基于速率限制的源端网络DDoS防御

分布式拒绝服务攻击(DDoS)给Internet网络造成了巨大的威胁。目前已提出的各种防御机制都无法有效解决DDoS攻击报文特征随机变化的问题。文章提出一个从源端网络检测和防御DDoS的机制。该机制结合网路流的对称性和Patricia树的汇聚方法检测DDoS攻击,并利用速率限制方法阻止DDoS攻击。仿真测试表明,该方法的防御效果显著优于被攻击端防御方法,减少DDoS攻击对正常网络流的影响。     

基于SD-IoT的DDoS攻击防御方法

为解决软件定义物联网中防御DDoS攻击的问题,提出一种攻击溯源与防御方法.该方法部署在软件定义物联网控制器中,当检测到网络中有DDoS攻击发生时,进行节点流量特征提取,利用提出的基于信任模型-自组织映射(trust model-self organizing map,T-SOM)算法的DDoS攻击溯源方法,根据提取到的节点流量特征对网络内节点进行聚类,通过控制器中的网络拓扑找出攻击节点的M ac地址.由防御模块进行端口封禁和packet_in报文过滤实现DDoS攻击防御.实验结果表明,该方法能够对DDoS攻击节点进行有效溯源,快速下发流表隔离攻击节点并过滤packet_in报文.     

网络设备参与的DDoS防御系统的构建与仿真

分布式拒绝服务(DDoS)攻击严重威胁网络安全,现有DDoS防御方法存在被攻击时防御能力不足,无攻击时能力浪费问题。通过在发生DDoS攻击时,通知互联网服务提供商(ISP)将已发现的攻击元组流量在网络中短暂丢弃的方式,可以在保证DDoS防御的前提下,显著减少防御能力部署。仿真实验表明,对已知的攻击元组流量丢弃合理的时长,即可在仅检测0. 55%攻击流量的前提下,阻止99. 9%的攻击流量。同时,合法流量只有2%因误判被阻塞,防护对象的负载相对正常情况下仅上升1. 77%。     

分布式拒绝服务攻击及对策

本文对分布式拒绝服务攻击(DDoS)的攻击方式进行了详细的讨论.并针对该攻击所实施的不同阶段设计了相应的防御措施,提出了网络的综合防御措施以及更加有效的防御网络中恶意的DDoS攻击.     

DDoS攻击下高带宽聚类的控制

DDoS攻击下,网络拥塞既不是因为一个单一的数据流,也不是因为网络流量的突然增大造成的,而是由于一个精心设计的数据流的子集--聚类.基于这一特点,从拥塞控制的角度来研究CIDoS攻击目标端的防御机制.将DDoS攻击流量和正常流量在聚类过程中分开,有效控制引起拥塞的高带宽的聚类,使攻击流量无法占用正常流量的资源,从而保护受害者的网络带宽资源.在仿真环境中验证了算法的有效性,对进一步认识DDoS攻击及其防御有很大的参考价值.     

分布式拒绝服务防御技术研究

分布式拒绝服务（Distributed Denial of service,DDoS）攻击是网络安全的主要威胁之一。由于攻击源多采用虚假源IP地址,对攻击行为的溯源和应急处置工作面临很大困难。文章基于路由器的DDoS防御技术进行了分析,重点研究了边采样算法。通过ISP在传输网络路由器上设置DDoS防御系统是可行和有效的。     

MANET中基于邻居联盟的DDoS攻击检测和过滤

随着移动自组织网络在各个领域里得到广泛的使用,其安全性显得越来越重要.DDoS攻击在有线网络中产生了极大的破坏,同样,它已经威胁到移动自组织网络的安全.提出一种新的防御体系来抵御移动自组织网络中DDoS攻击.该防御模式基于邻居联盟,并在此基础上对攻击数据包进行检测与过滤.通过实验证明该检测与过滤策略能够有效地防御DDoS攻击.此外,该策略耗费较小的存储空间以及具有较高的时间效率.     

基于Mobile-Agent的DDoS攻击防御模型

分布式拒绝服务（DDoS）攻击已经成为网络最大的安全威胁之一。如何防御DDoS攻击是人们研究的一个热点问题。文中使用报文标记和移动代理技术，构建基于移动代理的DDoS攻击防御模型，在很大程度上降低了来自ISP域外的分布式拒绝服务攻击对域内主机的影响。并利用移动代理的容错性，使模型中重要元件具有很好的抵抗分布式拒绝服务攻击的性能，提高了防御模型自身的抗攻击性。最后讨论了模型的具体实现。     

基于速率限制的源端网络DDoS防御

分布式拒绝服务攻击(DDoS)给Internet网络带来了巨大的威胁,目前已提出的各种防御机制都无法有效解决DDoS攻击报文特征随机变化的问题,本文提出一个从源端网络检测和防御制方法阻止DDoS攻击。仿真测试表明,该方法的防御效果显著优于被攻击端防御方法,减少DDoS攻击对于正常网络流的影响。     

基于蜜罐技术的DDoS攻击防御研究

网络信息技术的高速发展,给我们带来很大便利的同时也伴随了各种信息安全问题,其中DDoS就是一种常见的危害严重且难于预防的网络攻击模式,能够短时间内产生洪峰攻击导致服务器因资源耗尽而终止服务。因此已经成为信息安全研究中亟待解决的难题。基于蜜罐技术的DDoS攻击的防御机制,该机制既不需要动员普通电脑用户参与,也不需要ISP服务商支持与配合,只需添加一个蜜罐服务器即可达到比较理想的防御效果。基于蜜罐技术的DDoS攻击的防御技术的原理是通过重定向器重定向黑客对真实服务器的攻击到蜜罐系统中并由蜜罐记录攻击行为数据,为后续制定防御措施提供重要资料。实验中,通过Honeyd开源软件包搭建了虚拟蜜罐系统用于Web服务器DDoS攻击的防御,并对该模型的工作原理做了详细的介绍。     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

DDoS下的TCP洪流攻击及对策

分布式拒绝服务攻击(DDoS)是近年来出现的一种极具攻击力的Internet攻击手段,而TCP洪流攻击是其最主要的攻击方式之一。本文提出了一种针对TCP洪流攻击的本地攻击检测-过滤LADF机制,其部署于受害者及其上游ISP网络。该机制综合使用了一种基于信息熵的异常检测技术、SYN-cookie技术和“红名单”技术来检测攻击报文,最终结合新型防火墙技术,构建起一个完善的本地DDoS防御系统。     

基于攻击集的移动自组网MAC层DDoS攻击*

针对移动自组网IEEE802.11 MAC协议存在的安全问题,提出一种基于攻击集的DDoS攻击方法,该方法可以准确地攻击目标节点,与传统攻击方式相比不表现出冗余的攻击行为,同时降低攻击行为的检测率。利用NS2仿真平台搭建具有动态拓扑的移动自组织网络仿真场景,在此环境下进行DDoS攻击仿真;模拟结果表明,新的DDoS攻击方法可以有效降低移动自组网的通信能力,且攻击节点分布密度加大将增强攻击效果。     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

Collaborative Detection of DDoS Attacks over Multiple Network Domains

This paper presents a new distributed approach to detecting DDoS (distributed denial of services) flooding attacks at the traffic-flow level The new defense system is suitable for efficient implementation over the core networks operated by Internet service providers (ISPs). At the early stage of a DDoS attack, some traffic fluctuations are detectable at Internet routers or at the gateways of edge networks. We develop a distributed change-point detection (DCD) architecture using change aggregation trees (CAT). The idea is to detect abrupt traffic changes across multiple network domains at the earliest time. Early detection of DDoS attacks minimizes the floe cling damages to the victim systems serviced by the provider. The system is built over attack-transit routers, which work together cooperatively. Each ISP domain has a CAT server to aggregate the flooding alerts reported by the routers. CAT domain servers collaborate among themselves to make the final decision. To resolve policy conflicts at different ISP domains, a new secure infrastructure protocol (SIP) is developed to establish mutual trust or consensus. We simulated the DCD system up to 16 network domains on the Cyber Defense Technology Experimental Research (DETER) testbed, a 220-node PC cluster for Internet emulation experiments at the University of Southern California (USC) Information Science Institute. Experimental results show that four network domains are sufficient to yield a 98 percent detection accuracy with only 1 percent false-positive alarms. Based on a 2006 Internet report on autonomous system (AS) domain distribution, we prove that this DDoS defense system can scale well to cover 84 AS domains. This security coverage is wide enough to safeguard most ISP core networks from real-life DDoS flooding attacks.     

基于特征参数相关性的DDoS攻击检测算法

针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性.     

一种部署于源-目的端供应商的包标记方案研究

提出了一个新的包标记方案,分别部署于源端和目的端供应商,主要用来描绘DDoS攻击流特征。这些特征对于受害者过滤攻击非常有效。在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者。在经济方面,提供更好的安全措施可以作为ISP对客户的增值服务,因此也就更有积极性来部署。