基于时间序列分析的应用层DDoS攻击检测

根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对参数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。     

一种基于Web 群体外联行为的应用层DDoS 检测方法

由于攻击者采用各种技术手段隐藏攻击行为,DDoS攻击变得越发难以发现,应用层DDoS成为Web服务器所面临的最主要威胁之一。从通信群体的层面分析 Web 通信的外联行为特征的稳定性,并提出了一种应用层DDoS检测方法。该方法用CUSUM算法检测Web群体外联行为参数的偏移,据此来判断DDoS攻击行为的发生。由于外联行为模型刻画的是Web通信群体与外界的交互,并非用户个体行为,所以攻击者难以通过模仿正常访问行为规避检测。该方法不仅能够发现用户群体访问行为的异常,而且能够有效区分突发访问和应用层DDoS攻击。模拟实验结果表明,该方法能够有效检测针对Web 服务器的不同类型的DDoS攻击。     

基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法

针对广域信息管理（SWIM）系统受到应用层分布式拒绝服务（DDoS）攻击的问题，提出了一种基于隐半马尔可夫模型（HSMM）的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法，利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为；然后通过学习和预测正常SWIM用户行为得出正常检测区间；最后选取访问包的大小和请求时间间隔为特征进行建模，并训练模型进行异常检测。实验结果表明，所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%，与快速前向后向算法构建的HSMM相比，检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。     

应用层洪泛攻击的异常检测

从近年的发展趋势看, 分布式拒绝服务攻击已经从原来的低层逐渐向应用层发展, 它比传统的攻击更加有效且更具隐蔽性. 为检测利用合法应用层HTTP请求发动的洪泛攻击, 本文把应用层洪泛攻击视为一种异常的用户访问行为, 从用户浏览行为的角度实现攻击检测. 基于实际网络流的试验表明,该模型可以有效测量Web用户的访问行为正常度并实现应用层的DDoS洪泛攻击检测.     

基于网络流量的应用层DDoS攻击检测方法研究

根据应用层DDoS攻击和正常网络流量在特征上的不同,提出一种基于流量分析的应用层DDoS攻击检测方法,通过对源IP地址进行分析,能够有效地识别应用层DDoS攻击.同时,针对DDoS攻击流量和突发流量的相似性,在识别DDoS攻击的同时,能够正确区分突发流量,减少误报和漏报.     

基于Web行为轨迹的应用层DDoS攻击防御模型

为了有效防御应用层分布式拒绝服务攻击（DDoS）,定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型。把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。     

基于用户行为分析的应用层DDoS攻击检测方法*

应用层拒绝服务攻击与传统的拒绝服务相比,其破坏性更大,也更难被检测和防御。对此,基于用户浏览行为的分析,提出了一种采用自回归模型来检测应用层DDoS攻击的方法。通过AR模型和卡尔曼滤波,学习和预测正常用户的访问并判断异常;当定位异常访问源后,反馈给前端路由器进行限流或过滤。在电信IDC实际网络环境中,测试结果表明该方法是有效的。     

基于DCT的自适应盲数字水印

目前应用层DDoS攻击严重危害互联网的安全。现有的检测方法只针对某种特定的应用层DDoS攻击,而不能识别应用层上其它的DDoS攻击。为了能快速有效地识别出多种应用层DDoS攻击,提出一种基于请求关键词的应用层DDoS攻击检测方法,该方法以单位时间内请求关键词的频率分布差和个数作为输入,采用隐马尔可夫模型来检测应用层DDoS攻击。实验结果表明,该方法对应用层上的多种DDoS攻击都具有很高的检测率和较低的误报率。     

基于会话异常度模型的应用层分布式拒绝服务攻击过滤

大量的网络攻击手段和可利用的网络资源大大增加了抵御分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击的难度.应用层DDoS建立在正常的网络层行为之上,当前网络层安全设备无法有效抵御攻击.文章提出了一种应用层DDoS攻击过滤模型.基于攻击请求的生成方式,文中将应用层DDoS攻击分为5类,分析了应用层DDoS攻击与正常访问行为的不同,提出了访问行为异常属性和session异常度模型.利用此模型,可以有效区分正常访问session和应用层DDoS攻击session.将First-Come First-Serve (FCFS)、Low Suspicion First (LSF)和Round Robin 3种转发策略与session异常度模型结合,采用真实网络日志,模拟分析合法请求返回时延随时间的变化关系.结果表明,转发速率为合法请求最大速率就可获得较好的转发性能,此外,FCFS和Round Robin比LSF具有更低的合法请求返回时延.     

基于集成学习的多类型应用层DDoS攻击检测方法

针对应用层分布式拒绝服务（DDoS）攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞（CC）、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。     

基于用户浏览行为的HTTP Flood检测方法

与传统的基于低层协议的DDoS攻击相比,应用层DDoS具有更加显著的攻击效果,而且更加难以检测。现有的解决方法包括：特征检测、流量限制、隐半马尔可夫模型等。这些方法在检测应用层DDoS攻击（如,HTTP Get Flood）攻击时检测率不高或者检测速度较慢。提出的基于用户浏览行为的检测方法对HTTPFlood攻击检测效果明显得到改善。     

基于BP神经网络的应用层DDoS检测方法

CC（Challenge Collapsar）攻击通过模拟用户正常访问页面的行为，利用代理服务器或僵尸主机向服务器发送大量http请求，造成服务器资源耗尽，实现应用层DDoS。目前，对于CC攻击的检测已经取得了一些进展，但由于CC攻击模拟用户正常访问页面，与正常网页访问特征较为相似，导致攻击识别较为困难，且误报率较高。根据CC攻击的特点，结合包速率、URL信息熵、URL条件熵三种有效特征，提出一种基于误差逆向传播（Back Propagation，BP）神经网络的CC攻击检测算法。在真实网络环境中的实验结果证明，该模型对中、小型网站能准确地识别正常流量与CC攻击流量，对大型网站也有较为准确的检测结果。     

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。     

网络DDoS攻击流的小波分析与检测

将小波分析中的小波变换模极大方法用于检测分布式拒绝服务攻击引起的突发流量。在探讨如何运用小波模极大对突发流量进行判定的基础上,设计了一个检测突发攻击流量的方法,并对实际采集到的网络流量和仿真攻击流量的混合流作了计算机模拟验证。结果表明,当攻击流的突变幅度为正常流量的2倍￣3倍时,检测漏判率不超过5%;当攻击流的突变幅度提升为正常流量均值的3倍￣5倍时,检测漏判率不超过1%。攻击越强,检测漏判率越小。     

Securing Cloud Computing from Flash Crowd Attack Using Ensemble Intrusion Detection System

Flash Crowd attacks are a form of Distributed Denial of Service (DDoS) attack that is becoming increasingly difficult to detect due to its ability to imitate normal user behavior in Cloud Computing (CC). Botnets are often used by attackers to perform a wide range of DDoS attacks. With advancements in technology, bots are now able to simulate DDoS attacks as flash crowd events, making them difficult to detect. When it comes to application layer DDoS attacks, the Flash Crowd attack that occurs during a Flash Event is viewed as the most intricate issue. This is mainly because it can imitate typical user behavior, leading to a substantial influx of requests that can overwhelm the server by consuming either its network bandwidth or resources. Therefore, identifying these types of attacks on web servers has become crucial, particularly in the CC. In this article, an efficient intrusion detection method is proposed based on White Shark Optimizer and ensemble classifier (Convolutional Neural Network (CNN) and LighGBM). Experiments were conducted using a CICIDS 2017 dataset to evaluate the performance of the proposed method in real-life situations. The proposed IDS achieved superior results, with 95.84% accuracy, 96.15% precision, 95.54% recall, and 95.84% F1 measure. Flash crowd attacks are challenging to detect, but the proposed IDS has proven its effectiveness in identifying such attacks in CC and holds potential for future improvement.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。