Web服务器系统环境,设计、实现了流量监控器和分析工具来检测可能发生的DDoS攻击,并降低其危害。实际测试表明,该机制能有效检测和防范常见的针对Web服务的DDoS攻击。     

一种基于网络对称性的DDOS主动防御算法DSDA

在分析典型的基于流量控制的DDOS防御机制Pushback的基础上,提出了一个源端基于网络流量对称性检测DDOS攻击,结合目标端基于拥塞控制机制的DDOS防御算法DSDA。仿真实验的结果表明,DSDA算法是一种在网络范围较大时具有明显优势的DDOS动态防御算法。     

Defending against Distributed Denial of Service Attacks: Issues and Challenges

ABSTRACT

Distributed Denial of Service (DDoS) attacks on user machines, organizations, and infrastructures of the Internet have become highly publicized incidents and call for immediate solution. It is a complex and difficult problem characterized by an explicit attempt of the attackers to prevent access to resources by legitimate users for which they have authorization. Several schemes have been proposed on how to defend against these attacks, yet the problem still lacks a complete solution. The main purpose of this paper is therefore twofold. First is to present a comprehensive study of a wide range of DDoS attacks and defense methods proposed to combat them. This provides better understanding of the problem, current solution space, and future research scope to defend against DDoS attacks. Second is to propose an integrated solution for completely defending against flooding DDoS attacks at the Internet Service Provider (ISP) level.     

三网融合下城域网DDoS攻击的监测及防范技术研究

随着三网融合的推进及光接入网的发展,用户接入带宽数量逐步增大,城域网中大流量的DDoS攻击越来越多,监测及防范DDoS攻击对于全业务承载下城域网的安全运行有着重要的意义。文章从运维的角度对运营商城域网中常见的DDoS网络攻击的监测、防范技术进行了探讨,阐述了各种DDoS监测方法及其应用场景,剖析了城域网中各网络层面的DDoS攻击防范部署策略。     

DDoS防御机制研究

介绍了DDoS的防御机制,以DDoS防御机制的行为层次将其分为两类,并对现行的一些行方法,从其基本原理、具体的使用方法、存在的优缺点等方面进行了详细的分析与研究,以便于在实际中参考借鉴,以期能综合运用,加强对DDoS的防范能力,减少损失.通过所介绍方法的综合运用可以达到有效防范DDoS攻击的目的,从而建立一个良好安全的服务环境.     

DDoS防御机制研究

介绍了DDoS的防御机制,以DDoS防御机制的行为层次将其分为两类,并对现行的一些行方法,从其基本原理、具体的使用方法、存在的优缺点等方面进行了详细的分析与研究,以便于在实际中参考借鉴,以期能综合运用,加强对DDoS的防范能力,减少损失。通过所介绍方法的综合运用可以达到有效防范DDoS攻击的目的,从而建立一个良好安全的服务环境。     

防范DDoS

DDoS攻击的防御是当前网络安全研究领域中的难点。通过对DDoS攻击原理的讨论和对现有防范技术的剖析．提出了防范DDoS攻击的一些积极的建议。     

针对BGP路由器的DDoS攻击及防范措施

利用有限状态机对BGP协议进行分析,结果表明使用BGP协议通信的路由器其路由表更新机制存在安全漏洞,在此基础上,提出一种针对BGP路由器的分布式拒绝服务(DDoS)攻击方法,并根据BGP路由器的通信数据,设计实现一款测试软件RouterTest用于模拟对路由器的DDoS攻击,实验结果证明了该攻击方法的有效性,并针对该攻击提出相应的防范措施.     

防范DDoS

DDoS攻击的防御是当前网络安全研究领域中的难点。通过对DDoS攻击原理的讨论和对现有防范技术的剖析,提出了防范DDoS攻击的一些积极的建议。