1.基于組合分類器的ddos攻擊流量分布式檢測模型
本研究提出了一種分布式攻擊流量檢測模型乍恐,該模型的核心檢測部分采用的是機(jī)器學(xué)習(xí)中應(yīng)用非常廣泛的集成學(xué)習(xí)方法茴她,即組合分類器的隨機(jī)森林方法痹换。該方法拓展性好梅垄,能夠適應(yīng)網(wǎng)絡(luò)環(huán)境中異常監(jiān)測的動態(tài)調(diào)整與部署飘蚯。DDos攻擊分布式檢測模型共分為數(shù)據(jù)采集模塊耸采、數(shù)據(jù)預(yù)處理模塊析命、分布式分類檢測模塊和報警響應(yīng)模塊四部分羹饰。
a.?dāng)?shù)據(jù)采集模塊。主要是在真實網(wǎng)絡(luò)環(huán)境中采集到可供檢測的數(shù)據(jù)包或者數(shù)據(jù)流碳却;
b.?dāng)?shù)據(jù)預(yù)處理模塊队秩。由于現(xiàn)網(wǎng)中采集到的網(wǎng)絡(luò)數(shù)據(jù)都是一些“裸”數(shù)據(jù),這些數(shù)據(jù)往往從統(tǒng)計分析和數(shù)據(jù)挖掘等細(xì)粒度層面無法進(jìn)行有效分析和攻擊檢測昼浦,這就需要一些數(shù)據(jù)預(yù)處理方法對數(shù)據(jù)包或者數(shù)據(jù)流進(jìn)行預(yù)處理馍资;
c.分布式分類檢測模塊。在每個從結(jié)點(diǎn)上分別部署正常流量與攻擊流量的分類檢測子模塊关噪,并將檢測結(jié)果匯總到主結(jié)點(diǎn)上鸟蟹,再通過一種簡單投票法得到最終的分類結(jié)果。
d.報警響應(yīng)模塊使兔。在分布式分類檢測模塊中對單個從結(jié)點(diǎn)檢測結(jié)果不產(chǎn)生報警響應(yīng)建钥,只是賦予一個報警級別權(quán)重,然后持續(xù)觀察多次檢測結(jié)果虐沥,若在較短的時間間隔內(nèi)檢測結(jié)果非常接近或者相同熊经,則將報警級別權(quán)重增大泽艘,最后由主結(jié)點(diǎn)經(jīng)過投票策略機(jī)制產(chǎn)生最終的報警響應(yīng)。
【出處】:華中科技大學(xué)學(xué)報
【時間】:2016
2.基于SDN的DDoS攻擊檢測采用跨平臺協(xié)作和輕量流量監(jiān)測
分布式拒絕服務(wù)(DDoS)攻擊是安全專業(yè)人員最關(guān)心的問題之一镐依。傳統(tǒng)的DDoS攻擊檢測機(jī)制是基于中間設(shè)備或SDN控制器匹涮,缺乏全網(wǎng)監(jiān)控信息,或者存在嚴(yán)重的南向通信開銷和檢測延遲槐壳。一種基于SDN的跨平臺協(xié)作的DDoS攻擊檢測框架然低,稱為OverWatch,它在粗粒度檢測數(shù)據(jù)平面和細(xì)粒度檢測控制平面之間對異常流進(jìn)行兩階段粒度濾波务唐。它利用當(dāng)前在OpenFlow交換機(jī)上未充分利用的計算能力來縮小細(xì)粒度DDoS攻擊檢測的檢測范圍雳攘。在OverWatch中,我們提出了一種輕量級流量監(jiān)測算法枫笛,通過輪詢OpenFlow交換機(jī)中計數(shù)器的值來捕獲數(shù)據(jù)平面上DDoS攻擊流量的關(guān)鍵特征吨灭。在一個基于FPGA的OpenFlow交換機(jī)原型和Ryu控制器的評估網(wǎng)絡(luò)中進(jìn)行實驗,揭示了我們提出的OverWatch框架和流量監(jiān)測算法可以大大提高檢測效率崇堰,同時減少檢測時延和南向通信開銷沃于。
【出處】:IEEE
【時間】:2017
3.利用霧計算的DDoS攻擊防御框架
云是當(dāng)今競爭激烈的世界的要求,需要靈活海诲,敏捷和適應(yīng)性強(qiáng)的技術(shù)繁莹,以應(yīng)對瞬息萬變的IT行業(yè)。云為企業(yè)提供了可擴(kuò)展的按需付費(fèi)服務(wù)特幔,因此成為組織IT服務(wù)模式日益增長的趨勢的一部分咨演。隨著云端興起的趨勢,安全問題進(jìn)一步加劇蚯斯,與云有關(guān)的最大問題之一就是DDoS攻擊薄风。DDoS攻擊往往耗盡所有可用的資源,導(dǎo)致云中的服務(wù)無法提供給合法用戶拍嵌。在本文中遭赂,霧計算的概念被使用,它不過是云計算在網(wǎng)絡(luò)邊緣執(zhí)行分析的一個擴(kuò)展横辆,即在網(wǎng)絡(luò)邊緣帶來智能撇他,以實現(xiàn)快速的實時決策,并減少轉(zhuǎn)發(fā)到云端的數(shù)據(jù)量狈蚤。我們提出了一個使用不同的工具來生成DDoS攻擊流量的框架困肩,這些工具是通過霧防御者進(jìn)入云端的。此外脆侮,規(guī)則應(yīng)用在霧防御者檢測和過濾針對云的DDoS攻擊流量锌畸。
【出處】:IEEE
【時間】:2017
4.基于深度學(xué)習(xí)的實時DDoS攻擊檢測
分布式拒絕服務(wù)(DDoS)攻擊是一種分布式、協(xié)作式的大規(guī)模網(wǎng)絡(luò)攻擊方式,提出了一種基于深度學(xué)習(xí)的DDoS攻擊檢測方法,該方法包含特征處理和模型檢測兩個階段:特征處理階段對輸入的數(shù)據(jù)分組進(jìn)行特征提取靖避、格式轉(zhuǎn)換和維度重構(gòu);模型檢測階段將處理后的特征輸入深度學(xué)習(xí)網(wǎng)絡(luò)模型進(jìn)行檢測,判斷輸入的數(shù)據(jù)分組是否為DDoS攻擊分組.通過ISCX2012數(shù)據(jù)集訓(xùn)練模型,并通過實時的DDoS攻擊對模型進(jìn)行驗證.結(jié)果表明,基于深度學(xué)習(xí)的DDoS攻擊檢測方法具有高檢測精度潭枣、對軟硬件設(shè)備依賴小比默、深度學(xué)習(xí)網(wǎng)絡(luò)模型易于更新等優(yōu)點(diǎn).
【出處】:電信科學(xué)
【時間】:2017
5.基于改進(jìn)Logistic回歸算法的抗WebDDoS攻擊模型的設(shè)計與實現(xiàn)
Web DDoS攻擊已經(jīng)成為黑客常用的攻擊手段之一.為了有效地提高Web DDoS攻擊的檢測速度和檢測率,文章將量子粒子群優(yōu)化方法與Logistic回歸模型相結(jié)合,提出了一種輕量級檢測新算法.該算法通過自適應(yīng)的量子粒子群優(yōu)化方法取代Newton法對Logistic回歸系數(shù)進(jìn)行求解,提高了回歸系數(shù)的求解效率和精度.為了驗證本算法的有效性,實驗采用WorldCup98公開數(shù)據(jù)集對本算法與現(xiàn)有的改進(jìn)Logistic回歸算法的性能進(jìn)行對比分析.實驗結(jié)果表明,在Web DDoS攻擊的檢測方面,相比現(xiàn)有的改進(jìn)Logistic回歸算法,文章提出的算法能夠獲得更高的檢測率以及更低的誤檢率,同時算法的時間復(fù)雜度與檢測樣本數(shù)量之間為線性關(guān)系.
【出處】:網(wǎng)絡(luò)信息安全
【時間】:2017
6.SDN中基于多維條件熵的DDoS攻擊檢測與防護(hù)研究
本文基于同種思路對SDN中DDoS攻擊檢測和防護(hù)兩方面進(jìn)行研究,結(jié)合了SDN自身特性和DDoS攻擊特征卸耘,提出一種基于多維條件熵算法的檢測和防護(hù)方案退敦。該算法利用SDN控制器對全局流表中流表項的提取粘咖,使用軟件計算多個流表項的條件熵得到多維向量并利用滑動窗口下非參數(shù)CUSUM算法進(jìn)行攻擊判別蚣抗。當(dāng)檢測到攻擊時,通過控制器分析多維條件熵值建立攻擊路徑瓮下,進(jìn)行攻擊溯源找到攻擊源頭翰铡。再進(jìn)一步對靠近攻擊源的交換機(jī)下發(fā)新流表,采取多種攻擊緩解手段讽坏,如過濾攻擊數(shù)據(jù)包锭魔、限制流量發(fā)送速率、平衡鏈路負(fù)載等路呜。本文提出的該方案有效利用了SDN集中控制和軟件驅(qū)動的特性迷捧,占用較少的資源和時間快速準(zhǔn)確地對DDoS攻擊進(jìn)行檢測和防護(hù)。經(jīng)模擬仿真實驗證明胀葱,該檢測方案明顯降低了誤報率漠秋,防護(hù)方案大幅減少了網(wǎng)絡(luò)中的攻擊流量,對SDN中DDoS攻擊檢測和防護(hù)研究帶來了新的啟發(fā)抵屿。
【出處】: 南昌航空大學(xué)
【時間】:2017
7.基于隨機(jī)森林分類模型的DDoS攻擊檢測方法
本文提出一種基于隨機(jī)森林的DDoS攻擊檢測方法,將數(shù)據(jù)流信息熵作為分類標(biāo)準(zhǔn),令source IP庆锦、destination IP、destination Port分別代表數(shù)據(jù)流的源地址轧葛、目的地址搂抒、目的端口,采用SIDI(source IP-destination IP)、SIDP(source IP-destination Port)和DPDI(destination Port-destination IP)三個信息熵來分別表征三種多對一的特征,對TCP洪水攻擊尿扯、UDP洪水攻擊求晶、ICMP洪水攻擊等三種常見的攻擊方式進(jìn)行特征分析,在此基礎(chǔ)上使用基于隨機(jī)森林分類模型分別對三類DDoS攻擊方式進(jìn)行分類檢測,實驗結(jié)果表明該模型能夠較為準(zhǔn)確地區(qū)分正常流量和攻擊流量,與HMM、SVM方法相比,基于RFC模型的DDoS檢測方法有較高的檢測率和較低的誤報率衷笋。
【出處】:計算機(jī)應(yīng)用研究
【時間】:2017
8.應(yīng)用層DDoS攻擊的用戶行為異常檢測
本文提出了一種基于用戶行為異常檢測的應(yīng)用層DDoS攻擊檢測方法芳杏。我們從HTTP Web服務(wù)器日志中提取請求資源的用戶行為實例。我們應(yīng)用主成分分析(PCA)子空間異常檢測方法來檢測異常行為實例右莱。收集來自托管學(xué)生資源門戶的Web服務(wù)器的Web服務(wù)器日志作為實驗數(shù)據(jù)蚜锨。我們還通過滲透測試產(chǎn)生了九種不同的HTTP DDoS攻擊。我們在收集的數(shù)據(jù)上的性能結(jié)果表明慢蜓,使用PCAsubspace異常檢測用戶行為數(shù)據(jù)亚再,可以檢測應(yīng)用層DDoS攻擊,即使他們試圖模仿一定程度上的正常用戶的行為晨抡。
【出處】:IEEE
【時間】:2017
9.基于流量和IP熵特性的DDoS攻擊檢測方法
針對現(xiàn)有DDo S(distributed deny of service)攻擊檢測率低氛悬、誤報率較高等問題進(jìn)行了深入研究则剃。根據(jù)DDo S攻擊發(fā)生時網(wǎng)絡(luò)中的流量特性和IP熵特性,建立了相應(yīng)的流量隸屬函數(shù)和IP熵隸屬函數(shù),隸屬函數(shù)的上下限參數(shù)通過對真實網(wǎng)絡(luò)環(huán)境仿真得到。提出了基于流量和IP熵特性的DDo S攻擊檢測算法,先判斷流量是否異常,再判斷熵是否異常,進(jìn)而判斷是否發(fā)生了DDo S攻擊如捅。由仿真結(jié)果可以看出,單獨(dú)依靠流量或IP熵都不能很好地檢測出DDo S攻擊棍现。該算法將流量和IP熵特性綜合考慮,準(zhǔn)確地檢測出了DDo S攻擊,降低了誤報率,提高了檢測率。
【出處】:計算機(jī)應(yīng)用研究
【時間】:2015
10.基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)DDoS聯(lián)合防御方法研究
為了方便跨組織的DDoS防御,本文提出了基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)DDoS聯(lián)合防御方法镜遣。在公有區(qū)塊鏈以太坊(Ethereum)基礎(chǔ)上,設(shè)計智能合約,授權(quán)用戶可以更新DDoS攻擊者名單,所有用戶可以查詢DDoS攻擊者名單己肮。由于利用了以太坊的基礎(chǔ)設(shè)施,本方法無需修改現(xiàn)有網(wǎng)絡(luò)設(shè)施,從根本上解決了跨組織聯(lián)合防御的實施難題。由于區(qū)塊鏈的不可篡改性,攻擊者無法干擾本方法的運(yùn)行悲关。由于智能合約的可編程性,本方法具有很強(qiáng)的擴(kuò)展性谎僻。
【出處】:網(wǎng)絡(luò)安全技術(shù)與應(yīng)用
【時間】:2017
11.基于RDF-SVM的DDoS攻擊檢測研究
本文通過考慮特征選擇在DDoS攻擊檢測中的重要性,設(shè)計了RDF-SVM算法寓辱,利用隨機(jī)森林計算特征重要性和SVM對特征進(jìn)行重新篩選艘绍,避免了特征的錯誤消除。最后得到最優(yōu)的特征子集秫筏,達(dá)到較高的檢測率和召回率诱鞠。本文采用兩種數(shù)據(jù)集進(jìn)行訓(xùn)練和測試。實驗結(jié)果表明这敬,RDF-SVM算法可以在KDD99數(shù)據(jù)集上選擇最優(yōu)特征子集航夺,并且還可以區(qū)分DDoS攻擊流量和正常流量(Flash Crowd)在真實環(huán)境下采集的DDoS數(shù)據(jù)集。與CART鹅颊,神經(jīng)網(wǎng)絡(luò)敷存,Logistic回歸,AdaBoost和SVM方法相比堪伍,RDF-SVM算法具有較高的檢出率和召回率锚烦。
【出處】:IEEE
【時間】:2017
?
