CN109995770A - 一种基于队列分布的LDoS攻击检测方法 - Google Patents

一种基于队列分布的LDoS攻击检测方法 Download PDF

Info

Publication number
CN109995770A
CN109995770A CN201910207521.7A CN201910207521A CN109995770A CN 109995770 A CN109995770 A CN 109995770A CN 201910207521 A CN201910207521 A CN 201910207521A CN 109995770 A CN109995770 A CN 109995770A
Authority
CN
China
Prior art keywords
queue
attack
ldos
euclidean distance
average
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910207521.7A
Other languages
English (en)
Other versions
CN109995770B (zh
Inventor
岳猛
王怀远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Civil Aviation University of China
Original Assignee
Civil Aviation University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Civil Aviation University of China filed Critical Civil Aviation University of China
Priority to CN201910207521.7A priority Critical patent/CN109995770B/zh
Publication of CN109995770A publication Critical patent/CN109995770A/zh
Application granted granted Critical
Publication of CN109995770B publication Critical patent/CN109995770B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于队列分布的LDoS攻击检测方法。其包括分析LDoS攻击下的队列行为,推断攻击周期,基于分析结果建立二维队列分布模型;计算二维队列分布模型中采样点到中心点的平均欧氏距离;将平均欧氏距离与设定的阈值dth进行比较来识别LDoS攻击等步骤。本发明是在低速率拒绝服务攻击广泛存在且难以与正常流向区分的背景下,通过瞬时队列与平均队列所组成的二维队列分布模型来提取攻击特征,将二维队列分布模型中样本点到中心点的欧氏距离作为检测特征,使用EWMA自适应阈值算法动态调整检测阈值,使得检测方法可以适应实际网路中各类流量并且可以准确地将LDoS攻击流量与合法突发流量区分开,从而使网络防御更加安全有效。

Description

一种基于队列分布的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全技术领域,特别是涉及一种基于队列分布的LDoS攻击检测方法。
背景技术
低速率拒绝服务(Low-rate Denial of Serice,LDoS)攻击最早是在2003年提出的,在这15年的时间里,这种攻击已经发展成为许多变种,如质量(RoQ)、欺诈性资源消耗(FRC)、慢攻击、隐身DoS。一般来说,LDoS攻击具有三个特点:1、利用网络中特定协议或系统的漏洞,在资源利用、系统稳定性或服务质量等方面造成服务的显著退化。2、成本低,单个攻击源可以发起攻击,其攻击流量远小于泛洪DoS(Flood DoS,FDoS)攻击。3、平均攻击率非常低(甚至低于合法流),具有很强的隐蔽性,导致检测困难。在随机早期检测(RandomEarly Detection,RED)场景下,原始的面向TCP的LDoS攻击需要研究(通常采用一系列周期性的方形爆炸square burst来建模)。在这种情况下,LDoS会阻碍RED稳定其队列,从而给TCP拥塞控制带来噪声反馈信号,结果导致出现振荡引起的高抖动,以及队列排流导致的效率低下,即吞吐量下降。随着TCP+RED在当前网络中的普及,这种攻击的对策是值得研究的。RED本身及其变体已被证明不足以抵御LDoS攻击。为了防御LDos攻击,人们提出了许多策略。一开始,一些人努力致力于减轻损害,作法是通过修改现有的协议或增加额外的资源。knity提出了重传超时(Retransmission Timeout,RTO)随机化方法来防御RTO匹配的LDoS攻击。然而,他们认为LDoS攻击仍然可以过滤掉部分TCP流量。另一方面,这种方法很难推广,因为它需要修改TCP协议。Sarat等人指出,缓冲区大小的相对较小的增加足以使LDoS攻击失效。随着缓冲区大小的增加,攻击者需要以更高的速率传输以填充路由器缓冲区,此时他们处于较长的LDoS攻击中,并且可以被优先支持的RED检测到。这种工作的局限性是会增加正常数据包的排队延迟。随后,研究人员尝试先检测是否发起了LDoS攻击,然后对攻击流量进行过滤。Sun等人指出LDoS攻击可以通过匹配其高速率、短突发、周期等特征来检测,并在此基础上采用DRR算法来分配带宽,保护合法流。然而,虚检率相对较高。因此,合法流在速率限制包过滤过程中受到影响。Chen等人提取了频域攻击特征。他们使用归一化累积功率谱密度(INCPSD)来计算TCP流量分布曲线与LDoS流量之间的距离,以确定攻击是否存在。在那之后,他们使用了黑名单和白名单的方法来切断攻击流。但是,这种方法需要额外存储特性表。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于队列分布的LDoS攻击检测方法。
为了达到上述目的,本发明提供的基于队列分布的LDoS攻击检测方法包括按顺序进行的下列步骤:
1)首先分析LDoS攻击下的队列行为,推断攻击周期,并基于分析结果建立二维队列分布模型;
2)计算上述二维队列分布模型中采样点到中心点(Qmin,Qmin)的平均欧氏距离dAED并作为检测特征;
3)将上述平均欧氏距离dAED与设定的阈值dth进行比较来识别LDoS攻击;如果平均欧氏距离dAED超过阈值dth,则视为受到LDoS攻击,否则视为正常。
在步骤1)中,所述的首先分析LDoS攻击下的队列行为,推断攻击周期,并基于分析结果建立二维队列分布模型的方法是:先利用LDoS攻击下队列行为的分析结果推断出正常情况下的瞬时队列长度范围与平均队列的长度范围,再得出正常队列分布的集中点,之后依据长度范围和集中点建立以瞬时队列长度为横轴、平均队列长度为纵轴的二维队列分布模型。
在步骤2)中,所述的采样点到中心点(Qmin,Qmin)的平均欧氏距离d AED的计算公式为:
其中Np表示检测窗口中采样点的个数,w为RED的权值,Qmin为RED的最小阈值,qi是第i条流的瞬时队列长度,Qi是第i条流的平均队列长度。
在步骤3)中,所述的阈值dth的设定方法是:采用基于EWMA算法的自适应阈值优化算法,首先定义一个长度为βT和步骤为T的滑动窗口,其中β为正整数;令第i个欧氏距离dAED(i)为第i个检测窗口中的欧氏距离d AED,dth(i)为第i个阈值,那么第i个阈值的计算公式为:
dth(i)=μ(i-1)+3σ(i-1)
其中,μ(i-1)表示滑动窗口之前的欧氏距离,σ(i-1)表示滑动窗口之前的欧氏距离μ(i-1)的标准差,以形成一个高置信区间;阈值参数μ的更新公式为:
μ(i)=(1-w)×μ(i-1)+w×dAED(i)。
本发明提供的基于队列分布的LDoS攻击检测方法是在低速率拒绝服务攻击广泛存在且难以与正常流向区分的背景下,通过瞬时队列与平均队列所组成的二维队列分布模型来提取攻击特征,将二维队列分布模型中样本点到中心点的欧氏距离作为检测特征,使用EWMA自适应阈值算法动态调整检测阈值,使得检测方法可以适应实际网路中各类流量并且可以准确地将LDoS攻击流量与合法突发流量区分开,从而使网络防御更加安全有效。
附图说明
图1为LDoS攻击下的RED队列行为;
图2为二维队列分布模型;
图3为NS-2实验环境拓扑;
图4为LDoS攻击对RED队列影响的实验结果;
图5为LDoS攻击下RED队列分布的实验结果;
图6为试验台实验拓扑。
具体实施方式
下面结合附图和具体实施例详细说明本发明。
本发明提供的基于队列分布的LDoS攻击检测方法包括按顺序进行的下列步骤:
1)首先分析LDoS攻击下的队列行为,推断攻击周期,并基于分析结果建立二维队列分布模型;
分析LDoS攻击下的队列行为时,本发明假设TCP发送方的窗口大小不受接收端的流控制窗口的限制,路由器缓冲区大小设置为带宽延迟乘积,则攻击期间的RED队列行为如图1所示。图1的上半部分显示了TCP发送方的拥塞窗口随时间的变化,图1的中间部分显示了平均队列长度随时间的变化,图1的下半部分显示了瞬时队列长度随时间的变化。B为路由器缓冲区大小,Qmin表示RED的最小阈值,Qmax表示RED的最大阈值。本发明将一个攻击周期T分成四个子周期T1~T4
第一子周期T1:第一子周期T1等于攻击周期T期间的攻击突发宽度L,路由器缓冲区立即被速率为R、攻击突发宽度为L的突发攻击流塞满,因此瞬时队列长度等于路由器缓冲区大小B,平均队列长度将增长到RED的最大阈值Qmax甚至更多。同时,TCP连接在连接链路塞满时进入超时。TCP发送方在RTO时器溢出之前不会发送任何数据包。本发明假设瞬时队列长度在第一子周期T1期间从RED的最小阈值Qmin增长到Q1。在攻击周期T末端的瞬时队列长度表示为:
Q1=B-(1-w)k×(B-Qmin) (1)
其中w为RED的权值,k为到达队列的攻击包个数。
第二子周期T2:第二子周期T2等于minRTO-L,RTO表示重传超时,在第二子周期T2期间,没有数据包到达队列,因此平均队列长度不会更新(保留其先前的值)。因为先前的缓冲数据包被快速耗尽,瞬时队列立即为空。此外,瞬时队列将一直保持空的状态,直到第一个重传TCP数据包到达队列。然后平均队列长度将下降到Q2,公式为:
Q2=(1-w)m×Q1 (2)
其中m=(minRTO-L)/ta;ta表示时间间隔。
第三子周期T3:TCP发送端实现慢启动,拥塞窗口cwnd呈指数增长,直到拥塞窗口cwnd达到慢启动值S,随后,RED控制新数据的传输,拥塞窗口cwnd以线性递增的方式往返。在第三子周期T3期间,TCP的发送速率小于链路容量,因此瞬时队列仍然为空。第三子周期T3末端的平均队列长度Q3表示为:
Q3=(1-w)u×Q2 (3)
其中u表示到达队列的数据包数量。
第四子周期T4:第三子周期T3结束后,拥塞窗口cwnd保持线性增长。一旦拥塞窗口cwnd超过链路容量,瞬时队列就会不断地被额外的数据包填充。平均队列缓慢返回RED的最小阈值Qmin,当平均队列长度达到RED的最小阈值Qmin,将会启动下一次爆发攻击。期间因为平均队列长度小于RED的最小阈值Qmin,所以并没有流失数据包。在第四子周期T4期间,TCP遵循加法递增机制。对于第i个TCP连接,每次收到确认字符(ACK)时,它的拥塞窗口cwnd将增加1/cwndi。本发明假设n个该类流的等效拥塞窗口cwnd大小为等于占据瓶颈链路和路由器缓冲区的数据包个数。根据上述分析,第四子周期T4表示为:
其中C为瓶颈链路容量,d为检测阈值,Wmax为最大拥塞窗口,n为数据流的个数,qmax为瞬时队列最大长度。
由于瞬时队列长度的初值与平均队列长度的最终值是已知的,因此瞬时队列最大长度qmax可以通过上述公式迭代求得。经分析,攻击周期T可以表示为:
T=minRTO+T3+T4 (5)
根据上面分析的队列行为,在LDoS攻击下,瞬时队列与平均队列不可避免地表现出异常特征。为了刻画攻击特征,本发明结合瞬时队列长度与平均队列长度,建立了二维队列分布模型,二维队列分布模型如图2所示。在图2中,X轴表示瞬时队列长度,Y轴表示平均队列长度。A1,A2,A3,和A4分别表示在LDoS攻击下的四种分布曲线,这四种分布曲线对应上述的四个子周期。如果对第一子周期T1期间的瞬时队列长度与平均队列长度进行采样,这些采样点将分布在分布曲线A1(q=B,Qmin<Q<B)上。同理分布曲线A2(q=0,0<Q<Qmin)对应于第二子周期T2,分布曲线A3(q=0,0<Q<Qmin)对应于第三子周期T3,分布曲线A4(Qmin<q<B,0<Q<Qmin)对应于第四子周期T4。另外,分布曲线AL表示正常情况下的队列分布,其平均队列长度略大于RED的最小阈值Qmin。图2表明在正常情况下队列分布将集中在中心点(Qmin,Qmin),特别是在瞬时队列方向上,LDoS攻击使队列分布点偏离中心点(Qmin,Qmin),即使出现一个合法的突发事件,只会引起瞬时队列的较大波动,平均队列影响较小,因此二维队列分布模型可以在不受合法突发流的影响下检测出LDoS攻击。
2)计算上述二维队列分布模型中采样点到中心点(Qmin,Qmin)的平均欧氏距离dAED(Average Euclidean Distance,AED)并作为检测特征,计算公式为:
其中Np表示检测窗口中采样点的个数,qi是第i条流的瞬时队列长度,Qi是第i条流的平均队列长度。为了尽快检测到每一个突发攻击流,检测窗口可以设置为公式(5)中给定的攻击周期T。w为RED算法的权值,考虑到合法的突发流情况下,瞬时队列波动较大,因此平均队列方向被赋予更大的权值,以达到不受合法流影响下准确检测出LDoS攻击的目的。
3)将上述平均欧氏距离dAED与设定的阈值dth进行比较来识别LDoS攻击;如果平均欧氏距离dAED超过阈值dth,则视为受到LDoS攻击,否则视为正常。
阈值dth是直接影响检测率、虚警率和漏警率的关键参数。在实际网络中,使用固定的阈值难以适应各种类型的网络流量。如果网络流量稳定,但检测器的阈值较高,则会增加虚警率。如果网络流量不稳定,但阈值较低,检测器的检测率会很低。本发明设计了一种基于EWMA算法的自适应阈值优化算法。EWMA具有吸收瞬态突发的能力,可以降低合法突发流对检测性能的影响。本发明定义了一个长度为βT和步骤为T的滑动窗口,其中β为正整数。令第i个欧氏距离dAED(i)为第i个检测窗口中的欧氏距离dAED,dth(i)为第i个阈值,那么第i个阈值的公式为:
dth(i)=μ(i-1)+3σ(i-1) (7)
其中,μ(i-1)表示滑动窗口之前的欧氏距离,σ(i-1)表示滑动窗口之前的欧氏距离μ(i-1)的标准差,以形成一个高置信区间。阈值参数μ的更新公式为:
μ(i)=(1-w)×μ(i-1)+w×dAED(i) (8)
w为RED的权值。第i个阈值dth(i)只有在正常情况下更新,若确定攻击爆发,则停止更新以防止形成过高的阈值。
为验证本发明提供的基于队列分布的LDoS攻击检测方法的检测效果,本发明人通过搭建NS-2实验环境来验证所依据的LDoS攻击对队列的影响,通过试验台评估本检测方法的有效性。实验主要验证:1、LDoS攻击对队列的具体影响;2、基于队列分布的LDoS检测方法的检测效果;3、本发明方法与现有方法相比的优势。
1、LDoS攻击对队列的具体影响
NS-2仿真实验拓扑如图3所示,RED链路容量为10Mbps,发送端由15个TCP发送端和1个攻击端组成,每个发送端的访问速率为100Mbps,minRTO被设置为1s,RTT的范围从20ms到430ms,RED的最小和最大阈值为50和150,RED的权值为0.001。模拟周期为60s,攻击开始于30s。LDoS突发攻击流长度为0.3s,突发速率为10Mbps,突发周期T=4.5s。在20s到30s之间,我们通过在客户机和服务器之间建立一个新的TCP连接(连接启动时发生慢启动)来模拟一个随机合法突发事件。由于目前的工作主要侧重于在攻击周期中区分每个LDoS突发流,因此主要考虑的是行为更类似于LDoS突发流的合法短突流(长度一般在数十到数百之间)。LDoS攻击对RED队列的影响如图4所示,图4(a)显示了队列随时间的变化,图4(b)为一个的攻击周期的放大。从图4(a)中我们可以看出,RED队列在短时间内保持稳定,但在发起攻击后波动剧烈。正常时,合法的短脉冲导致瞬时队列剧烈波动而平均队列略有波动。受到攻击时,LDoS攻击使得RED队列的瞬时队列与平均队列都发生剧烈波动。图4的实验结果与图1分析的LDoS攻击下的RED队列行为相吻合。此外,我们还考虑了三种情况下的队列分布:1、选择一个正常流量周期(10s-14.5s);2、选择正常流量与合法突发流量混合时段(20s-24.5s);3、选择一段混合LDoS攻击突发的正常流量时段(52.5~57s),其队列分布如图5所示。从图5中我们可以看出,合法的突发流对平均队列影响很小,而LDoS攻击流引起平均队列剧烈波动,其实验结果与图2的理论模型相吻合。
2、基于队列分布的LDoS检测方法的检测效果
为了验证实际网络中本发明的检测效果,本发明人进行试验台实验来评估基于队列分布的LDoS攻击检测方法的性能,测试台拓扑如图6所示。在图6中,两个不同的IP域通过一个RED路由器连接,路由器为一台双网卡PC,使用Iproute和tc来配置RED算法和客户端与服务器之间的单向传播延迟,缓冲区大小为225,RED的最小阈值和最大阈值分别为50和150,RED的权值为0.001,RTT的范围从20ms到430ms。除了上述设置,15个TCP客户端和一个LDoS攻击源被链接到一个100Mbps交换机,该交换机通过一个10Mbps的瓶颈链接连接路由器。本发明使用Rice大学开发的基于UDP的攻击工具来发起LDoS攻击突发。攻击参数设置为L=300ms,R=10Mbps,T=4.5s,检测窗口为4.5s,自适应阈值算法中的参数β=10。
在实验中,本发明人进行了10组测试,每组测试持续900s。在每个测试中,让客户端随机地与FTP服务器建立TCP连接,以模拟合法的短时间突发事件。由于涉及不同的网络参数,如往返时间、队列长度和当前拥塞程度,这些合法突发事件的行为如速率、持续时间等都是随机的。LDoS攻击在150s到300s之间随机开始。同时,本发明人随机选择一个300-600的整数作为攻击持续时间。试验结果如表1所示:
表1、10组测试结果
在上表中,第一列是10组测试的序列号。第二列是每组攻击的持续时间。第三列是攻击爆发的总和。第四列是精确检测到的攻击突发事件的数量。第五列表示未检测到攻击突发流的次数。第六列表示误以为是攻击突发流的正常突发流的数量。LDoS攻击总共持续了4172s,其中共有692次攻击突发流。准确报告680次攻击爆发,虚警报告12次合法突发流,漏检报告14次攻击爆发。平均检出率98.3%,虚警率1.7%,漏警率2.0%。实验结果表明,本发明的检测方法具有较高的检测率与较低的虚警率和漏警率。
3、本发明与现有方法相比的优势
为了测试基于队列的LDoS攻击检测方法与其他方法的优缺点,本发明人还将本发明方法与现有的两种LDoS攻击检测方法进行了比较。其他两种LDoS攻击检测方法分别是经典的NCAS(归一化累积幅度谱)方法和新的多重分形方法。将这三种方法在相同的实验环境中实现,比较结果如表2所示。
表2、检测结果对比图
实验结果表明,本发明方法具有较高的检测准确率PD,虚警率PFN,特别是漏警率PFP更低。合法短脉冲是导致前两种方法漏警率高的主要因素。相反,本发明方法对合法短脉冲是灵敏的。这是因为本发明方法提取的攻击特征是二维结构的,因此LDoS攻击突发流和合法突发流具有较高的可区分性。此外,本发明中基于距离的方法在空间和时间的复杂度上低于其他两种方法。此外,与其他方法不同的是,本发明方法可以检测每个攻击突发流,不是粗略地确定攻击是否发生在一个较长的样本周期内。因此,本发明方法可以实时检测并具有良好的细粒度。综上所述,本发明方法与现有方法相比在检测精度和检测效率上都具有一定的优势。

Claims (4)

1.一种基于队列分布的LDoS攻击检测方法,其特征在于:所述的基于队列分布的LDoS攻击检测方法包括按顺序进行的下列步骤:
1)首先分析LDoS攻击下的队列行为,推断攻击周期,并基于分析结果建立二维队列分布模型;
2)计算上述二维队列分布模型中采样点到中心点(Qmin,Qmin)的平均欧氏距离d AED并作为检测特征;
3)将上述平均欧氏距离dAED与设定的阈值dth进行比较来识别LDoS攻击;如果平均欧氏距离dAED超过阈值dth,则视为受到LDoS攻击,否则视为正常。
2.根据权利要求1所述的基于队列分布的LDoS攻击检测方法,其特征在于:在步骤1)中,所述的首先分析LDoS攻击下的队列行为,推断攻击周期,并基于分析结果建立二维队列分布模型的方法是:先利用LDoS攻击下队列行为的分析结果推断出正常情况下的瞬时队列长度范围与平均队列的长度范围,再得出正常队列分布的集中点,之后依据长度范围和集中点建立以瞬时队列长度为横轴、平均队列长度为纵轴的二维队列分布模型。
3.根据权利要求1所述的基于队列分布的LDoS攻击检测方法,其特征在于:在步骤2)中,所述的采样点到中心点(Qmin,Qmin)的平均欧氏距离dAED的计算公式为:
其中Np表示检测窗口中采样点的个数,w为RED的权值,Qmin为RED的最小阈值,qi是第i条流的瞬时队列长度,Qi是第i条流的平均队列长度。
4.根据权利要求1所述的基于队列分布的LDoS攻击检测方法,其特征在于:在步骤3)中,所述的阈值dth的设定方法是:采用基于EWMA算法的自适应阈值优化算法,首先定义一个长度为βT和步骤为T的滑动窗口,其中β为正整数;令第i个欧氏距离dAED(i)为第i个检测窗口中的欧氏距离dAED,dth(i)为第i个阈值,那么第i个阈值的计算公式为:
dth(i)=μ(i-1)+3σ(i-1)
其中,μ(i-1)表示滑动窗口之前的欧氏距离,σ(i-1)表示滑动窗口之前的欧氏距离μ(i-1)的标准差,以形成一个高置信区间;阈值参数μ的更新公式为:
μ(i)=(1-w)×μ(i-1)+w×dAED(i)。
CN201910207521.7A 2019-03-19 2019-03-19 一种基于队列分布的LDoS攻击检测方法 Active CN109995770B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910207521.7A CN109995770B (zh) 2019-03-19 2019-03-19 一种基于队列分布的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910207521.7A CN109995770B (zh) 2019-03-19 2019-03-19 一种基于队列分布的LDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN109995770A true CN109995770A (zh) 2019-07-09
CN109995770B CN109995770B (zh) 2021-03-26

Family

ID=67129106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910207521.7A Active CN109995770B (zh) 2019-03-19 2019-03-19 一种基于队列分布的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN109995770B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111600894A (zh) * 2020-05-20 2020-08-28 新华三信息安全技术有限公司 一种网络攻击检测方法及装置
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464398B2 (en) * 2003-05-19 2008-12-09 Alcatel Lucent Queuing methods for mitigation of packet spoofing
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法
CN105323241A (zh) * 2015-09-08 2016-02-10 中国民航大学 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法
CN105471741A (zh) * 2015-12-16 2016-04-06 青岛大学 一种移动Ad Hoc网络中双向可信路由确定方法
WO2017132774A1 (en) * 2016-02-03 2017-08-10 Szymanski Ted H Methods to strengthen cyber-security and privacy in a deterministic internet of things
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464398B2 (en) * 2003-05-19 2008-12-09 Alcatel Lucent Queuing methods for mitigation of packet spoofing
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法
CN105323241A (zh) * 2015-09-08 2016-02-10 中国民航大学 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法
CN105471741A (zh) * 2015-12-16 2016-04-06 青岛大学 一种移动Ad Hoc网络中双向可信路由确定方法
WO2017132774A1 (en) * 2016-02-03 2017-08-10 Szymanski Ted H Methods to strengthen cyber-security and privacy in a deterministic internet of things
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
YAJUAN TANG ET AL: "Modeling the Vulnerability of Feedback-Control Based Internet Services to Low-Rate DoS Attacks", 《IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY》 *
张静等: "基于队列平均报文长度的 LDoS 攻击对抗方法研究", 《INTERNATIONAL CONFERENCE OF CHINA COMMUNICATION AND TECHNOLOGY (ICCCT2010)》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111600894A (zh) * 2020-05-20 2020-08-28 新华三信息安全技术有限公司 一种网络攻击检测方法及装置
CN111600894B (zh) * 2020-05-20 2023-05-16 新华三信息安全技术有限公司 一种网络攻击检测方法及装置
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法

Also Published As

Publication number Publication date
CN109995770B (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN102457489B (zh) Low-rate DoS(LDoS)攻击、检测和防御模块
CN106657107B (zh) 一种SDN中基于信任值的自适应启动的ddos防御方法和系统
Cheng et al. Use of spectral analysis in defense against DoS attacks
Wang et al. Change-point monitoring for the detection of DoS attacks
Thapngam et al. Discriminating DDoS attack traffic from flash crowd through packet arrival patterns
Kaur et al. Detection of TCP targeted high bandwidth attacks using self-similarity
CN101577642B (zh) 一步预测卡尔曼滤波检测LDoS攻击的方法
Yan et al. Detection of DDoS attacks against wireless SDN controllers based on the fuzzy synthetic evaluation decision-making model.
CN102271068A (zh) 一种dos/ddos攻击检测方法
CN104734916B (zh) 一种基于tcp协议的高效多级异常流量检测方法
CN103428224A (zh) 一种智能防御DDoS攻击的方法和装置
CN106101071B (zh) 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN108199898A (zh) 一种增强LDoS攻击效能的方法
CN109995770A (zh) 一种基于队列分布的LDoS攻击检测方法
CN110266673A (zh) 基于大数据的安全策略优化处理方法和装置
Thangavel et al. Detection and trace back of low and high volume of distributed denial‐of‐service attack based on statistical measures
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
Luo et al. Vanguard: A new detection scheme for a class of TCP-targeted denial-of-service attacks
Barsukov et al. Fractal analysis based detection of DoS/LDoS network attacks
CN104125194A (zh) 基于互相关的LDDoS攻击时间同步和流量汇聚方法
Patel et al. The low-rate denial of service attack based comparative study of active queue management scheme
Sardana et al. Detection and honeypot based redirection to counter DDoS attacks in ISP domain
Chen et al. Detecting LDoS attacks based on abnormal network traffic
Chen et al. EBDT: a method for detecting LDoS attack
DeLaughter et al. Context Matters: Accurately Measuring the Efficacy of Denial-of-Service Mitigations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant