基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

基于网络异常流量判断DoS/DDoS攻击的检测算法

为了对泛洪DoS/DDoS(Denial of Service/Distributed Denial of Service)攻击做出准确判断,在对泛洪DoS/DDoS攻击发生时网络流量变化特性进行分析的基础上,给出一种基于网络异常流量判断泛洪DoS/DDoS攻击的检测算法.该算法通过对流量大小和波动趋势的判断,对泛洪DoS/DDoS攻击的发生进行检测.实验结果表明,在不失一般性的基础上,判断泛洪DoS/DDoS攻击的成功率为100%.     

基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.     

一种基于熵的DDoS攻击实时检测算法

提出一种轻量级的DDoS(distributed denial of service)攻击检测的有效方法.首先基于滑动窗口技术的熵算法实时检测网络数据包中目的IP地址出现的随机性,然后使用VTP(variance-time plot)方法进行异常检测.实验结果表明,该方法能够实时检测出各种DDoS攻击的存在,特别是能够发现大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于并行积累排序算法和主动学习的DDoS攻击检测

为了在高速网络环境下对大容量网络流量进行准确和快速的分类,以检测分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,本文提出一种基于并行积累排序算法和主动学习的DDoS攻击检测算法.该技术采用并行积累排序算法对流量特征进行积累排序来选择最佳特征子集,通过专家模块以无监督的方式选择适当的实例来训练用于检测DDoS攻击流量的支持向量机(SVM)二值分类器,从而实现从数据集中选择小批量训练样本来产生高精度的网络流量分类.实验结果表明,与现有方法相比,本文算法在分类准确率和执行速度方面均优于现有方法.     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于流连接密度的分布式拒绝服务攻击检测

分析了分布式拒绝服务(DDoS)攻击的特点,定义了能够反映DDoS攻击所引起的网络流量变化特点的流连接密度(FCD)概念,并证明了FCD时间序列的非平稳特性.据此,提出了一种基于FCD的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,将FCD序列转换为多维空间的向量序列,然后使用经过样本训练的K最近邻分类器进行攻击识别.实验结果及分析显示,该检测方法能够有效检测DDoS攻击,误报率低于4 3%,并能够对流量数据进行在线处理,实现DDoS攻击的在线检测.     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

基于小波变换和CUSUM算法的PDoS攻击检测方法

Pulsing denial-of-service(PDoS)攻击是一种新型的DoS攻击,它主要利用TCP超时重传机制的弱点,使用周期性的短脉冲向受害者发起攻击,由于平均攻击速率较低,传统的检测机制对其无法检测。笔者对这种攻击采用一种基于Mallat小波变换和CUSUM算法的两步检测法。首先基于Mallat小波变换和小波系数提取出攻击的特征,然后用CUSUM算法可将小偏移量进行累加,提高检测灵敏度,最后针对CUSUM算法的缺陷,提出了改进的CUSUM算法来降低误报率。两步检测法可以准确高效地检测出PDoS攻击。     

A nonparametric adaptive CUSUM method and its application in source-end defense against SYN flooding attacks

Combating DDoS attacks at their sources is still in its infancy.In this paper,a nonparametric adaptive CUSUM (cumulative sum) method is presented,which is proven efficient in detecting SYN flooding attacks close to their sources.Different from other CUSUM methods,this new method has two distinct features:① its detection threshold can adapt itself to various traffic conditions and ② it can timely detect the end of an attack within a required delay.Trace-driven simulations are conducted to validate the efficacy of this method in detecting SYN flooding attacks,and the results show that the nonparametric adaptive CUSUM method excels in detecting low-rate attacks.     

The detection of structural deformation errors in attitude determination

In the determination of the attitude parameters from a multi-antenna GPS array, one of the major assumptions is that the body frame is rigid at all times. If this assumption is not true then the derived attitude parameters will be in error. It is well known that in airborne platforms the wings often experience some displacement during flight, especially during periods of initializing maneouvres, such as taking off, landing,and banking. Often it is at these points in time that it is most critical to have the most precise attitude parameters.There are a number of techniques available for the detection of modeling errors.The CUSUM algorithm has successfully been implemented in the past to detect small persistent changes. In this paper the authors investigate different methods of generating the residuals, to be tested by the CUSUM algorithm, in an effort to determine which technique is best suited for the detection of structural deformation of an airborne platform. The methods investigated include monitoring the mean of the residuals generated from the difference between the known body frame coordinates, and those calculated from the derived attitude parameters. The generated residuals are then passed to a CUSUM algorithm to detect any small persistent changes. An alternative method involves transforming the generated residuals into the frequency domain through the use of the Fast Fourier Transform. The CUSUM algorithm is then used to detect any frequency changes. The final technique investigated involves transforming the generated residuals using the Haar wavelet. The wavelet coefficients are then monitored by the CUSUM algorithm in order to detect any significant change to the rigidity of the body frame.Detecting structural deformation, and quantifying the degree of deformation, during flight will ensure that these effects can be removed from the system, thus ensuring the most precise and reliable attitude parameter solutions. This paper, through a series ofsimulations, will assess the effectiveness of the above mentioned techniques for detecting structural deformation effects on a GPS multi-antenna array. These principles are then tested with experimental data.     

基于小波包的信号检测算法

针对多个相似信号分量的到达时间检测问题提出了一种基于小波包理论的新算法（ＷａｖｅｌｅｔＰａｃｋｅｔｓＤｅｔｅｃｔｉｏｎＡｌｇｏｒｉｔｈｍ，ＷＰＤＡ）．即使在各信号分量严重重叠的情况下，该算法都能非常精确地确定各分量的到达时间。为了进行比较，引用了Ｂ．Ｆｒｉｅｄｌａｎｄｅｒ提出的改进Ｇａｂｏｒ表征方法（ＩＧＲＭ）及其信号模型。实验证明，小波包检测算法可以得到更为优越的性能。还讨论了小波包检测算法中的正交镜像滤波器选择问题。     

WLAN网络业务流分类与流速控制的实现

介绍了通过网络业务流的分类管理,保证实时业务流服务质量的为目的改善无线网络传输质量的驱动程序.其原理是对TCP数据报(非实时业务流)进行延迟,而不对UDP数据报(实时业务流)的传输进行流量控制.此外,通过监控数据包的发送延迟来判定网络上的带宽占用情况,并根据数据包发送延迟的变化设计相应的算法调整输出流量,以达到动态流量控制的目的.     

基于行为模式挖掘的网络入侵检测

基于系统模型DMIDS，提出了一种有效防范网络入侵的方法。该方法基于IP包信息挖掘出用户的频繁行为模式，能自动建立正常和异常的用户行为规则库；利用相似性匹配，能实时地检测出已知的和未知的攻击。详细介绍了用户频繁行为模式挖掘算法－－IDSPADE，实验结果表明该算法能够有效地发现多种网络入侵行为。和现有基于知识工程的方法相比，该方法具有更高的智能性和环境适应性。     

基于RED的网络拥塞控制算法研究及改进

随机早期检测(Random Early Detection,RED)算法是为TCP流设计的一个主动队列管理机制,能在一定程度上缓解网络拥塞.在RED算法中丢包率与包的大小之间是独立的,这就造成了对小包的歧视.在packet size算法中,通过对RED算法进行适当的改进,体现了丢包率和吞吐量之间的公平性.在此基础上进一步分析,用平均包的大小来影响丢包率以提高网络性能.仿真实验表明该算法对网络拥塞控制具有较好效果.     

选择性丢弃攻击检测方案

在无线传感器网络中,针对被俘获的恶意节点发动的丢弃合法数据包的攻击行为,提出了选择性丢弃攻击检测方案.该方案使用邻居检测点监听转发节点是否转发了数据包,防止数据包被恶意的丢弃.检测点在发现转发节点恶意丢包行为时,会执行转发数据包的任务,同时生成警报信息给BS节点.BS节点收到一定数量的警报信息,采取相应的措施隔离恶意节点.仿真结果表明,该方案能够很好的抵御恶意节点的丢包行为.