基于流量分析与双阈值包过滤策略的DDoS防范机制的研究

DoS攻击目的是使计算机或网络无法提供正常的服务,危害性极大.虽然目前提出的DoS解决方案很多,但各有优缺点.针对以往防火墙面对DDoS(分布式拒绝服务)攻击时的漏判或误判行为,文中提出了一种基于流量分析和双阈值策略的防范机制,采用可通信表记录可信任站点,使用双阈值并添加入侵检测提高系统性能,该方案利用Netfilter框架,在NF_IP_PRE_POUTING处注册了自己的防火墙模块,实现了对DoS攻击的入侵检测以及当攻击产生时过滤异常包等功能.通过实验环境测试了系统,验证了相关结论.     

基于IP地址分段的DDoS路由追踪技术

DDoS攻击已经成为当今网络安全的最大隐患,文中提出了基于IP地址分段的DDoS路由追踪技术,分析了边界路由器IP地址重叠分段方法及在地址重构过程中误报的产生,阐述了降低误报率的方法; 最后,通过在模拟环境下,验证了该路由追踪技术具有误报率低、所需边界路由器少和地址重建复杂度小的优点.     

基于LSTM流量预测的DDoS攻击检测方法

提出一种基于长短时记忆(LSTM)神经网络流量预测的分布式拒绝服务(DDoS)攻击检测方法.首先定义了IP数据包统计特征(IPDCF)来表征网络流特征,然后采用LSTM神经网络模型对IPDCF时间序列进行建模,且使用网格搜索和超参数最优法确定Dropout的值以缓解该模型的过拟合现象,最后建立基于IPDCF时间序列的LSTM模型来识别DDoS攻击.实验结果表明:该模型能够准确地预测正常网络流量变化趋势,识别DDoS攻击引起的异常;与同类方法相比,该方法能较早地检测DDoS攻击且漏报率和误报率更低.     

基于组合分类器的DDoS攻击流量分布式检测模型

针对传统攻击流量的集中式检测模型中可扩展性差,检测效率低以及误报率高等问题,设计了针对DDoS攻击流量的随机森林分布式检测模型,该模型包括数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块.将该模型与基于Adaboost算法的分布式检测方法进行比较,并通过实验研究验证了模型的有效性.结果表明:基于随机森林的组合分类器分布式检测模型具有更高的检测率、正确率、精确率以及更低的误报率,并且该模型部署灵活,适用于工程实践.     

基于主动防御模型的IP反向追踪方法

提出了一种基于主动防御模型的IP反向追踪方法,该方法以安全域为单位,利用hash函数序列的相关性和概率标记信息,通过主覆盖路由器的协同工作,实现了对攻击源的快速定位;在可供使用的标记位有限的情况下,提出了在标记时对摘要信息进行拆分、在反向追踪时利用异或运算实现对摘要信息拼装的方法,从而有效地减少“碰撞”的产生,保证了对大范围DDoS攻击的准确定位,分析结果表明：本方法大大缩短了标记路径,减少了重组攻击路径所需攻击报文数量。     

带缓冲的Spacewire路由器开关研究与设计

目的分析部分Spacewire路由器的交换开关中可能存在数据传输的"刹车"问题所引起的传输数据丢失,并提出一种解决方案。方法带缓冲的虫孔路由技术(BWR)。结果分析发现"刹车"问题导致的传输数据包丢失的原因,并提出利用带缓冲的虫孔路由技术构建Spacewire路由器开关的解决方案。结论使用带缓冲的虫孔路由技术构建的Spacewire路由器开关可以解决数据传输中的"刹车"问题。     

基于数据挖掘的网络业务流分析方法

为了从业务角度对网络的性能进行评价和优化,提出了一种新的网络业务分析方法——具有时态路径约束的关联规则挖掘分析方法.该方法以网络业务为分析粒度,以与网络业务流相关的时态属性和路径属性为约束条件,对已经积累的反映网络状况的海量历史数据进行挖掘分析.在进行关联规则挖掘时,利用频繁数据项集的性质,通过引入事务标号,在求出候选频繁项集的同时也求出其支持度,避免了为求支持度而进行的扫描数据库运算,极大提高了挖掘的效率和速度.实验结果表明,进行挖掘分析的数据量越大,该方法的性能和效率就越好.     

基于包过滤的DDoS防御系统

简要介绍了分布式拒绝服务攻击的原理,对现有的DDoS攻击检测技术进行了讨论和评价.在此基础上,重点介绍了基于统计分布特性的异常检测技术,并采用实时监测网络流量与包过滤相结合的方法在目标端防御DDoS攻击.     

基于令牌桶阵列的DDoS流量过滤

为了提高分布式拒绝服务攻击(DDoS)流量过滤的性能,同时保证过滤的正确率,提出一种基于Poisson流随机分解模型的分类方法。该方法根据报文特征对流量进行分解后,基于2类流量的流速比随机判定报文的类别。设计了一个基于令牌桶阵列(TBA)的实现方案,不需要实时估计攻击流的参数,有效提高了过滤的性能。理论推导表明:Poisson流随机分解模型的理论错误率上限为最大后验概率判决法错误率上限的2倍,TBA在过滤突发性强的攻击报文时错误率会进一步下降。实验结果表明:TBA的过滤效果和NB(naive Bayes)方法相当,过滤突发性攻击流时错误率低于NB方法。     

基于IPv6路由器的应用研究

通过对R IPng协议的分析研究,在C ISCO路由器上,实现了路由器的IPv6的激活、定制、过滤等功能;同时分析了路由协议存在的问题及解决问题的方法,对网络的组建与升级有一定的指导意义。