基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

一种针对DDoS攻击的非侵入性IP追踪方案

该文针对DDoS攻击提出了一种非侵入性IP追踪方案,在正常状态下对转接网络路由器中数据包进行概率采样,利用路由器的cache来保存数据包的有效源地址,受攻击时检测出未知来源地址,构造出攻击路径图。仿真证明该方案不需要改变路由器配置与协议,也不需要用各类检测技术收集大量准确的攻击信息。计算量的分布式处理使该方案有很好的可扩展性,能够对攻击源进行简单有效的快速追溯。     

基于特征映射的入侵检测预处理方法

在实际网络中,入侵数据包只占网络总流量的极少一部份.系统资源的消耗主要不是在对入侵包的检测,而是在对正常数据包的穷举匹配.针对这个问题本文提出一种基于特征映射和滑动窗口的预处理方法,通过对模式字符串集和位于数据包负载之上的滑动窗口的特征映射值进行比较,在保持低内存开销以及高匹配速度的同时,对网络数据包进行过滤.使得最后进行精确匹配的数据包集合中每个数据包负载都至少包含一个特征字符串,从而大大提高了入侵检测的效率.     

一种基于Hurst参数的SYN Flooding攻击实时检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于数据包标记的伪造IP DDoS攻击防御

提出一种基于数据包标记的伪造IP DDoS攻击防御方案,该方案在IP数据包中嵌入一个路径相关的16位标识,通过检测标识计数器临界值判断是否发生了DDoS攻击,对伪造地址的IP数据包进行过滤,达到对DDoS攻击进行有效防御的目的。仿真实验表明,该方案对于伪造的IP数据包具有较高的识别率。     

应用非迭代Apriori算法检测分布式拒绝服务攻击

提出了一种非迭代Apriori算法,无需多次扫描事务数据库,使用一步交集操作处理同一时间段的网络数据包,通过挖掘各数据包之间的强关联规则,可较快检测分布式拒绝服务（DDoS）攻击。与现有算法相比,检测DDoS攻击的时间和空间性能较优。在DARPA数据集上的实验结果表明应用该算法能有效检测DDoS攻击。     

针对WSN的DDoS攻击的改进概率包标记算法研究*

当无线传感器网络（WSN）遭受分布式拒绝服务（DDoS）攻击时,攻击者会传送大量攻击数据包到受害主机,使其迅速消耗资源而无法正常运作,最终造成网络瘫痪。为了检测针对资源有限的WSN的DDoS攻击,基于传统网络的概率包标记算法提出一个改进概率包标记算法,使其适应在WSN中检测DDoS攻击。改进的算法减少了重建攻击路径所需的攻击数据包,从而减少WSN的资源消耗,弥补了WSN资源有限的缺陷。     

一种改进的DDoS攻击综合防御系统*

为了在IPv4网络下进一步提高防御DDoS攻击的实时性,提出DDoS防御系统的构想,将客户端防御系统与自适应包标记有效地结合起来,既可以检测防御DDoS攻击,又可以进行追踪攻击源;同时提出一个新的标记方案,该方案利用了TTL域和改进的自适应包标记的方法。与其他标记方法相比,其具有灵活性好、误报率低、计算量小的优点。经验证该系统用较少的数据包即可重构攻击路径,在最大限度上降低了攻击造成的损失。     

MANET中基于邻居联盟的DDoS攻击检测和过滤

随着移动自组织网络在各个领域里得到广泛的使用,其安全性显得越来越重要.DDoS攻击在有线网络中产生了极大的破坏,同样,它已经威胁到移动自组织网络的安全.提出一种新的防御体系来抵御移动自组织网络中DDoS攻击.该防御模式基于邻居联盟,并在此基础上对攻击数据包进行检测与过滤.通过实验证明该检测与过滤策略能够有效地防御DDoS攻击.此外,该策略耗费较小的存储空间以及具有较高的时间效率.     

使用Spark Streaming的自适应实时DDoS检测和防御技术

分布式拒绝服务(distributed denial of service,DDoS)攻击是重要的安全威胁,网络速度的不断提高给传统的检测方法带来了新的挑战。以Spark等为代表的大数据处理技术,给网络安全的高速检测带来了新的契机。提出了一种基于Spark Streaming框架的自适应实时DDoS检测防御技术,通过对滑动窗口内源簇进行分组,并根据与各分组内源簇比例的偏差统计,检测出DDoS攻击流量。通过感知合法的网络流量,实现了对DDoS攻击的自适应快速检测和有效响应。实验结果表明,该技术可极大地提升检测能力,为保障网络服务性能和安全检测的可扩展性提供了一种可行的解决方案。     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

基于信息熵的多Agent DDoS攻击检测

分布式拒绝服务攻击(DDOS)在短时间内产生大量的数据包,可以迅速耗尽网络或者主机的资源,对Internet的稳定性造成了巨大威胁.文中通过分析DDoS攻击的原理及攻击者的行为方式,划分攻击阶段,提取攻击特征,据此建立多Agent DDoS检测模型并分配各Agent的任务.模型由熵检测算法捕捉网络数据包的异常,再由DDoS的Ontology推断出攻击的具体情况.根据在DARPA 2000入侵检测数据集上的实验结果,模型对DDoS攻击的准备阶段和实施阶段有较高的识别率.     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.     

应用层DDOS攻击检测技术研究

随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于可变概率包标记的对等网DDoS攻击防御

DDoS攻击是对等网络所面临的主要安全威胁,针对已有的概率包标记算法计算量繁重、无法识别虚假标记数据包欺骗等方面的缺陷,提出一种可变概率包标记算法。通过采用可变概率标记方法及在路由器中记录IP地址发送状态,使方案具有能够追踪大规模拒绝服务攻击、识别和排除攻击者虚假标记信息、大大降低受害者重构路径时需接收包数量的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。     

一种Ad Hoc网络端到端的TCP拥塞控制改进方案

传统的TCP协议是为有线网络而设计的,它假定数据包的丢失是由网络拥塞引起的,然而在Ad Hoc网络中,除拥塞丢包外,其它非拥塞因素也会引起数据包的丢失。分析Ad Hoc网络影响TCP性能的主要因素,在原有拥塞控制方案MMJI的基础上,提出了一种端到端的TCP拥塞控制改进方案（Imp MMJI）。该方案能根据前向路径跳数自适应调整拥塞窗口的大小,防止拥塞窗口过快增长,当发生路由改变或链路中断时,重新计算拥塞窗口cwnd和ssthresh的值,以确保路由重建前后TCP连接负载率的一致性;并在ACK应答包的TCP首部增加了状态标志位,结合多个度量参数联合判断网络状态,提高网络状态识别的准确性,使发送端实时采取相应的措施。仿真结果表明,该方案能使网络吞吐量得到明显的提高,改善了TCP的性能。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

结合概率图模型与DNN的DDoS攻击检测方法

从传统网络到物联网,分布式拒绝服务攻击一直是网络安全的隐患。为提高分布式拒绝服务攻击的检测率,提出基于概率图模型与深度神经网络的DDoS攻击检测方案。该检测方案由数据预处理阶段和攻击检测阶段组成,在数据预处理阶段,研究了正常数据包与攻击包的区别,分别从TCP、UDP以及IP数据包包头信息提取出较高维的统计特征,根据随机森林计算的特征重要性因子,保留了前22个特征用于流量检测。22个统计特征通过概率图模型的隐马尔科夫算法进行聚类,然后将聚类结果通过检测阶段的深度神经网络对网络数据进行进一步的检测。在CICDoS数据集上进行验证性实验,结果表明,该检测方法的准确率最高可达99.35%,最低检测误报率和漏警率分别可达0.51%和0.12%。