基于流量分析与双阈值包过滤策略的DDoS防范机制的研究

DoS攻击目的是使计算机或网络无法提供正常的服务,危害性极大.虽然目前提出的DoS解决方案很多,但各有优缺点.针对以往防火墙面对DDoS(分布式拒绝服务)攻击时的漏判或误判行为,文中提出了一种基于流量分析和双阈值策略的防范机制,采用可通信表记录可信任站点,使用双阈值并添加入侵检测提高系统性能,该方案利用Netfilter框架,在NF_IP_PRE_POUTING处注册了自己的防火墙模块,实现了对DoS攻击的入侵检测以及当攻击产生时过滤异常包等功能.通过实验环境测试了系统,验证了相关结论.     

基于包过滤的DDoS防御系统

简要介绍了分布式拒绝服务攻击的原理,对现有的DDoS攻击检测技术进行了讨论和评价.在此基础上,重点介绍了基于统计分布特性的异常检测技术,并采用实时监测网络流量与包过滤相结合的方法在目标端防御DDoS攻击.     

基于智能包过滤的DDoS防御模型

介绍了基于追踪的包过滤的原理。根据自适应包标记（Adjusted Probabilistic Packet Making,APPM）追踪技术,设计了一种基于追踪的智能包过滤模型以防御DDoS攻击。     

基于蜜罐的DDoS防范模型设计

分布式拒绝服务（DDoS）是对Internet最具危害的攻击之一。针对这种攻击手段，人们提出了许多解决方案，但由于其攻击的特点，至今还没有一个令人满意的解决办法。该文在分析DDoS攻击原理的基础上提出了一个利用蜜罐（honeypot）系统来保护服务器的模型。     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

一种基于数据包综合信任度的防火墙包过滤模型

针对分布式拒绝服务攻击的特点和目前防火墙采用的包过滤技术在攻击响应时的不足,提出了一种基于数据包综合信任度的防火墙包过滤模型.该模型中,对发往受保护主机的TCP和UDP数据包进行过滤时,不仅要考虑该数据包的特性以及记录的状态,还要考虑计算的综合信任度和由此得到的信任级别,从而通过为不同级别的数据包提供不同的服务质量来减轻拒绝服务攻击.     

基于遗传基因过滤算法的带宽耗尽DDoS防范技术

采用路由器过滤带宽耗尽DDoS流量,受到攻击的服务器应该与ISP协同工作来抵御带宽耗尽DDoS.使用Netflow统计的方法为路由器路由的流量分配权重.提出的算法主要是利用遗传基因算法在路由器上过滤流量从而得到最大的有效流量.并在真实的网络环境中验证了其可行性和有效性.该算法占用的资源少,也不需要ISP的所有路由器参与.同时服务器升级代价小、容易部署.防止DDoS的同时优化网络流量,有效地消除了由于正常的流量导致的全局突发流现象,较大地提高了服务器效率.     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

基于验证包标记策略实现DDoS攻击源追踪

包标记方案作为追踪DoS(DDoS)攻击源的最有前景的技术,有了很多的实现方法,但都有着一些大大小小的缺陷。文中提出了一种新的技术方案,在概率包标记方案自身的安全性能方面有了很大的改进。     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

基于优先级队列的DDoS攻击防御方案设计

为了避免网络正常用户遭受分布式拒绝服务攻击,提出了一种基于优先级队列的抵御DDoS攻击的自适应调整方案。采用带宽分配策略把合法数据包以及可疑数据包分别分配到高优先级队列和低优先级队列,以保证正常用户的服务质量。通过实验部署进行仿真设计,将基于优先级队列的DDoS攻击防御方案与基于传统去尾模式的DDoS攻击防御方案进行比较,证明改进的方案可以有效地减少来自DoS和DDoS攻击的恶意数据包流量,能为合法用户发送数据包提供平稳的带宽。     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

基于包标记的DDoS攻击源追踪方案研究

依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。     

基于NDIS的状态包过滤个人防火墙

现在,Internet的安全问题越来越引起人们的广泛关注,利用防火墙技术来增强网络的安全性越来越得到人们的青睐。包过滤技术是防火墙的核心技术。基于NDIS(Network Driver Interface Specification)的状态包过滤技术是在内核模式下,采用NDIS中间驱动程序技术截获网络封包并用状态包过滤方法过滤网络封包。这种技术不但移植性好,而且具有许多强大的功能。     

基于TCAM的高速报文过滤卡设计

对防火墙和TCAM技术进行了简要介绍,对使用TCAM进行规则查找比对的工作机理进行了探讨,进而提出了基于TCAM的高速报文过滤卡设计方案,分析了它对进出报文的处理过程.最后,对TCAM的规则更新算法进行了较为深入的研究.     

基于linux包过滤防火墙技术发展研究

介绍了Linux2.2和Linux2.4两个不同版本的内核对包过滤技术的支持机制和实现方案。在Linux2.2内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在Linux2.4内核中,IP数据包过滤系统实际上由Netfilter和ipt-ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。     

基于linux包过滤防火墙技术发展研究

介绍了Linux2．2和Linux2．4两个不同版本的内核对包过滤技术的支持机制和实现方案。在Linux2．2内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在Linux2．4内核中,IP数据包过滤系统实际上由Netfilter和ipt- ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。     

DiffServ网络中分组标记策略的研究与实现

研究了区分服务中的分组标记策略．通过分析SRTCM的工作原理与标记算法带宽分配公平性问题,提出相应的解决方案,修改SRTCM的标记策略,并仿真测试．通过仿真测试证明算法提高了聚流内的带宽分配公平性的要求．