DDoS攻击及其防范

本文介绍了目前对网络危害较大的DDoS原理、攻击方法及其防范方法。     

DDoS防御机制分类和一种新的DDoS检测框架

DDoS攻击是当今Internet面临的主要威胁之一,也是一个最严重的安全问题。首先将DDoS防御机制进行分类。一种方法根据响应位置的不同来分类,另一种方法是根据不同的阶段来分类。然后提出了一种适合局域网的防御框架,它可以保护内网的服务器。此框架基于IP地址分布的统计特征,通过计算相邻时刻的相似度来检测DDoS攻击。目的是为研究者提供清晰的DDoS防御机制分类,并期望该框架能有助于网络管理者诊断网络。     

DDoS攻击及防范分析

随着互联网的普及,网络安全变得越来越重要。DDoS(分布式拒绝服务)攻击是对互联网的安全稳定性具有较大威胁的攻击方法之一。本文对DDoS攻击产生的背景以及攻击方法进行了研究分析,并对如何防范DDoS攻击提出了一些方法和建议。     

基于蜜罐的DDoS防范模型设计

分布式拒绝服务（DDoS）是对Internet最具危害的攻击之一。针对这种攻击手段，人们提出了许多解决方案，但由于其攻击的特点，至今还没有一个令人满意的解决办法。该文在分析DDoS攻击原理的基础上提出了一个利用蜜罐（honeypot）系统来保护服务器的模型。     

DDoS攻击的原理及防范

介绍了DDoS的概念及攻击方式，结合笔者的经验探讨了一些防御DDoS的实际手段。     

一种DDoS攻击检测方法

DDoS是当今网络安全的最大威胁之一,研究防御DDoS攻击的技术非常重要。分析了三类防御DDoS技术的不足,提出了一种新的检测方法来检测常见的几种DDoS攻击,最后给出一个区分合法流量和攻击流量的方法。     

DDoS攻击防御策略研究

在网络攻击中,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)因其强大的破坏力而引起了世人高度的重视。本文目标是对DDoS攻击防护措施以及防御DDoS攻击技术的研究,最后阐述了DDoS攻击的发展趋势。     

DDoS攻击原理及防范

本文从概念开始详细介绍了DDoS攻击方式,着重描述了被DDoS攻击时的现象,最后笔者结合自己工作的经验与国内网络安全的现况探讨了一些防御DDOS的实际手段。     

DDoS攻击的原理及防御对策

分布式拒绝服务攻击（DDos——Distributed Denial of Service）是互联网环境下最具有破坏力的一种攻击方式,它实施简单,防御困难。本文针对DDoS攻击技术的原理。系统总结了DDoS攻击防御方法并分析了它们的不足。     

一种可生存性的DDoS防御方案

利用网络可生存性原理解决DDoS防御问题是当前网络安全研究的热点。本文分析对比了当前DDoS防御研究的现状,提出了网络可生存性理论支持下的逐层削弱的DDoS防御方案。     

基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.     

基于令牌桶阵列的DDoS流量过滤

为了提高分布式拒绝服务攻击(DDoS)流量过滤的性能,同时保证过滤的正确率,提出一种基于Poisson流随机分解模型的分类方法。该方法根据报文特征对流量进行分解后,基于2类流量的流速比随机判定报文的类别。设计了一个基于令牌桶阵列(TBA)的实现方案,不需要实时估计攻击流的参数,有效提高了过滤的性能。理论推导表明:Poisson流随机分解模型的理论错误率上限为最大后验概率判决法错误率上限的2倍,TBA在过滤突发性强的攻击报文时错误率会进一步下降。实验结果表明:TBA的过滤效果和NB(naive Bayes)方法相当,过滤突发性攻击流时错误率低于NB方法。     

基于包过滤的DDoS防御系统

简要介绍了分布式拒绝服务攻击的原理,对现有的DDoS攻击检测技术进行了讨论和评价.在此基础上,重点介绍了基于统计分布特性的异常检测技术,并采用实时监测网络流量与包过滤相结合的方法在目标端防御DDoS攻击.     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

基于VOIP的DDOS攻击与防范措施

VoIP技术由原来的一种互联网上的增值应用发展成为一种得到广泛应用的通信技术，较传统的PSTN通信具有明显优势，但安全问题也日益突出．本文重点介绍基于VOIP网络的DDOS攻击的原理及防范措施．     

对应网络DDoS攻击的安全防范策略研究

从网络TCP／IP协议“三次握手”的原理入手,分析了网络黑客利用TCP／IP协议存在的缺陷,对网络进行分布式的拒绝服务攻击的基本原理;提出了对应DDoS攻击,进行网络安全防范的策略．     

基于时间序列PDD的DDoS攻击检测

基于DDoS攻击的相关特性,提出了一种时间序列PDD的DDoS攻击检测方法,结合时间序列PDD的平稳性,采用了非参数的CUSUM算法检测DDoS攻击,并对该方法的有效性进行了模拟.     

基于智能包过滤的DDoS防御模型

介绍了基于追踪的包过滤的原理。根据自适应包标记（Adjusted Probabilistic Packet Making,APPM）追踪技术,设计了一种基于追踪的智能包过滤模型以防御DDoS攻击。     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。