Optimization of Stealthwatch Network Security System for the Detection and Mitigation of Distributed Denial of Service (DDoS) Attack: Application to Smart Grid System

The Smart Grid is an enhancement of the traditional grid system and employs new technologies and sophisticated communication techniques for electrical power transmission and distribution. The Smart Grid’s communication network shares information about status of its several integrated IEDs (Intelligent Electronic Devices). However, the IEDs connected throughout the Smart Grid, open opportunities for attackers to interfere with the communications and utilities resources or take clients’ private data. This development has introduced new cyber-security challenges for the Smart Grid and is a very concerning issue because of emerging cyber-threats and security incidents that have occurred recently all over the world. The purpose of this research is to detect and mitigate Distributed Denial of Service [DDoS] with application to the Electrical Smart Grid System by deploying an optimized Stealthwatch Secure Network analytics tool. In this paper, the DDoS attack in the Smart Grid communication networks was modeled using Stealthwatch tool. The simulated network consisted of Secure Network Analytic tools virtual machines (VMs), electrical Grid network communication topology, attackers and Target VMs. Finally, the experiments and simulations were performed, and the research results showed that Stealthwatch analytic tool is very effective in detecting and mitigating DDoS attacks in the Smart Grid System without causing any blackout or shutdown of any internal systems as compared to other tools such as GNS3, NeSSi2, NISST Framework, OMNeT++, INET Framework, ReaSE, NS2, NS3, M5 Simulator, OPNET, PLC & TIA Portal management Software which do not have the capability to do so. Also, using Stealthwatch tool to create a security baseline for Smart Grid environment, contributes to risk mitigation and sound security hygiene.

基于SDN架构的DDoS攻击检测研究

SDN采用集中控制方式,实现了网络管理的可视化和动态化,是当前新型的网络架构。但SDN设计之初,未考虑安全问题,在DDoS攻击如此盛行的当下,开展SDN架构下的攻击检测研究非常必要。在分析了SDN架构机制后,针对DDoS攻击,研究了攻击检测模块的位置部署,设计出多层次协同检测方案。针对攻击检测建模问题,设计出基于集成学习算法的独立建模方案。从KDDCUP99数据集中无放回抽取两组样本,选用SVM和adaBoost算法先后进行独立建模和样本组合建模。使用adaBoost算法对样本的分类性能有一定的提升,单独建模未对样本分类性能带来影响,在teardrop上还表现出高于总样本的分类效果。实验结果可知,独立建模用于转发平面和控制平面的协同检测方案,具有一定的可行性。该方案从降低SDN集中控制中心的负担出发,为网络的有效管理提供了保障,对SDN架构的攻击检测具有一定的指导意义。

一种基于带权CAT的DDoS分布式检测方法

针对DCD(distributed change-point detection)方案存在受害端开销大、检测率低等问题,提出了一种基于带权CAT(change aggregation trees)的检测方案.采用分布式分级体系结构,将检测任务分布到互联网源端、中间网络和受害端,实现攻击的早期检测;利用CUSUM算法对微小变化的敏感性,在源端主机和中间网络的路由器处进行基于到达目标数据包数量的检测以及基于超级流聚合变化的检测;受害端进行基于域树权重的检测.实验和分析表明,CAT方案对UDP攻击的检测率从DCD的最高0.72提高到0.94,TCP攻击检测率也略有提高;网络的通信开销和受害端的存储开销从o(mnk)降为o(mk),受害端的计算开销从o(mn)降为o(m).系统在实现检测的同时,获得了攻击路径和攻击的准确位置,实现了DDoS攻击的分布式追踪.

一种基于回溯的Web上应用层DDOS检测防范机制

分布式拒绝服务攻击(Distributed Denial of Service)是一种攻击者使用各种方法,试图将攻击目标的网络资源和系统资源消耗殆尽,使之无法向真正的合法用户提供服务的攻击。随着技术的进一步发展,基于网络层上的DDOS攻击得到了很大程度上的削弱。然而,越来越多的攻击出现在了应用层,攻击的形式更加多样和复杂。从下层协议的角度来看,攻击中涉及的流量可能是合法的,使得检测和防范工作愈发困难。文中以实例为基础,解释基于应用层的攻击原理和方法,结合现有的技术,总结出检测和防范的机制并进行改进。

DDoS攻击原理与防范方法

分布式拒绝服务攻击是目前Internet所面临的最严峻的威胁之一。给出分布式拒绝服务攻击的原理和常用攻击方法,介绍了与其与网络病毒、漏洞和端口反弹技术相互融合的情况。分析了检测分布式拒绝服务攻击的方法,并从多个角度给出了防范措施。

基于生物免疫原理的DDoS攻击检测方法研究

随着社会信息化建设的不断发展,互联网成为许多行业的基础平台,DDoS攻击严重威胁到网络的安全.针对DDoS攻击对网络造成的严重威胁问题,提出了利用生物免疫原理来研究DDoS攻击的检测方法,在该方法中,利用信息熵、响应率和参数变化比率等方法进行特征提取,建立DDoS特征库,在此特征库的基础上通过DDoS检测算法实现对DDoS攻击的识别与过滤.实验结果证明该方法可行、有效,为DDoS攻击的检测与防范提供重要依据.

基于ISP网络的DDoS攻击防御方法研究

针对DDoS攻击在ISP网络中的行为特点,提出了一种基于ISP网络的DDoS攻击协作防御方法。该方法从流量信息中构造出攻击会聚树,并根据攻击会聚树找出攻击数据流在ISP网络中的源,在源头对攻击数据流进行控制,从而达到在ISP网络内防御DDoS攻击的目的。该方法克服了在整个网络中防御DDoS攻击耗资巨大的缺点。实验结果表明,该方法能够快速有效了实现对DDoS攻击的防御。

基于全局信息熵背离度的低速DDoS攻击协作探测与IP回溯算法

低速DDoS攻击具有很好的隐蔽性,能轻易躲避目前基于网络通信流的异常探测。描述了一个基于全局信息熵背离度的协作探测方法和IP回溯跟踪算法,其通过使用正常通信流和攻击流的信息熵背离度来监控网络低速DDoS攻击行为,并能进行IP回溯跟踪所有的攻击源直到其所在的局域网络。模拟实验结果显示,该算法在探测低速DDoS攻击方面,比香农熵法具有更高的灵敏度,并比现行Kullback-Leibler度量法更有效且能明显地减少漏报率。

对DDOS攻击的研究与防范

由于DDOS攻击比DOS攻击具有更强大的破坏力,因此基于DDOS攻击衍生出多种防范措施,如基于网络流量的异常检测,通过收集到的正常连接数据运用数学函数生成一个阈值,超过此阈值,即发出警报,或者快速检测伪造IP的方法。为了达到该目的,通过流量分析系统评估正常流量的TTL,作为可访问主机的参考。若所收到的数据包其中TTL与正常TTL不符,则判定此源Ip为伪造Ip。本文提出一种基于web访问路径的DDOS攻击防御模型(UAP),UAP部署在web服务器与应用服务器之间,通过对请求路径、请求分布、路径循环、行为时隙与路径长度进行异常检测,检测结果能分辨DDOS攻击与正常用户访问,并且基于SDN架构来防范DDOS攻击,在SDN架构中简化了数据转发分组的过程,通过中心控制器连接了所有交换机,从而能实时获取网络中信息因此能对DDOS攻击做出快速反应。该文针对DDOS攻击中通过UDP包攻击的基本原理及其种类,包括对Trinoo攻击的检测及防范为例,对分布式拒绝服务攻击的若干问题展开探讨。

DDoS攻击原理及其检测方法探究

DDoS攻击是近年来对Internet具有巨大影响的恶意攻击方式,给互联网业务带来了巨大的损失。文章介绍了DDoS攻击的原理、常见方式,最后提出了DDoS攻击检测的方法。

基于记忆原理的推荐系统托攻击检测模型

提出一种基于记忆原理的推荐系统托攻击检测模型。利用短时记忆元和长时记忆元所描述的记忆增强和衰减规律,以及这2种记忆元与综合记忆元的联系,对托攻击进行检测。该模型的特征记忆库可及时更新,由此节省系统开销。实验结果证明,基于该模型的推荐系统具有较高的托攻击检测正确率。