多接口非限制下组件化手机Web前端会话劫持攻击检测方法研究

多接口非限制下组件化手机的Web前端容易遭遇会话劫持攻击。当前会话劫持攻击检测方法需建一个含有全部攻击特征的检测模型,不易实现,且检测结果不可靠。提出一种新型组件化手机Web前端会话劫持攻击检测方法,分析多接口非限制下组件化手机Web前端会话劫持攻击,预处理RTT历史数据,以降低多接口非限制下组件化手机Web前端奇异数据对正常数据RTT特征提取的影响。采用滑动数据窗和最小二乘平滑结合的方法对组件化手机Web前端正常数据的RTT特征进行提取,依据RTT特征提取结果,通过滑动窗口平均方法对会话劫持攻击进行检测。实验结果表明,所提方法具有很高的攻击检测精度和效率。     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

基于贝叶斯的Web系统DDoS攻击行为检测机制

提出一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制,利用站长统计工具得到Web系统访问数据,引入贝叶斯定理,计算可能发生DDoS攻击的概率.实际测试表明,该机制能够有效判断是否存在针对Web系统的DDoS攻击行为,并能激活防御策略,切断无访问深度且停留时间过长的连接.     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

R/S和小波分析法检测DDoS攻击的研究与比较

为了准确及时检测DDoS(D istributed Den ial of Service)攻击,在网络流量自相似研究基础之上,对检测DDoS攻击的两种方法进行了研究和比较。一种是经典的R/S(rescaled range analysis)方法,另一种是热点方法———小波分析法。给出了两种方法检测DDoS攻击的思想和算法。实验表明,对于强DDoS攻击,两种方法都具有较好的效果,对于弱攻击,R/S法难以检测到,而小波分析方法有效。     

用于DDoS攻击检测的自相似网络流量生成

由于DDoS攻击会破坏或者影响网络正常流量的自相似特性,据此来检测DDoS攻击是一种行之有效的方法;然而如何生成网络正常流量,是DDoS攻击检测的一个关键部分.描述了一种生成自相似网络流量的方法,并运用该方法实现了生成自相似网络流量的网络流量模拟子系统,解决了DDoS攻击检测所需的正常流量问题.     

基于网络流量自相似的DDoS攻击检测方法

分布式拒绝服务攻击(DDoS)是目前黑客经常采用并极为有效的网站攻击手段。本文在验证局域网流量具有严格自相似性的同时,介绍了常用的Hurst参数计算方法。通过大量实验研究了DDoS攻击对Hurst系数产生的定量影响,并在实验数据分析的基础上,提出了攻击发生和结束的准确判据。实验结果显示,该方法性能良好。     

基于NS2的DDoS入侵流模拟

根据网络流量自相似性的形成机理和DDoS攻击流的特点,综合网络中两种常见协议：TCP和UDP协议,提出了一个新的基于NS2的DDoS入侵流模拟方法,实验结果表明,使用该法得到的模拟背景流保持了真实的网络业务流自相似性特征,可用于对入侵流流量特征方面的分析研究。     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

应用时间滑动窗口模型的轨迹相似性研究

针对社交网络用户个人信息难以获取、公开信息不完整、不通用甚至内容虚假的问题，选择了普适性强，且能客观、真实反映用户行为习惯的位置数据作为相似性分析依据，对新浪微博、滴滴打车进行位置数据采集，形成两个高价值且具有国内网民特色的数据集作为实验对象.提出了一种基于时间滑动窗口模型的轨迹相似性匹配算法，通过调整时间窗口和位置距离优化算法F值，实现不同网络平台用户的相似性分析.以对新浪微博和滴滴打车的用户位置数据为例进行验证，实验结果证明了地理位置为虚拟身份相似性判断的正相关影响因子，且判断相似性的平均F值超过90%.      

基于滑动窗口的时间序列离群数据挖掘

离群数据挖掘是数据挖掘中的重要内容.本文针对时间序列数据进行离群数据挖掘方法的研究.在引入了基于局部离群点因子的离群数据挖掘方法与时间序列上滑动窗口基础上,将二者相结合,提出了基于滑动窗口的时间序列离群数据挖掘算法,并将算法应用于海表温度数据得到海表温度的异常之处.     

基于TCP_IP报头分析和主动测试的DDoS攻击响应机制

为了抵御分布式拒绝服务攻击(DDoS),必须解决的一个关键问题是如何有效地从正常的数据流中隔离出攻击流。文章提出了基于TCP_IP报头分析和主动测试的响应机制:使用动态更新的规则集来分析TCP_IP报头以抵御如UDP Flood这类的无连接攻击,通过主动测试机制来抵御面向连接的攻击。仿真结果验证了该机制的有效性。     

网络流量自相似性在DDoS攻击检测中的应用

大量研究表明网络的正常流量具有自相似性,可以用自相似性参数Hurst系数来描述。DDoS攻击会破坏或者影响网络正常业务的自相似特性,用优化的R／S作为自相似性参数Hurst系数的估算算法,分析DDoS攻击数据流对正常业务数据流自相似参数Hurst系数的影响,来检测DDoS攻击。     

基于遗传基因过滤算法的带宽耗尽DDoS防范技术

采用路由器过滤带宽耗尽DDoS流量,受到攻击的服务器应该与ISP协同工作来抵御带宽耗尽DDoS.使用Netflow统计的方法为路由器路由的流量分配权重.提出的算法主要是利用遗传基因算法在路由器上过滤流量从而得到最大的有效流量.并在真实的网络环境中验证了其可行性和有效性.该算法占用的资源少,也不需要ISP的所有路由器参与.同时服务器升级代价小、容易部署.防止DDoS的同时优化网络流量,有效地消除了由于正常的流量导致的全局突发流现象,较大地提高了服务器效率.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

基于滚动时间窗的最小二乘支持向量机回归估计方法及仿真

提出了一种基于滚动时间窗的最小二乘支持向量机(LSSVM)回归估计方法．该方法构造了滚动时间窗，利用滚动时间窗内的数据优化建模．模型随着时间窗的滚动进行在线更新，并对滚动时间窗内的数据分配不同的权值以充分利用数据的信息．将基于滚动时间窗的LSSVM回归估计方法应用于软测量建模．进行轻柴油凝固点的预估．结果表明，该建模方法十分有效．     

一种基于主机实时流量的安全评估方法

在分析影响服务可用性网络攻击导致网络流量异常改变的基础上，提出了一种主机网络实时流量的安全状况评估方法．首先，在固定时间窗口内选择一组能够体现网络流量统计特征的统计量作为评估测度，在大样本的基础上运用信息增益方法确定不同测度对评估结果影响的重要性．其次，采用层次加权方法，并将评估结果作为归一化异常度值，对主机网络的实时流量进行评估．实验结果表明，这种方法能够对蠕虫、DIDoS、DoS攻击引发的异常流量进行合理评估，并且对引起网络流量异常改变的新攻击有良好的评估效果．     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

基于滑动窗口的动态手写签名局部相关性研究

为了解决直接序列匹配中签名序列存在随机波动和时间轴方向非均匀伸缩,导致相关分析给出的匹配度不高的问题,提出了采用滑动窗口对真实签名进行局部相关性分析的方法.将手写签名按压力划分成若干笔段,研究笔段匹配算法;对分段后的数据序列用滑动窗口算法进行局部相关分析.算例显示,对不同的签名个体而言,总有一些笔段的相关性极高,最小相关系数都达到0.8甚至0.9以上,这些笔段,正是签名者的稳定的签名特征,无论是相关分析法还是特征矢量分类法,滑动窗口局部相关分析都是一种有效的算法.