基于可信度的应用层DDoS攻击防御方法

针对应用层DDoS(application layer DDoS,App-DDoS)攻击行为的特点,提出了一种基于可信度的App-DDoS攻击防御方法.该方法从服务请求的速率和负载两个方面,统计分析正常用户的数据分布规律,并以此作为确定会话可信度的依据.调度策略再根据会话可信度实现对攻击的防御.最后,通过模拟攻击实验验证了防御方法的有效性.实验结果证明了该方法能够快速有效地实现对App-DDoS攻击的防御.     

基于聚类的应用层DDoS攻击检测方法研究

目前应用层分布式拒绝服务（Application Layer Distributed Denial of Service,AL-DDoS）攻击对网络安全造成的威胁与日俱增,针对应用层用户访问行为,研究了一种基于多聚类中心近邻传播（Multi-Exemplar Affinity Propagation,MEAP）聚类算法的AL-DDoS攻击检测模型。该方法使用用户请求序列的信息熵作为输入,通过MEAP快速获得能够描述用户浏览行为的特征模型,对新加入的请求序列计算到各个聚类中心的距离,设定阈值从而区别正常与攻击序列。通过模拟实验表明,该方法能够有效地完成在线AL-DDoS攻击准实时检测。     

基于验证机制的应用层DDoS攻击防御方法

针对应用层分布式拒绝服务攻击的原理和特点,提出一种基于轻量级验证机制的防御算法,在客户端与服务器的通信过程中嵌入验证码,利用客户端计算,正确识别合法请求,过滤恶意攻击.验证机制在TCP/IP协议栈中呈非对称性,服务端的过滤在IP层进行,客户端的计算在应用层进行,使算法具有低的资源消耗和对通信双方的透明.该方法在抗分布式拒绝服务攻击网关平台上实现,测试结果表明,该方法具有良好的防御效果和优异的性能表现.     

基于Web行为轨迹的应用层DDoS攻击防御模型

为了有效防御应用层分布式拒绝服务攻击（DDoS）,定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型。把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。     

基于用户行为分析的应用层DDoS攻击检测方法*

应用层拒绝服务攻击与传统的拒绝服务相比,其破坏性更大,也更难被检测和防御。对此,基于用户浏览行为的分析,提出了一种采用自回归模型来检测应用层DDoS攻击的方法。通过AR模型和卡尔曼滤波,学习和预测正常用户的访问并判断异常;当定位异常访问源后,反馈给前端路由器进行限流或过滤。在电信IDC实际网络环境中,测试结果表明该方法是有效的。     

基于时间序列分析的应用层DDoS攻击检测

根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对参数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。     

基于聚类的应用层DDoS攻击检测方法

提出了一种基于聚类的应用层DDoS攻击检测方法,该方法首先采集Web服务器端网络流量,经过数据预处理后从中选取4个属性组成流量特征向量,后利用粒子群算法优化的K-Means聚类算法建立检测模型,并通过该模型识别攻击行为.实验结果表明,该方法与K-Means算法建立的检测方法相比,能有效地识别应用层DDoS攻击行为,且具...     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点。现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDo S攻击检测方法。模拟不同类型的低速率DDo S攻击和5G环境下不同场景的正常流量,在网络入口处收集流量并提取其流特征信息,得到多类型低速率DDo S攻击数据集;从统计阈值和特征工程的角度,分别分析了不同类型低速率DDo S攻击的特征,得到了40维的低速率DDo S攻击有效特征集;基于该有效特征集采用CNN-RF混合深度学习算法进行离线训练,并对比该算法与LSTM-Light GBM和LSTM-RF算法的性能;在网关处部署CNN-RF检测模型,实现了多类型低速率DDo S攻击的在线检测,并使用新定义的错误拦截率和恶意流量检测率指标进行了性能评估。结果显示,在120 s的时间窗口下,所提方法能够在线检测出4种类型的低速率DDo S攻击,包括Slow Headers攻击、Slow Body攻击、SlowRead攻击和Shrew攻击,错误拦截率达到11.03%,恶...     

基于BP神经网络的应用层DDoS检测方法

CC（Challenge Collapsar）攻击通过模拟用户正常访问页面的行为，利用代理服务器或僵尸主机向服务器发送大量http请求，造成服务器资源耗尽，实现应用层DDoS。目前，对于CC攻击的检测已经取得了一些进展，但由于CC攻击模拟用户正常访问页面，与正常网页访问特征较为相似，导致攻击识别较为困难，且误报率较高。根据CC攻击的特点，结合包速率、URL信息熵、URL条件熵三种有效特征，提出一种基于误差逆向传播（Back Propagation，BP）神经网络的CC攻击检测算法。在真实网络环境中的实验结果证明，该模型对中、小型网站能准确地识别正常流量与CC攻击流量，对大型网站也有较为准确的检测结果。     

DDoS攻击检测综述

结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,讨论了当前该领域存在的问题及今后研究的方向。     

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。     

基于HMM的应用层DoS攻击检测方法

为了能快速有效地识别出应用层DoS攻击, 提出一种基于HMM的应用层DoS攻击检测方法。该方法以应用层协议关键词和关键词之间的时间间隔作为输入, 采用隐马尔可夫模型来快速检测应用层DoS攻击。实验结果表明, 该方法对应用层上的多种DoS攻击都具有很高的检测率和较低的误报率。     

基于用户忠实度的应用层DDoS防御模型

针对应用层DDoS(application layer DDoS,App-DDoS)攻击,提出一种基于用户忠实度的ULDM(user loyalty defense model)防御模型,其根据用户对网站的忠实程度来区分正常用户和攻击用户。用户忠实度包含访问频率忠实度和行为忠实度,行为忠实度又包括历史行为忠实度和当前行为忠实度。从用户长期以来在请求频率和请求负载两方面的表现对用户行为进行评估,得到用户行为忠实度,根据用户长期以来对网站的访问频率得到用户访问频率忠实度;通过调度模块根据用户忠实度对请求进行调度。模拟实验验证了该模型的有效性。     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

改进的基于熵的DDoS攻击检测方法

基于熵的分布式拒绝服务攻击(DDoS)攻击的检测方法相比其他基于流量或特征的检测方法,具有计算简便、灵敏度高、误报率低、不增加额外网络流量、不增加额外硬件成本等特点。为了进一步提高了DDoS攻击检测的准确率,并降低误报率,提出一种改进的基于熵的DDoS攻击检测方法。该方法将DDoS攻击细分为不同的威胁等级,对每个威胁等级的攻击进行不同次数的检测。NS-2模拟实验结果验证了其有效性。     

基于深度学习的DDoS攻击检测模型

构建了基于粒子群优化卷积神经网络(PSO-CNN)的分布式拒绝服务攻击(DDoS)攻击检测模型.利用卷积神经网络的权值共享和最大池化自动挖掘网络数据流特征,引入粒子群对卷积核进行优化,在提升模型训练效率的同时,增强了模型的全局寻优能力.实验结果表明,该模型能够有效检测DDoS攻击,具有较高的检测准确率.     

基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法

针对广域信息管理（SWIM）系统受到应用层分布式拒绝服务（DDoS）攻击的问题，提出了一种基于隐半马尔可夫模型（HSMM）的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法，利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为；然后通过学习和预测正常SWIM用户行为得出正常检测区间；最后选取访问包的大小和请求时间间隔为特征进行建模，并训练模型进行异常检测。实验结果表明，所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%，与快速前向后向算法构建的HSMM相比，检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。     

基于网络连接分析的DDoS攻击检测模型

分布式拒绝服务（Distmuted Denial of Service,DDoS）攻击是当前网络安全的主要威胁之一。通过对网络连接特征的分析,提出了一种DDoS攻击检测模型。该模型利用DDoS早期攻击阶段的固有特性,从网络连接数据的统计分析中探寻系统正常行为的分布规律并确定DDoS攻击检测阈值。最后,通过模拟攻击实验验证了检测模型的有效性。实验结果表明,该模型能快速有效地实现对早期DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。     

基于多核学习的自适应DDoS攻击检测方法

分布式拒绝服务DDoS攻击是互联网安全的主要威胁之一。当前大多数检测方法采用单一特征,在大数据环境下不能有效地检测DDoS早期攻击。提出了一种基于多核学习的特征自适应DDoS攻击检测方法FADADM,根据DDoS攻击流量的突发性、地址的分布性以及通信双方的交互性定义了5个特征。基于集成学习框架,分别提出采用增大同类方差与异类均值差的比值IS/M和减少同类方差与异类均值差的比值RS/M的方式自适应地调整各特征值的权重,基于简单多核学习SimpleMKL模型训练出IS/M-SimpleMKL和RS/M-SimpleMKL 2种具有不同特性的多核学习模型,以识别DDoS早期攻击。实验结果表明,本文方法能够快速、准确地检测DDoS早期攻击。     

防御DDoS攻击算法

目前,对商业服务器攻击方式主要有两种,包括拒绝服务（DoS）攻击和分布式拒绝服务（DDoS）攻击。这种攻击类型属于命中一运行类型。DoS／DDoS攻击因为不够灵敏而不能绕过防火墙等防御．即DoS／DDoS攻击向受害主机发送大量看似合法的网络包．从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。虽然数据没有被损坏。但是服务器最终被摧毁．并且还会引发一系列其他的问题．对于一个电子商务服务器．其最重要的为服务器的停机时间。研究对分布式拒绝服务（DDoS）防御原则。