新网络环境下应用层DDoS攻击的剖析与防御

针对新网络环境下近两年新出现的应用层分布式拒绝服务攻击,本文将详细剖析其原理与特点,并分析现有检测机制在处理这种攻击上的不足.最后,本文提出一种基于用户行为的检测机制,它利用Web挖掘的方法通过Web访问行为与正常用户浏览行为的偏离程度检测与过滤恶意的攻击请求,并通过应用层与传输层的协作实现对攻击源的隔离.     

基于OpenFlow交换机洗牌的DDoS攻击动态防御方法

网络资源的有限性和网络管理的分散性是传统网络难以解决分布式拒绝服务攻击问题的重要原因。当前的防御方法存在静态性、滞后性的不足,并且难以定位攻击者。针对上述问题,该文提出一种动态防御的方法。利用软件定义网络(SDN)集中控制和动态管理的特性构建OpenFlow交换机洗牌模型,使用贪心算法实现用户-交换机连接的动态映射,通过多轮洗牌区分出用户群中的攻击者和合法用户,对合法用户提供低延迟不间断服务。在开源SDN控制器Ryu上实现原型系统,并在SDN环境下进行测试。性能测试结果表明采用该方法可以通过有限次的洗牌筛选出攻击者,降低DDoS攻击对合法访问的影响;能力测试结果则说明了在由一个控制器组成的环形拓扑结构下该方法的防御效果与攻击流的大小无关,而是仅与攻击者的数目有关。     

基于流媒体服务DDoS攻击防范研究

分布式拒绝服务（Distributed Deny of Service,DDoS）攻击是目前最难解决的网络安全问题之一。在研究RTSP（Real-Time Streaming Protocol）协议漏洞基础上,提出一种有效防御流媒体服务DDoS攻击防御方案。该方案基于时间方差图法（Variance-TimePlots,VTP）,计算自相似参数Hurst值,利用正常网络流量符合自相似模型的特性来进行DDoS攻击检测,并综合采用黑白名单技术对流量进行处理。最后通过MATLAB仿真工具进行了模拟实验,并对结果进行了分析,在协议分析基础上能合理控制流量,使得DDoS攻击检测准确率、实时性高,目标流媒体服务器带宽和资源得到了有效保护。     

基于动态布鲁姆过滤器的DDoS攻击检测方法

基于传统的布鲁姆过滤器在异常流量检测方面存在的不足,提出了动态布鲁姆过滤器的异常流量检测的结构,在检测率和误码率上都有所提高,从而更有效的预防了DDOS攻击.     

基于OpenFlow与sFlow的DDoS攻击防御方法

分布式拒绝服务(DDoS)攻击是目前比较流行的网络攻击,其破坏力大并且难以防范追踪,对互联网安全造成了极大的威胁。针对此问题提出了一种基于OpenFlow与sFlow的入侵检测方法,通过sFlow采样技术实时检测网络流量,依据网络正常流量设定流量阈值,并通过对超过阈值的异常流量进行攻击检测、判断攻击流,最终使用OpenFlow协议阻断攻击源。该方法可以在几秒内自动检测、处理多种DDoS攻击。实验结果表明,与现有方案对比,该方法能够实时检测并阻止DDoS攻击,有效降低网络资源消耗。     

全网防御DDoS攻击方案浅析

随着网络攻击的简单化和利益驱动,分布式拒绝服务攻击(DDo S)已经成为最引人注目的、受到黑客欢迎的攻击方式,而大量中小企业无力通过自建DDo S防护系统来防御攻击,在这种情况下,大型互联网运营企业和电信运营商均开始提供DDo S全网防御能力。文章介绍互联网企业和运营商在全网治理DDo S攻击的防御方案,并详细分析技术实现原理和端到端流程;最后提出全生态链协同治理DDo S攻击的建议,打造DDo S防护生态环境,有效抑制DDo S攻击。     

DDoS攻击方式与防御措施浅议

随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件正在成上升趋势。论文通过对常用的各种DDoS攻击方式进行分类,对攻击的原理进行了探讨,最后在此基础上有针对性地提出了一些防御DDoS攻击的方法。     

一种基于资源感知的小流量DDoS攻击防御方法

分布式拒绝服务攻击（DDoS）对网络具有极大的破坏性,严重影响现网的正常运营。虽然现网已经部署针对DDoS的流量清洗系统,然而小流量的攻击较洪水型攻击更难以被感知,进而不能得到有效的清洗。本文分析了网络中小流量DDoS攻击的原理和防御现状,并提出一种基于资源感知的小流量DDoS攻击防御方法。     

融合路径追溯和标识过滤的DDoS攻击防御方案

提出了将路径追溯和路径标识有机结合的设想,即在追溯出的上游节点有效识别过滤攻击分组.具体设计了一个新的分组标记和过滤方案.以受害主机所在自治域的边界路由器为界,之前的沿路节点标记路径信息,边界节点标记入口地址信息.受害主机可从到达的攻击分组中提取并还原相关信息,然后在域边界的攻击入口实施标识过滤.给出了完整的标记、共享存储和过滤方案,基于权威因特网真实拓扑的大规模仿真实验表明,方案防御效果较好,有效减轻了受害主机和目标域内上游链路遭受的攻击影响.     

基于IXP 1200平台的DDoS攻击防御研究

分布式拒绝服务攻击（DDoS）已经成为互联网最大的威胁之一.提出了一种基于Intel IXP1200网络处理器平台的DDoS防御系统的设计方案,并实际实现了一个防御系统D-Fighter.提出了解决DDoS攻击的两个关键技术：数据包认证和细微流量控制的原理和方法,并在D-Fighter中设计实现.经过实际网络测试环境的应用测试表明,D-Fighter达到了设计目标,对DDoS攻击的防御有较好的效果.     

Defending Wireless Infrastructure Against the Challenge of DDoS Attacks

This paper addresses possible Distributed Denial-of-Service (DDoS) attacks toward the wireless Internet including the Wireless Extended Internet, the Wireless Portal Network, and the Wireless Ad Hoc network. We propose a conceptual model for defending against DDoS attacks on the wireless Internet, which incorporates both cooperative technological solutions and economic incentive mechanisms built on usage-based fees. Cost-effectiveness is also addressed through an illustrative implementation scheme using Policy Based Networking (PBN). By investigating both technological and economic difficulties in defense of DDoS attacks which have plagued the wired Internet, our aim here is to foster further development of wireless Internet infrastructure as a more secure and efficient platform for mobile commerce.     

一个防御DDoS攻击的入侵检测系统

介绍了一种集成了网络流量数据采集与DDoS攻击检测的入侵检测系统,并嵌入攻击报警机制,其算法核心基于网络流量的自相关函数.该系统可根据用户指定攻击的识别概率,漏报概率与误报概率,而后进行有效检测和报警,并实现基于GUI界面的友好风格及C 类的封装.     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS(Domain Name System)是目前大部分网络应用的基础,对DNS服务器的分布式拒绝服务攻击(Distributed Denial of Service简称DDoS攻击)将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略.本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性.此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果.     

The Politics of DDoS Attacks

News about distributed-denial-of-service attacks on Estonian government Web sites might have represented more smoke than fire, but it also revealed a new political battlefield. Networking veterans say public officials' accusations can make ad hoc "hacktivism" seem like a state-sponsored attack. When you add porous network defenses and a credulous media, you've got the potential for a real problem.     

DDoS攻击原理与防御

分布式拒绝服务攻击(Distributed Denial of Serviece Attack)是目前黑客用的比较多的攻击手段,这种攻击对网络造成的危害性越来越大.为了更好地了解这种攻击的特点,从而避免产生更大的损失,这里从DoS和DDoS的攻击原理进行探讨研究,研究常见的DDOS攻击的类型如Smurf攻击、Trinoo攻击等.根据这些攻击的特点,提出DDoS攻击的检测方法即基于特征的攻击检测和基于异常的攻击检测.这两种检测技术各有所长,在实际使用中往往需要将两者结合起来,共同提高DDoS检测的准确性.     

Monitoring the Application-Layer DDoS Attacks for Popular Websites

Distributed denial of service (DDoS) attack is a continuous critical threat to the Internet. Derived from the low layers, new application-layer-based DDoS attacks utilizing legitimate HTTP requests to overwhelm victim resources are more undetectable. The case may be more serious when such attacks mimic or occur during the flash crowd event of a popular Website. Focusing on the detection for such new DDoS attacks, a scheme based on document popularity is introduced. An Access Matrix is defined to capture the spatial-temporal patterns of a normal flash crowd. Principal component analysis and independent component analysis are applied to abstract the multidimensional Access Matrix. A novel anomaly detector based on hidden semi-Markov model is proposed to describe the dynamics of Access Matrix and to detect the attacks. The entropy of document popularity fitting to the model is used to detect the potential application-layer DDoS attacks. Numerical results based on real Web traffic data are presented to demonstrate the effectiveness of the proposed method.      

基于认证的DDos攻击源追踪改进方案

本文针对目前危害很大的分布式拒绝服务攻击,在现在的一些包标记方案基础上,提出了记录多个IP、对标记消息进行认证的改进方案。该方案提高了追踪效率,比较有效的过滤掉攻击者伪造的数据包,增强了包标记追踪的安全性和可靠性。     

防御拒绝服务攻击

Internet上的DDoS攻击对网络和系统安全产生了新的挑战,近年来针对这一问题出现了很多应对机制。论文对防范DDoS攻击的多种方法进行了分析比较。