指挥信息系统应用层攻击效能模糊综合评估方法

指挥信息系统的服务共享和开放导致其面临更多的服务资源毁伤和信息欺骗攻击风险,有效的攻击风险评估亟待解决。针对指挥信息系统应用层攻防中信息不完备性和不确定性带来的攻击效能评估困难问题,建立指标因素数量为2+5+17的指挥信息系统应用层攻击3级评估指标体系,提出双因子主观、客观赋权法确定评估指标权重,应用反向传播人工神经网络理论建立具有学习机制和持续改进能力的模糊隶属函数,设计了单一攻击效能和多种攻击效能的模糊综合评估方法。实验结果表明:该方法不仅能够实现单一攻击效果的模糊量化和多种攻击的模糊排序,而且指标集更完整、赋权方法更综合、模糊隶属函数更具适用性。

一种基于概率滑动窗口的应用层DoS攻击防御模型

网络上种类繁多的服务面临着复杂且不安全的生存环境,多种因素威胁着服务的生存,应用层DoS攻击就是其中的重要因素之一。然而,当前防御应用层DoS攻击的方法存在着对合法用户请求的误判,需要额外的硬件设备支持和难以抵御某些低速率攻击等不足。为此,提出了一种全新的应用层DoS攻击防御模型——基于概率的滑动窗口模型PBSWM(probability-based sliding window model)。该模型位于应用层,利用滑动窗口机制控制客户端发送的请求速率和服务器端接收的负载总量,利用概率发送控制在源端阻滞攻击者发送引发较大负载的请求,利用概率接受控制防止来自少量客户的请求占用系统的大部分应用资源。实验结果表明,该模型能够达到降低攻击损害、保障服务生存的目的。

应用层DoS攻击特征分析与检测方法综述

应用层DoS(Denial of Service)攻击是当前对互联网应用的一个重要的危害。描述了这种应用层攻击形式;研究分析了这种攻击的特征,即流量特征、负载特征和行为特征;回顾了针对这种攻击的特征检测方法,并比较了它们各自的优缺点。最后,对应用层DoS攻击检测防御的发展趋势提出了一些看法。

基于多模态深度神经网络的应用层DDoS攻击检测模型

为进一步提升应用层DDoS攻击检测准确率,提出一种将流量与用户行为特征相结合且模型参数可高效更新的应用层DDoS攻击检测模型.为统一处理流量与用户行为特征的异源数据,利用多模态深度(Multimodal Deep Learning,MDL)神经网络从数据流量与网页日志中提取流量与用户行为深层特征后输入汇聚深度神经网络进行检测.为减少MDL神经网络参数更新时的灾难性遗忘现象,在模型参数更新过程中基于弹性权重保持(Elastic Weight Consolidation,EWC)算法为重要模型参数增加惩罚项,保持对初始训练数据集检测准确率的同时,提升对新数据集的检测性能.最后,基于K-Means算法获得模型初始训练数据集聚类,并筛选出新数据集中聚类外数据进行模型参数更新,防止EWC算法因数据相关性过高而失效.实验表明,所提应用层DDoS检测模型检测准确率可达98.2%,且相对MLP_Whole方法模型参数更新性能较好.

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。

基于集成学习的多类型应用层DDoS攻击检测方法

针对应用层分布式拒绝服务(DDoS)攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞(CC)、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。

基于近攻击源部署的应用层DDOS检测方法

应用层DDoS的大流量攻击逐渐呈现高发态势,现有攻击检测方法均在大规模流量进入目标主机时才能根据检测结果进行反应,但以TB为单位的大流量进入主机后可能在检测系统预警前就已经发生宕机。为此,提出一种基于近攻击源部署的应用层DDoS攻击检测方法,将检测节点前向部署于近攻击源处,通过定时和强化学习将正常流量进行信息融合至目标处,在检测攻击的同时拦截攻击流量。实验结果表明,该系统具有良好的检测率和拦截率,能够削弱攻击流量对于目标主机的危害,以期为解决应用层DDoS的大流量攻击提出新的解决方法。

基于偏二叉树SVM多分类算法的应用层DDoS检测方法

针对基于流量特征的应用层DDo S检测方法侧重于检测持续型应用层DDo S攻击,而忽略检测上升型与脉冲型应用层DDo S攻击的问题,提出一种综合检测多类型应用层DDo S攻击的方法。首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现HTTP GET数的快速统计功能,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后采用偏二叉树结构组合SVM分类器分层训练特征参数,并结合遍历与反馈学习的方法,提出基于偏二叉树SVM多分类算法的应用层DDo S检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDo S流量。实验表明,所提算法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高的检测率与更低的误检率,且能有效区分出具体攻击类型。

基于用户忠实度的应用层DDoS防御模型

针对应用层DDoS(application layer DDoS,App-DDoS)攻击,提出一种基于用户忠实度的ULDM(user loyalty defense model)防御模型,其根据用户对网站的忠实程度来区分正常用户和攻击用户。用户忠实度包含访问频率忠实度和行为忠实度,行为忠实度又包括历史行为忠实度和当前行为忠实度。从用户长期以来在请求频率和请求负载两方面的表现对用户行为进行评估,得到用户行为忠实度,根据用户长期以来对网站的访问频率得到用户访问频率忠实度;通过调度模块根据用户忠实度对请求进行调度。模拟实验验证了该模型的有效性。

基于流量分析的App-DDoS攻击检测

针对当前应用层分布式拒绝服务攻击(App-DDoS)检测方法高度依赖于系统日志,且检测攻击类型单一的问题,提出了基于卡尔曼滤波和信息熵的联合检测模型DFM-FA(detection and filtering model against App-DDoSattacks based on flow analysis),将应用层的行为异常检测映射为网络层的流量异常检测,最大限度地保证了合法用户的优先正常访问。实验证明,DFM-FA既不依赖于系统日志,同时又能检测到FTP、DNS等多种App-DDoS攻击。

基于最大频繁序列模式挖掘的App-DDoS攻击的异常检测

为了动态、准确、高效地描述用户的访问行为,实现对不同应用层分布式拒绝服务(Application-layerDistributed Denial of Service,App-DDoS)攻击行为的透明检测,该文提出基于最大频繁序列模式挖掘的ADA_MFSP(App-DDoS Detection Algorithm based on Maximal Frequent Sequential Pattern mining)检测模型。该模型在对正常Web访问序列数据库(Web Access Sequence Database,WASD)及待检测WASD进行最大频繁序列模式挖掘的基础上,引入序列比对平均异常度,联合浏览时间平均异常度、请求循环平均异常度等有效检测属性,最终实现攻击行为的异常检测。实验证明:ADA_MFSP模型不仅能有效检测各类App-DDoS攻击,且有良好的检测灵敏度。

Web应用防火墙的设计与实现

大部分Web应用都存在安全漏洞从而为攻击者提供了一扇攻击的大门,并且传统安全设备如网络防火墙、入侵检测系统只能保护开放系统互连(OSI)参考模型的较低层,并不能有效防御应用层的攻击。在分析了主流的Web应用层的攻击方法后提出一个Web应用防火墙的整个实现架构和一些过滤策略。Web应用防火墙用Python实现,经测试,可以有效地阻止各种恶意的攻击,如SQL注入、跨站脚本攻击和应用层拒绝服务攻击。