基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.     

基于经验的分层路由流量控制策略

分布式拒绝服务(DDoS)攻击是当前互联网较严重的威胁之一,能在短时间内耗尽受害者服务器 的资源。基于分布式路由器的流量限制是一种应对 DDoS攻击的有效方法,在远离服务器的某些路由节点 上安装流量控制设备,以确保服务器的安全。由于现有的基于规则的策略或基于学习的策略与线性规划 (LP)策略之间存在较大差距,可以将 LP的策略视为专家,希望通过模仿专家的决策学习策略,但实验中效 果并不理想。对于小规模网络,提出了基于经验的 LP方法(ELP),先估算出正常流量的比例,再进行 LP的 求解。对于大规模网络流量响应问题,考虑存在通信延时,基于层次结构的策略(HELP)被提出用以减轻中 心路由器的通信压力,并且可以实现比直接 ELP(中心节点与所有节点通信)更好的性能。     

基于拥塞控制和资源调节的DDoS攻击防范策略

针对现有分布式拒绝服务攻击防范方法只能防范某种特定攻击的问题.提出一种通用的基于拥塞控制和资源调节的防范策略,该策略由路由器和被攻击目标端配合实施.路由器采用改进的基于聚集拥塞控制算法的回推,主要防范带宽耗尽型攻击;被攻击目标端采用资源调节,主要防范资源耗尽型攻击.通过分布式检测和过滤,该策略能有效防范包括带宽耗尽型和资源耗尽型在内的攻击.     

Router OS的防火墙功能在高校计算机房管理中的应用

MikroTik Router OS是基于Linux开发的能在PC机上运行的路由器和专线路由器操作系统,主要应用于防火墙、ISP核心路由器、用户认证管理系统、流量控制等.论述通过使用MikRoTik Router OS的防火墙功能对学校计算机房的网络进行控制与管理,讨论防火墙过滤规则的制定.     

区分协议类型的RED公平性改进算法

由于UDP协议无拥塞控制功能,与TCP流量竞争带宽时具有优势.早期互联网绝大多数流量均使用TCP协议,但随着以网络视频为主的新兴网络服务的广泛应用,使得传统的TCP流量在拥塞链路带宽竞争中不公平.为了提高路由器对TCP流量的公平性,对路由器队列管理中的随机早检测算法RED进行了研究,提出了区分协议类型的RED改进算法Flow-RED,并且在NS-2网络模拟器中实现了该算法,使得在拥塞链路中使用TCP/UDP协议的吞吐量大致相当.实验结果表明,此方法能够改善TCP流量的服务质量.     

片上网络虚通道分配算法

提出了一种可应用于虫孔路由片上网络(NOC)的虚通道分配算法.该算法针对传统的虚通道均匀分配方法导致的面积浪费与功耗上升的缺点,基于排队论建立了一个虫孔路由器分析模型.依据业务流量的特征,可计算路由器各输人通道的带宽利用率,仅给带宽利用率最大的输入通道分配虚通道资源.仿真结果表明,该算法使系统缓冲资源得到了更有效的利用,吞吐量得到了提高.在热点流量中,该算法在达到相同性能的前提下可节省约33.3%的缓冲资源.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于聚集算法的DDoS数据流检测和处理

提出了一种应用于路由器的嵌入式DDoS(分布式拒绝服务攻击)防御算法。针对DDoS攻击的本质特征,对IP数据流进行轻量级协议分析,把IP数据流分为TCP、UDP和ICMP(网间控制报文协议)数据流,分别建立相应的聚集模式,根据该模式来检测DDoS聚集所占资源,采取相应的抑制措施过滤攻击数据包,从而保证合法数据流的正常转发。仿真试验证明该方法能准确地检测到DDoS攻击,处理效果很好。     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

DDoS客服协同防御机制研究

为了抵御分布式拒绝服务攻击(DDoS),文章提出了从傀儡机和服务器端进行协同防御的机制,对于面向无连接的攻击,主要在傀儡机端进行主动检测防御,对于面向连接的攻击,采用客服协同的SYN Cookie技术,从而主动有效地防御攻击DDoS;仿真测试结果验证了该机制的有效性.     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

用于DDoS攻击检测的自相似网络流量生成

由于DDoS攻击会破坏或者影响网络正常流量的自相似特性,据此来检测DDoS攻击是一种行之有效的方法;然而如何生成网络正常流量,是DDoS攻击检测的一个关键部分.描述了一种生成自相似网络流量的方法,并运用该方法实现了生成自相似网络流量的网络流量模拟子系统,解决了DDoS攻击检测所需的正常流量问题.     

网络流量自相似性在DDoS攻击检测中的应用

大量研究表明网络的正常流量具有自相似性,可以用自相似性参数Hurst系数来描述。DDoS攻击会破坏或者影响网络正常业务的自相似特性,用优化的R／S作为自相似性参数Hurst系数的估算算法,分析DDoS攻击数据流对正常业务数据流自相似参数Hurst系数的影响,来检测DDoS攻击。     

Detecting DDoS Attacks against Web Server Using Time Series Analysis

Distributed Denial of Service （DDoS） attack is a major threat to the availability of Web service. The inherent presence of self-similarity in Web traffic motivates the applicability of time series analysis in the study of the burst feature of DDoS attack. This paper presents a method of detecting DDoS attacks against Web server by analyzing the abrupt change of time series data obtained from Web traffic. Time series data are specified in reference sliding window and test sliding window, and the abrupt change is modeled using Auto-Regressive （AR） process. By comparing two adjacent nonoverlapping windows of the time series, the attack traffic could be detected at a time point. Combined with alarm correlation and location correlation, not only the presence of DDoS attack, but also its occurring time and location can be deter mined. The experimental results in a test environment are illustrated to justify our method.     

应用蜜罐技术防御DoS攻击的研究

拒绝服务(Denial of Service,DoS)攻击是阻止或者拒绝合法用户使用网络服务的一种攻击方式.首先介绍DoS攻击的基本原理,然后讨论现有DoS攻击防御方法,最后研究蜜罐技术在防御分布式拒绝服务(Distributed Dos,DDoS)攻击中的应用,并对其性能进行了仿真分析,结果表明:提出的蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度.     

R/S和小波分析法检测DDoS攻击的研究与比较

为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两种方法检测DDoS攻击的思想和算法。实验表明,对于强DDoS攻击,两种方法都具有较好的效果,对于弱攻击,R/S法难以检测到,而小波分析方法有效。     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.