Optimization of Stealthwatch Network Security System for the Detection and Mitigation of Distributed Denial of Service (DDoS) Attack: Application to Smart Grid System

The Smart Grid is an enhancement of the traditional grid system and employs new technologies and sophisticated communication techniques for electrical power transmission and distribution. The Smart Grid’s communication network shares information about status of its several integrated IEDs (Intelligent Electronic Devices). However, the IEDs connected throughout the Smart Grid, open opportunities for attackers to interfere with the communications and utilities resources or take clients’ private data. This development has introduced new cyber-security challenges for the Smart Grid and is a very concerning issue because of emerging cyber-threats and security incidents that have occurred recently all over the world. The purpose of this research is to detect and mitigate Distributed Denial of Service [DDoS] with application to the Electrical Smart Grid System by deploying an optimized Stealthwatch Secure Network analytics tool. In this paper, the DDoS attack in the Smart Grid communication networks was modeled using Stealthwatch tool. The simulated network consisted of Secure Network Analytic tools virtual machines (VMs), electrical Grid network communication topology, attackers and Target VMs. Finally, the experiments and simulations were performed, and the research results showed that Stealthwatch analytic tool is very effective in detecting and mitigating DDoS attacks in the Smart Grid System without causing any blackout or shutdown of any internal systems as compared to other tools such as GNS3, NeSSi2, NISST Framework, OMNeT++, INET Framework, ReaSE, NS2, NS3, M5 Simulator, OPNET, PLC & TIA Portal management Software which do not have the capability to do so. Also, using Stealthwatch tool to create a security baseline for Smart Grid environment, contributes to risk mitigation and sound security hygiene.

一种新的DDoS攻击预警方法

DDoS攻击的研究是网络安全研究领域的一个研究热点。预测DDoS攻击发生的概率,对于早期防御和响应DDoS攻击具有重要意义。提出了一种基于概率有限状态自动机的DDoS攻击预警模型,给出了一种计算攻击成功概率和攻击期望威胁度的方法。实验表明,方法能有效地计算出DDoS攻击成功概率和期望威胁度,实现早期防御。

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法。通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类。实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击。

结合概率图模型与DNN的DDoS攻击检测方法

从传统网络到物联网,分布式拒绝服务攻击一直是网络安全的隐患。为提高分布式拒绝服务攻击的检测率,提出基于概率图模型与深度神经网络的DDoS攻击检测方案。该检测方案由数据预处理阶段和攻击检测阶段组成,在数据预处理阶段,研究了正常数据包与攻击包的区别,分别从TCP、UDP以及IP数据包包头信息提取出较高维的统计特征,根据随机森林计算的特征重要性因子,保留了前22个特征用于流量检测。22个统计特征通过概率图模型的隐马尔科夫算法进行聚类,然后将聚类结果通过检测阶段的深度神经网络对网络数据进行进一步的检测。在CICDoS数据集上进行验证性实验,结果表明,该检测方法的准确率最高可达99.35%,最低检测误报率和漏警率分别可达0.51%和0.12%。

基于移动Agent的DDoS攻击综合防御模型

分布式拒绝服务(DDoS)攻击已成为网络最大的安全威胁之一,传统检测防御方法由于多采用单一防范措施很难对其彻底防范。利用移动Agent特性,在设计上整合多种防御方法,构造了一种综合的主动检测防御模型,并详细设计了模型中移动Agent的组成元件,力求解决存在的单点失效、被动防御等问题,使得该模型具有良好的健壮性和可扩展性。

随机伪造源地址DDoS攻击下的合法地址识别方法

设计了一种用于统计源地址包数的高效数据结构E—CBF，基于此，提出了随机伪造源地址DDoS攻击发生时合法地址识别算法，其时间复杂性为O（1），同时仅需1MB的内存开销。然后在对识别误差分析的基础上，提出了识别参数调整算法，用以根据当前攻击规模，自动调整检测参数来满足检测精度需求。模拟实验和真实网络数据实验结果均表明，该方法在不同规模的攻击下能自动调整检测参数，快速准确地发现合法源地址。

基于多阈值包过滤策略的DDoS防范机制研究

DDoS(Distributed Denial of Service),即"分布式拒绝服务"攻击,DDoS攻击的本质是通过不对等的方式,对目标机发出非正常服务要求,耗尽目标机本身的资源,使其无法提供正常服务,具有较大的危害性。传统的基于流量分析和阈值策略的防范机制使用单阈值或双阈值来判断攻击行为,虽然可以较为便捷地实现DDoS防范,然而这样也导致防范精度较低。文中针对基于流量阈值的基础上提出反馈型多阈值过滤机制,通过建立将回收圈的统计数据反馈给阈值的计算机制,有效地提高了攻击防范精度。仿真实验证明,该系统相对于以前的技术,其具备较高的防范精度。

基于机器学习的无线网络DDoS攻击检测方法

为提高分布式拒绝服务(Distributed Denial of Service,DDoS)攻击检出率,设计基于机器学习的无线网络DDoS攻击检测方法。首先,结合攻击时间序列构建无线网络DDoS攻击检测模型,利用深度学习设计无线网络DDoS攻击检测机制;其次,通过异常流量判断,对照相应的流表特征信息完成分类检测;最后,进行实验分析。实验结果表明,该方法的DDoS攻击检出率较低,优于对照组。

DDoS攻击和防御分类机制

DDoS(DistributedDenialofService)攻击是当今Internet面临的主要威胁之一,也是一个最严重的安全问题。虽然现在已经有许多防御机制来抵御各种不同的DDoS攻击,但功能都很分散,有的功能重复。通过对DoS/DDoS的研究,比较全面的整理了现在各种DoS/DDoS的攻、防机制,来达到更好的理解DDoS攻击,更高效全面的防御DDoS攻击的目的。并推荐了一个综合性的DDOS攻击和防御分类,提出通过发展DDoS攻击和防御的分类机制来结构化的解决DDoS问题。而且简要介绍了各种DDoS攻击和防御系统。

基于BP神经网络的应用层DDoS检测方法

CC(Challenge Collapsar)攻击通过模拟用户正常访问页面的行为,利用代理服务器或僵尸主机向服务器发送大量http 请求,造成服务器资源耗尽,实现应用层DDoS。目前,对于CC攻击的检测已经取得了一些进展,但由于CC攻击模拟用户正常访问页面,与正常网页访问特征较为相似,导致攻击识别较为困难,且误报率较高。根据CC攻击的特点,结合包速率、URL 信息熵、URL 条件熵三种有效特征,提出一种基于误差逆向传播(Back Propagation,BP)神经网络的CC攻击检测算法。在真实网络环境中的实验结果证明,该模型对中、小型网站能准确地识别正常流量与CC攻击流量,对大型网站也有较为准确的检测结果。

分布式拒绝服务攻击(DDoS)原理与防范

分布式拒绝服务攻击(DDoS)的攻击手段严重威胁着Internet的安全。阐述DDoS攻击概念和原理,结合SYN Flood攻击着重描述了攻击者是如何组织并发起的DDoS攻击,最后探讨一些防御DDoS攻击行之有效的措施。

基于自适应阈值的DDoS攻击态势预警模型

为了准确识别分布式拒绝服务(DDoS)攻击态势预警级别,研究DDoS攻击态势预警技术,设计DDoS攻击态势预警模型逻辑结构,定义区域网络安全脆弱性因子(SVF).基于长短时记忆(LSTM)网络流量预测模型和区域网络安全脆弱性因子,提出基于动态自适应阈值的DDoS攻击态势预警模型.提取IP数据包统计特征(IPDCF),使用LSTM预测模型对IPDCF序列建模,对正常流进行预测.根据预测结果和SVF实时动态地计算预警阈值和预警区间,基于预警阈值和预警区间设定态势预警级别.实验结果表明,利用该模型能够实时、有效地预警DDoS攻击态势,准确地识别DDoS攻击态势安全级别.

软件定义网络中DDoS攻击检测方法研究

为精确识别软件定义网络环境中的DDoS攻击,本文提出一种基于RNN的DDoS攻击检测算法。通过分析DDoS攻击的特点,提取OpenFlow交换机上的流表项特征五元组,构建RNN分类模型,实现对DDoS攻击行为的准确判断。经实验对比验证,相较于SVM,BP神经网络等本文所使用的检测方法准确率更高且检测时间更短。

电力监控系统实时DDoS攻击检测方法

针对目前难以实时准确且低能耗地识别电力监控系统中分布式拒绝服务(DDoS)攻击的问题,本文基于电力监控系统专用防火墙装置提出一种实时DDoS攻击检测方法。采用软硬件结合的方式:硬件方面,防火墙采用现场可编程门阵列(FPGA)实时采集报文数据,在转发报文时更新计数器,实时提供检测所需的特征值并进行攻击预判;软件方面,在防火墙的用户空间内运行基于机器学习的在线识别器,首先在实时采集报文数据时感知网络状态,当网络可能异常时使用在线识别器检测攻击。本文实现了基于该方法的DDoS攻击检测原型系统,并进行了实验。实验表明,该方法可以实现资源占用低、识别准确率高的实时DDoS攻击检测。

基于支持向量机和多资源最大最小公平的DDoS防御

采用分布式过滤的方法防御分布式拒绝服务(DDoS)攻击,通过将分布式防御合作限定在互联网自治域(AS)内,为应对选取了合适的网络范围,且考虑了带宽和受害机处理能力这2类资源及其相互作用.基于支持向量机(SVM)的多资源最大最小公平(SMMF)算法,根据受害端流量情况动态调整自治域边界的过滤器参数,保证了多资源最大最小公平,以达到较优的防御效果.模拟实验表明,该算法在具一般性的攻击场景下能有效抑制攻击流量,且在已有方法失效的情况下仍能保证合法流量吞吐量维持在正常水平.在路由器上实现了该过滤器,结果表明,即使安装上千个过滤器也只需极少量的内存,且仍能保证路由器的正常吞吐率.

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking,SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。

DDoS Detection for 6G Internet of Things: Spatial-Temporal Trust Model and New Architecture

With the rapid development of the sixth generation(6G)network and Internet of Things(IoT),it has become extremely challenging to efficiently detect and prevent the distributed denial of service(DDoS)attacks originating from IoT devices.In this paper we propose an innovative trust model for IoT devices to prevent potential DDoS attacks by evaluating their trustworthiness,which can be deployed in the access network of 6G IoT.Based on historical communication behaviors,this model combines spatial trust and temporal trust values to comprehensively characterize the normal behavior patterns of IoT devices,thereby effectively distinguishing attack traffic.Experimental results show that the proposed method can efficiently distinguish normal traffic from DDoS traffic.Compared with the benchmark methods,our method has advantages in terms of both accuracy and efficiency in identifying attack flows.

SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking,SDN)实现了控制层和转发层设备的分离,但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险.为了解决上述问题,本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法,用于检测以SDN控制器和交换机为目标的DDoS攻击.在改进的算法中,本文使用离散因子和纯度因子衡量D-S证据源之间的冲突.同时,结合纯度因子和离散因子调整D-S证据理论的证据源,调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果.实验结果表明本文提出的方法具有较高的精度.

防御DDoS攻击的Honeynet系统研究与改进

DDoS(分布式拒绝服务)攻击是目前常见的一种网络攻击行为,难以检测和跟踪。本文阐述了DDoS攻击方式的体系结构;分析了DDoS攻击的原理;结合主动防御的网络诱骗技术,采用两层防火墙,研究和改进了Honeynet系统,有效防御DDoS攻击。

DDOS防范对策研究

分布式拒绝服务攻击(DDOS)严重威胁着Internet的安全。本文分析了DDOS攻击的原理及最新发展,根据DDOS攻击特点,提出了在域内进行DDOS攻击防御的四层防御体系。