基于重尾特性的SYN洪流检测方法

单独以SYN/TCP值判断网络是否发生SYN洪流攻击的检测效率较低,且SYN洪流攻击不能模拟正常网络流量的重尾分布特性。该文提出将SYN/TCP的统计阈值和流量重尾特性相结合来检测SYN洪流攻击的方法,并用MIT的林肯实验室数据进行了实验。实验证明该方法简便、快捷、有效。

源端网络中SYN洪流攻击的自适应检测

根据TCP连接建立过程中SYN请求分组与SYN/ACK应答分组一一对应的特性,提出了一种针对SYN洪流攻击的源端网络自适应检测方法.该方法采用简单滑动平均算法对实时统计数据进行平滑,根据对检测统计量的均值和方差的在线估计自动调整检测门限,并利用连续累计检测法来降低突发网络异常对检测结果的影响.性能分析和仿真验证结果表明,在检测时延不超过6个采样周期的要求下,该方法可检测的最低攻击流量约为正常流量的30%,并且检测结果的虚警概率低于10-6,漏警概率低于10-2.

基于.NET平台的SYN Flood攻击测试的实现

为解决SYN Flood攻击测试问题,基于.NET平台设计实现了一个SYNFlood攻击测试软件。分析了TCP协议建立连接的三次握手过程,探讨了SYNFlood攻击的原理。在分析TCP/IP报文格式的基础上,采用C#语言定义了报文首部结构,给出了计算校验和的方法。基于微软.NET平台利用RawSocket技术,实现了原始TCP/IP协议报文的生成和发送,进而开发了SYN Flood攻击测试软件SynSender。利用SynSender完成了多种情形下的实验,并对实验结果进行了分析,实验结果表明了SynSender进行SYN Flood攻击测试的有效性。

基于SYN的DDoS攻击的判定和过滤机制

介绍了基于SYN的分布式拒绝服务(Distributed Denial of Service,DDoS)的原理,提出基于数据包流量的检测方法及包过滤机制。通过计算当前瞬时流量与预测流量的偏离程度及半连接数量,判断主机是否受到攻击。攻击发生后,通过在SYN包中加入认证码进行过滤,降低分布式拒绝服务攻击的危害。

浅议TCP SYN Flooding攻击

介绍了TCP协议建立连接的过程及存在的安全问题 ,以及由此而引起的TCPSYNFlooding(TCPSYN洪流 )拒绝服务攻击 ,并介绍了几种简便有效的防范措施。

基于DDoS的TCP SYN攻击与防范

分布式拒绝服务攻击(DDoS)是出现在这几年的一种具有很强攻击力而又缺乏有效防御手段的Internet攻击手段,是目前网络安全界研究的热点。TCP SYN 洪流攻击是最常见的DDoS攻击手段之一。文中在对DDoS攻击进行深入研究的基础上,着重对TCP SYN 洪流攻击及其防范措施进行了深入研究,提出了一种新的综合攻击检测技术,较好地解决了对此类攻击的防范问题。

一种自适应非参量CUSUM控制图算法

针对CUSUM控制图中存在的固定检测门限和对异常终止反应迟钝的缺点,提出了一种自适应的非参量CUSUM控制图算法。该算法首先利用固定门限剔除野值,同时简化了对显著异常的检测过程。然后,采用简单滑动平均算法对非野值数据进行平滑,并基于切比雪夫不等式理论对平滑后的数据进行转换,使之满足非参量CUSUM算法的使用条件。最后,由算法根据数据转换结果自适应地设置CUSUM算法中的检测门限,并在发出异常告警后实施异常终止监控。在针对SYN洪流攻击的仿真检测试验中,利用该算法能够在检测时延不超过7个采样周期且攻击持续期间不发生漏警的要求下,准确地检测出最低攻击流量仅为正常业务流量20%的攻击行为。

IP欺骗原理分析

IP欺骗是一种复合型网络攻击技术。它将IP地址伪造技术、TCPSYN洪流攻击技术与TCP序列号猜测技术融为一体,并且在攻击过程中利用了具有信任关系的主机间采取的基于地址的认证方式。论文在介绍TCP/IP相关知识的基础上对IP欺骗的原理进行了全面、详尽的分析。