近年常用的几种DDOS攻击检测方法

1.基于组合分类器的ddos攻击流量分布式检测模型

本研究提出了一种分布式攻击流量检测模型,该模型的核心检测部分采用的是机器学习中应用非常广泛的集成学习方法,即组合分类器的随机森林方法。该方法拓展性好,能够适应网络环境中异常监测的动态调整与部署。DDos攻击分布式检测模型共分为数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块四部分。

a.数据采集模块。主要是在真实网络环境中采集到可供检测的数据包或者数据流;

b.数据预处理模块。由于现网中采集到的网络数据都是一些“裸”数据,这些数据往往从统计分析和数据挖掘等细粒度层面无法进行有效分析和攻击检测,这就需要一些数据预处理方法对数据包或者数据流进行预处理;

c.分布式分类检测模块。在每个从结点上分别部署正常流量与攻击流量的分类检测子模块,并将检测结果汇总到主结点上,再通过一种简单投票法得到最终的分类结果。

d.报警响应模块。在分布式分类检测模块中对单个从结点检测结果不产生报警响应,只是赋予一个报警级别权重,然后持续观察多次检测结果,若在较短的时间间隔内检测结果非常接近或者相同,则将报警级别权重增大,最后由主结点经过投票策略机制产生最终的报警响应。

【出处】:华中科技大学学报

【时间】:2016


2.基于SDN的DDoS攻击检测采用跨平台协作和轻量流量监测

分布式拒绝服务(DDoS)攻击是安全专业人员最关心的问题之一。传统的DDoS攻击检测机制是基于中间设备或SDN控制器,缺乏全网监控信息,或者存在严重的南向通信开销和检测延迟。一种基于SDN的跨平台协作的DDoS攻击检测框架,称为OverWatch,它在粗粒度检测数据平面和细粒度检测控制平面之间对异常流进行两阶段粒度滤波。它利用当前在OpenFlow交换机上未充分利用的计算能力来缩小细粒度DDoS攻击检测的检测范围。在OverWatch中,我们提出了一种轻量级流量监测算法,通过轮询OpenFlow交换机中计数器的值来捕获数据平面上DDoS攻击流量的关键特征。在一个基于FPGA的OpenFlow交换机原型和Ryu控制器的评估网络中进行实验,揭示了我们提出的OverWatch框架和流量监测算法可以大大提高检测效率,同时减少检测时延和南向通信开销。

【出处】:IEEE

【时间】:2017


3.利用雾计算的DDoS攻击防御框架

云是当今竞争激烈的世界的要求,需要灵活,敏捷和适应性强的技术,以应对瞬息万变的IT行业。云为企业提供了可扩展的按需付费服务,因此成为组织IT服务模式日益增长的趋势的一部分。随着云端兴起的趋势,安全问题进一步加剧,与云有关的最大问题之一就是DDoS攻击。DDoS攻击往往耗尽所有可用的资源,导致云中的服务无法提供给合法用户。在本文中,雾计算的概念被使用,它不过是云计算在网络边缘执行分析的一个扩展,即在网络边缘带来智能,以实现快速的实时决策,并减少转发到云端的数据量。我们提出了一个使用不同的工具来生成DDoS攻击流量的框架,这些工具是通过雾防御者进入云端的。此外,规则应用在雾防御者检测和过滤针对云的DDoS攻击流量。

【出处】:IEEE

【时间】:2017


4.基于深度学习的实时DDoS攻击检测

分布式拒绝服务(DDoS)攻击是一种分布式、协作式的大规模网络攻击方式,提出了一种基于深度学习的DDoS攻击检测方法,该方法包含特征处理和模型检测两个阶段:特征处理阶段对输入的数据分组进行特征提取、格式转换和维度重构;模型检测阶段将处理后的特征输入深度学习网络模型进行检测,判断输入的数据分组是否为DDoS攻击分组.通过ISCX2012数据集训练模型,并通过实时的DDoS攻击对模型进行验证.结果表明,基于深度学习的DDoS攻击检测方法具有高检测精度、对软硬件设备依赖小、深度学习网络模型易于更新等优点.

【出处】:电信科学

【时间】:2017


5.基于改进Logistic回归算法的抗WebDDoS攻击模型的设计与实现

Web DDoS攻击已经成为黑客常用的攻击手段之一.为了有效地提高Web DDoS攻击的检测速度和检测率,文章将量子粒子群优化方法与Logistic回归模型相结合,提出了一种轻量级检测新算法.该算法通过自适应的量子粒子群优化方法取代Newton法对Logistic回归系数进行求解,提高了回归系数的求解效率和精度.为了验证本算法的有效性,实验采用WorldCup98公开数据集对本算法与现有的改进Logistic回归算法的性能进行对比分析.实验结果表明,在Web DDoS攻击的检测方面,相比现有的改进Logistic回归算法,文章提出的算法能够获得更高的检测率以及更低的误检率,同时算法的时间复杂度与检测样本数量之间为线性关系.

【出处】:网络信息安全

【时间】:2017


6.SDN中基于多维条件熵的DDoS攻击检测与防护研究

本文基于同种思路对SDN中DDoS攻击检测和防护两方面进行研究,结合了SDN自身特性和DDoS攻击特征,提出一种基于多维条件熵算法的检测和防护方案。该算法利用SDN控制器对全局流表中流表项的提取,使用软件计算多个流表项的条件熵得到多维向量并利用滑动窗口下非参数CUSUM算法进行攻击判别。当检测到攻击时,通过控制器分析多维条件熵值建立攻击路径,进行攻击溯源找到攻击源头。再进一步对靠近攻击源的交换机下发新流表,采取多种攻击缓解手段,如过滤攻击数据包、限制流量发送速率、平衡链路负载等。本文提出的该方案有效利用了SDN集中控制和软件驱动的特性,占用较少的资源和时间快速准确地对DDoS攻击进行检测和防护。经模拟仿真实验证明,该检测方案明显降低了误报率,防护方案大幅减少了网络中的攻击流量,对SDN中DDoS攻击检测和防护研究带来了新的启发。

【出处】: 南昌航空大学

【时间】:2017


7.基于随机森林分类模型的DDoS攻击检测方法

本文提出一种基于随机森林的DDoS攻击检测方法,将数据流信息熵作为分类标准,令source IP、destination IP、destination Port分别代表数据流的源地址、目的地址、目的端口,采用SIDI(source IP-destination IP)、SIDP(source IP-destination Port)和DPDI(destination Port-destination IP)三个信息熵来分别表征三种多对一的特征,对TCP洪水攻击、UDP洪水攻击、ICMP洪水攻击等三种常见的攻击方式进行特征分析,在此基础上使用基于随机森林分类模型分别对三类DDoS攻击方式进行分类检测,实验结果表明该模型能够较为准确地区分正常流量和攻击流量,与HMM、SVM方法相比,基于RFC模型的DDoS检测方法有较高的检测率和较低的误报率。

【出处】:计算机应用研究

【时间】:2017


8.应用层DDoS攻击的用户行为异常检测

本文提出了一种基于用户行为异常检测的应用层DDoS攻击检测方法。我们从HTTP Web服务器日志中提取请求资源的用户行为实例。我们应用主成分分析(PCA)子空间异常检测方法来检测异常行为实例。收集来自托管学生资源门户的Web服务器的Web服务器日志作为实验数据。我们还通过渗透测试产生了九种不同的HTTP DDoS攻击。我们在收集的数据上的性能结果表明,使用PCAsubspace异常检测用户行为数据,可以检测应用层DDoS攻击,即使他们试图模仿一定程度上的正常用户的行为。

【出处】:IEEE

【时间】:2017


9.基于流量和IP熵特性的DDoS攻击检测方法

针对现有DDo S(distributed deny of service)攻击检测率低、误报率较高等问题进行了深入研究。根据DDo S攻击发生时网络中的流量特性和IP熵特性,建立了相应的流量隶属函数和IP熵隶属函数,隶属函数的上下限参数通过对真实网络环境仿真得到。提出了基于流量和IP熵特性的DDo S攻击检测算法,先判断流量是否异常,再判断熵是否异常,进而判断是否发生了DDo S攻击。由仿真结果可以看出,单独依靠流量或IP熵都不能很好地检测出DDo S攻击。该算法将流量和IP熵特性综合考虑,准确地检测出了DDo S攻击,降低了误报率,提高了检测率。

【出处】:计算机应用研究

【时间】:2015


10.基于区块链技术的网络DDoS联合防御方法研究

为了方便跨组织的DDoS防御,本文提出了基于区块链技术的网络DDoS联合防御方法。在公有区块链以太坊(Ethereum)基础上,设计智能合约,授权用户可以更新DDoS攻击者名单,所有用户可以查询DDoS攻击者名单。由于利用了以太坊的基础设施,本方法无需修改现有网络设施,从根本上解决了跨组织联合防御的实施难题。由于区块链的不可篡改性,攻击者无法干扰本方法的运行。由于智能合约的可编程性,本方法具有很强的扩展性。

【出处】:网络安全技术与应用

【时间】:2017


11.基于RDF-SVM的DDoS攻击检测研究

本文通过考虑特征选择在DDoS攻击检测中的重要性,设计了RDF-SVM算法,利用随机森林计算特征重要性和SVM对特征进行重新筛选,避免了特征的错误消除。最后得到最优的特征子集,达到较高的检测率和召回率。本文采用两种数据集进行训练和测试。实验结果表明,RDF-SVM算法可以在KDD99数据集上选择最优特征子集,并且还可以区分DDoS攻击流量和正常流量(Flash Crowd)在真实环境下采集的DDoS数据集。与CART,神经网络,Logistic回归,AdaBoost和SVM方法相比,RDF-SVM算法具有较高的检出率和召回率。

【出处】:IEEE

【时间】:2017

 

你可能感兴趣的:(近年常用的几种DDOS攻击检测方法)