IPv6中一种基于卷积的DDoS攻击两阶段防御机制

针对IPv6快速普及背景下分布式拒绝服务(DDoS)攻击威胁不断增长的现状,提出一种两阶段的DDoS攻击防御机制,包括初期实时监控DDoS攻击发生的预检测阶段,以及告警后精准过滤DDoS攻击流量的深度检测阶段.首先,分析IPv6报文格式并解析PCAP流量捕获文件中的16进制头部字段作为样本元素.其次,在预检测阶段,引入轻量化二值卷积神经网络(BCNN),设计一种二维流量矩阵作为模型输入,整体感知网络在混杂DDoS流量后出现的恶意态势作为告警DDoS发生的证据.告警后,深度检测阶段介入,引入一维卷积神经网络(1DCNN)具体区分混杂的DDoS报文,从而下发阻断策略.在实验中,自建IPv6-LAN拓扑并基于NAT 4to6技术重放CIC-DDoS2019公开集生成纯IPv6-DDoS流量源测试.结果证明,所提机制提升针对DDoS攻击的响应速度、准确度和攻击流量过滤效率,当DDoS流量出现仅占总网络6%和10%时,BCNN就能以90.9%和96.4%的准确度感知到DDoS攻击的发生,同时1DCNN能够以99.4%准确率区分DDoS报文并过滤.

基于时空图神经网络的应用层DDoS攻击检测方法

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络安全的主要威胁之一,其中应用层DDoS攻击是主要的攻击手段。应用层DDoS攻击是针对具体应用服务的攻击,其在网络层行为表现正常,传统安全设备无法有效抵御。同时,现有的针对应用层DDoS攻击的检测方法检测能力不足,难以适应攻击模式的变化。为此,文章提出一种基于时空图神经网络(Spatio-Temporal Graph Neural Network,STGNN)的应用层DDoS攻击检测方法,利用应用层服务的特征,从应用层数据和应用层协议交互信息出发,引入注意力机制并结合多个GraphSAGE层,学习不同时间窗口下的实体交互模式,进而计算检测流量与正常流量的偏差,完成攻击检测。该方法仅利用时间、源IP、目的IP、通信频率、平均数据包大小5维数据便可有效识别应用层DDoS攻击。由实验结果可知,该方法在攻击样本数量较少的情况下,与对比方法相比可获得较高的Recall和F1分数。

基于流量特征重构与映射的物联网DDoS攻击单流检测方法

针对现有检测方法对物联网(IoT)分布式拒绝服务(DDoS)攻击响应速度慢、特征差异性低、检测性能差等不足,提出了一种基于流量特征重构与映射的单流检测方法(SFDTFRM)。首先,为扩充特征,使用队列按照先入先出存储定长时间跨度内接收的流量,得到队列特征矩阵。其次,针对物联网设备正常通信流量与DDoS攻击流量存在相似性的问题,提出一种与基线模型相比更加轻量化的多维重构神经网络模型与一种函数映射方法,改进模型损失函数按照相应索引重构队列定量特征矩阵,并通过函数映射方法转化为映射特征矩阵,增强包括物联网设备正常通信流量与DDoS攻击流量在内的不同类型流量之间的差异和同类型流量的相似性。最后,使用文本卷积网络、信息熵计算分别提取映射特征矩阵和队列定性特征矩阵的频率信息,得到拼接向量,丰富单条流量的特征信息并使用机器学习分类器进行DDoS攻击流量检测。在两个基准数据集上的实验结果表明,SFDTFRM能够有效检测不同类型的DDoS攻击,检测性能指标平均值与现有方法相比最多提升12.01%。

基于多模态神经网络流量特征的网络应用层DDoS攻击检测方法

农业设备、传感器和监控系统与网络的连接日益紧密,给农村配电网带来了新的网络安全挑战。其中,分布式拒绝服务(DDoS)攻击是一种常见的网络威胁,对农村配电网的安全性构成了严重威胁。针对农村配电网的特殊需求,提出一种基于多模态神经网络流量特征的网络应用层DDoS攻击检测方法。通过制定网络应用层流量数据包捕获流程并构建多模态神经网络模型,成功提取并分析了网络应用层DDoS攻击流量的特征。在加载DDoS攻击背景下的异常流量特征后,计算相关系数并设计相应的DDoS攻击检测规则,以实现对DDoS攻击的有效检测。经试验分析,所提出的方法在提取DDoS攻击相关特征上表现出色,最大提取完整度可达95%,效果明显优于对比试验中基于EEMD-LSTM的检测方法和基于条件熵与决策树的检测方法。

入侵意图分析下的软件定义网络DDoS攻击检测方法

为在数据样本回溯期内解决因本地信息熵值增大而造成的服务攻击问题,维护软件定义网络的运行安全性,提出入侵意图分析下的软件定义网络分布式拒绝服务(DDoS)攻击检测方法。按照软件定义网络场景重构原则,确定因果网转换标准,实现对识别参数的更新处理,完成攻击性行为的入侵意图分析,再定义DDoS数据集,根据攻击行为的时空特性,求解模型参数的取值范围,完成入侵意图分析下软件定义网络DDoS攻击检测方法的设计。实验结果表明,在该算法控制下数据样本回溯期为10 min,低于传统算法,能够较好维护软件定义网络的运行安全性。

Unknown DDoS Attack Detection with Fuzzy C-Means Clustering and Spatial Location Constraint Prototype Loss

Since its inception,the Internet has been rapidly evolving.With the advancement of science and technology and the explosive growth of the population,the demand for the Internet has been on the rise.Many applications in education,healthcare,entertainment,science,and more are being increasingly deployed based on the internet.Concurrently,malicious threats on the internet are on the rise as well.Distributed Denial of Service(DDoS)attacks are among the most common and dangerous threats on the internet today.The scale and complexity of DDoS attacks are constantly growing.Intrusion Detection Systems(IDS)have been deployed and have demonstrated their effectiveness in defense against those threats.In addition,the research of Machine Learning(ML)and Deep Learning(DL)in IDS has gained effective results and significant attention.However,one of the challenges when applying ML and DL techniques in intrusion detection is the identification of unknown attacks.These attacks,which are not encountered during the system’s training,can lead to misclassification with significant errors.In this research,we focused on addressing the issue of Unknown Attack Detection,combining two methods:Spatial Location Constraint Prototype Loss(SLCPL)and Fuzzy C-Means(FCM).With the proposed method,we achieved promising results compared to traditional methods.The proposed method demonstrates a very high accuracy of up to 99.8%with a low false positive rate for known attacks on the Intrusion Detection Evaluation Dataset(CICIDS2017)dataset.Particularly,the accuracy is also very high,reaching 99.7%,and the precision goes up to 99.9%for unknown DDoS attacks on the DDoS Evaluation Dataset(CICDDoS2019)dataset.The success of the proposed method is due to the combination of SLCPL,an advanced Open-Set Recognition(OSR)technique,and FCM,a traditional yet highly applicable clustering technique.This has yielded a novel method in the field of unknown attack detection.This further expands the trend of applying DL and ML techniques in the development of intrusion detection systems and cybersecurity.Finally,implementing the proposed method in real-world systems can enhance the security capabilities against increasingly complex threats on computer networks.

基于深度学习和集成学习的DDoS攻击检测方法

针对DDoS攻击检测问题,提出一种深度集成学习算法,可以有效检测DDoS攻击并解决分类不平衡问题。该算法使用一种类权重投票算法并由若干深度学习子模型组成,子模型采用1D-CNN和BILSTM提高模型时序提取性能,并利用2D-CNN提取空间特征,综合捕捉了样本的时空特性。在数据处理方面,通过对实验数据流量基于IP等特征进行分段,并将其转换为灰度图像,增强了模型对时空特征的感知能力,同时避免了传统手动特征提取可能引起的数据缺失问题。实验结果表明,该方法在多分类问题上达到了99.63%的准确率,可以准确检测DDoS攻击流量。

基于节点路径重构和ELM的无线通信网络DDoS攻击源追踪

在无线通信网络中,DDoS攻击通常涉及大量的攻击者和恶意节点,并以多种形式发起攻击。攻击流量经过中间节点和反射/放大攻击等技术手段后变得更加复杂,追踪其溯源路径和确定唯一的攻击源变得复杂。为此,文中研究基于节点路径重构和ELM的无线通信网络DDoS攻击源追踪方法。通过正则化方式优化ELM的参数,检测获取DDoS攻击数据包;采用路由器标记算法标记DDoS攻击数据包,在无线通信网络域间重构攻击节点路径,获取DDoS攻击源位置,完成无线通信网络DDoS攻击源追踪。实验结果证明:文中方法可精准检测获取DDoS攻击数据包,并完成攻击数据包的标记,且可有效重构攻击节点路径,追踪到DDoS攻击源。

基于Stacking的DDoS攻击检测方法

近年来DDoS攻击检测多采用机器学习的方法,Stacking便是其一,现阶段Stacking初级学习器的配置方法多为固定搭配,但由于DDoS攻击的复杂性和动态性,静态的配置策略显得灵活性较差。对此提出QGA-Stacking算法,即利用量子遗传算法(QGA)动态地选取Stacking中评价指标最高的一组学习器组合,从而提高检测模型的准确性和灵活性;提出一组最佳特征集来节省计算成本。经过实验对比,充分证明了QGA-Stacking算法相较于其他3种主流算法,其检测性能更加显著,最佳特征集的选取也较为合理。

基于轻量级卷积神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)可以攻击、侵入、破坏物联网设备。在COVID-19期间,将大量物联网终端设备用于疫情防控加速了信息交换频率,但过于简单的网络安全防御方式也让网络安全问题成为热议话题。深度学习(DL)已被广泛应用于网络安全领域,用于检测和应对各类安全等级较低的网络环境。针对具备简单结构的智能终端,传统DL模型对计算和内存资源的需求较高,在应对大量流量攻击时,往往需要额外的运行成本。提出一种基于自注意力机制与轻量级卷积神经网络(Self-attention-LCNN)的模型,通过以流为单位,对特定时间段内的数据包提取特征,用于检测和预防复杂网络环境中针对智能终端的DDoS攻击。Self-attention-LCNN模型在CICDDos2019数据集上的准确率为99.21%,将模型部署在树莓派上得到的平均检测率为93%,说明Self-attention-LCNN模型在资源受限的智能终端攻击检测方面具有良好的识别效果。

基于动态阈值的可变速率DDoS攻击检测方法

针对可变速率DDoS攻击检测难的问题,提出了一种基于动态阈值的可变速率DDoS攻击检测方法。该方法根据DDoS攻击流量特征,生成动态阈值,并应用冻结机制防止动态阈值参数被攻击流量污染,同时结合网络流的特征,使用BiLSTM模型双向学习经过时间分割的网络流量,提取更多特征,识别可变速率DDoS攻击。在NSL-KDD数据集上进行实验,召回率达到98%,精度达到95%。实验表明:相比于固定阈值DDoS和传统动态阈值DDoS攻击检测方法,本文提出的方法在检测精度上有所提升,对DDoS攻击的检测能力有了显著提高。

Cybernet Model:A New Deep Learning Model for Cyber DDoS Attacks Detection and Recognition

Cyberspace is extremely dynamic,with new attacks arising daily.Protecting cybersecurity controls is vital for network security.Deep Learning(DL)models find widespread use across various fields,with cybersecurity being one of the most crucial due to their rapid cyberattack detection capabilities on networks and hosts.The capabilities of DL in feature learning and analyzing extensive data volumes lead to the recognition of network traffic patterns.This study presents novel lightweight DL models,known as Cybernet models,for the detection and recognition of various cyber Distributed Denial of Service(DDoS)attacks.These models were constructed to have a reasonable number of learnable parameters,i.e.,less than 225,000,hence the name“lightweight.”This not only helps reduce the number of computations required but also results in faster training and inference times.Additionally,these models were designed to extract features in parallel from 1D Convolutional Neural Networks(CNN)and Long Short-Term Memory(LSTM),which makes them unique compared to earlier existing architectures and results in better performance measures.To validate their robustness and effectiveness,they were tested on the CIC-DDoS2019 dataset,which is an imbalanced and large dataset that contains different types of DDoS attacks.Experimental results revealed that bothmodels yielded promising results,with 99.99% for the detectionmodel and 99.76% for the recognition model in terms of accuracy,precision,recall,and F1 score.Furthermore,they outperformed the existing state-of-the-art models proposed for the same task.Thus,the proposed models can be used in cyber security research domains to successfully identify different types of attacks with a high detection and recognition rate.

基于SDN架构的DDoS异常攻击检测技术研究

介绍了DDoS攻击的定义及原理,梳理了检测SDN环境中DDoS攻击的BPNN算法、K-Means聚类算法、强化学习、深度学习等不同机器学习算法的特点,并通过这些特点进行对比与分析,对后续DDoS攻击开展更精确的检测分析及后续防御工作提供技术支持。

人工智能在预测和防御DDoS攻击中的应用

针对分布式拒绝服务(DDoS)攻击在网络安全领域造成的严峻挑战,文中提出了一种基于人工智能的DDoS攻击预测模型,并详细讨论了模型的构建、数据集与特征选择、模型训练与验证过程。同时,探讨了人工智能技术在DDoS攻击实时监控、异常检测、自动化响应及模型优化调整方面的应用。结果表明,利用人工智能技术可以有效提高针对DDoS攻击的预测准确性和防御效率,为网络安全提供新的解决方案。

基于隐马尔可夫模型的医院通信网络DDoS攻击检测方法

常规的医院通信网络DDoS攻击检测矩阵结构一般设定为独立形式,致使攻击检测范围的扩大受到限制,进而一定程度上导致DDoS攻击检测召回率下降。针对上述问题,文章提出了一种基于隐马尔可夫模型的医院通信网络DDoS攻击检测方法。该方法根据当前的测定需求及标准对DDoS攻击进行特征提取,采用多目标的方式设计检测矩阵,解析DDoS攻击方向具体位置以及攻击的范围。在此基础上,构建隐马尔可夫医院通信网络DDoS攻击检测模型,采用多元识别+组合处理的方式来实现DDoS攻击的检测目标。测试结果表明:采用本文所设计的方法,DDoS攻击检测召回率可以达到80%以上,对于医院通信网络的攻击检测效率更高,泛化能力明显提升,具有实际的应用价值。

基于机器学习的DDoS攻击网络流量识别方法

分布式拒绝服务(DDoS)攻击已然成为一种严重的网络安全威胁,文章介绍了DDoS攻击的概念、主要类型及其特征,概述了当前网络流量分析领域的研究现状,提出了构建流量统计特征、应用主成分分析进行流量降维的方法,采用了支持向量机和随机森林2种算法识别与分类DDoS攻击流量。

基于GRU神经网络的IPv6 DDoS攻击实时检测与防御研究

针对IPv6的大规模DDoS攻击,需要开发出更为高效的攻击检测和防御手段。研究分析了IPv6 DDoS攻击的特点,介绍了基于机器学习的攻击检测技术,以及常见的分布式拒绝服务(DDoS)防御策略,构建了基于门控循环单元(GRU)的深度学习DDoS检测模型,通过提取流量统计特征和频域特征,训练GRU网络进行攻击识别,设计了集成GRU检测与执行防御策略的IPv6 DDoS防御系统。

面向边缘计算的TCA1C DDoS检测模型

边缘计算弥补了传统云计算数据传输开销大的不足,但边缘网络中存储和计算资源受限的特殊性限制了其部署复杂安全算法的能力,更易受到分布式拒绝服务(DDoS)攻击。针对目前边缘网络中DDoS攻击检测方法性能不高、未对卸载任务分类处理、对多属性的流量处理能力弱的问题,提出一种基于任务分类的Attention-1D-CNN DDoS检测模型TCA1C,对通信链路中的流量按不同的卸载任务进行分类,使单个任务受到攻击时不会影响整个链路中计算任务卸载的安全性,再对同一任务下的流量提取属性值并进行归一化处理。处理后的数据输入到Attention-1D-CNN,通道Attention和空间Attention学习数据特征对DDoS检测的贡献度,利用筛选函数剔除低于特征阈值的冗余信息,降低模型学习过程的复杂度,使模型快速收敛。仿真结果表明:TCA1C模型在缩短DDoS检测所用时间的情况下,检测准确率高达99.73%,检测性能优于DT、ELM、LSTM和CNN;当多个卸载任务在面临特定攻击概率时,卸载任务分类能有效降低不同任务的相互影响,使终端设备的计算任务在卸载过程中保持较高的安全性。

基于熵和SVM算法的DDoS攻击检测

针对软件定义网络(SDN)易受分布式拒绝服务(DDoS)攻击这一缺陷,提出基于熵和支持向量机(SVM)算法的DDoS攻击检测方法。在对网络中的流信息进行熵值检测时,若熵值无法判断,则从Packet-In事件中解析出所需特征值,并运用SVM算法分类预测DDoS攻击状态。应用Mininet模拟器和RYU控制器建立模型进行仿真检测,检测精度较高,抵御DDoS攻击的实时性良好。

面向SDN的DDoS攻击细粒度化检测策略

在针对SDN架构的网络攻击中,分布式拒绝服务(DDOS)攻击是目前实施最简单,组织化最普遍,危害性最大的网络攻击之一,针对现有抵御方式中存在的特征选取僵化,无法识别零日攻击且检测精度不高等问题。提出基于熵率度量(ERM)和卷积神经网络(CNN)的混合检测方法,该方法以熵率计算和细粒度深度学习算法构建检测机制,以求检测多类型及多体量攻击。实验证明,所提出的方法能够满足实际应用中对于零日攻击的检测要求且针对正常用户流量激增事件具有良好的反应机制。