分布式拒绝服务(distributed denial of service,DDoS)攻击自出现以来一直是全球互联网网络安全的重要威胁之一。目前很多DDoS攻击检测方法虽然对已知类型攻击具有较高的检测率,但是不能有效识别新的攻击类型,无法应对DDoS攻击形式变化...分布式拒绝服务(distributed denial of service,DDoS)攻击自出现以来一直是全球互联网网络安全的重要威胁之一。目前很多DDoS攻击检测方法虽然对已知类型攻击具有较高的检测率,但是不能有效识别新的攻击类型,无法应对DDoS攻击形式变化多和快的特点。为了准确检测出DDoS攻击,同时使检测模型具有良好的自适应性、扩展性和较低的更新代价,以应对层出不穷的DDoS攻击,提出了一种综合考虑网络流量双向特征、固定特征和统计特征,采用增量式GHSOM(Growing Hierarchical Self-Organizing Maps)神经网络算法的DDoS攻击检测方法。首先,根据DDoS攻击流量的特点提取流量特征,组成流量八元组联合特征,然后利用增量式GHSOM神经网络算法进行异常流量分析,最后,通过实验验证检测方法的有效性。实验结果表明,提出的DDoS攻击检测方法不仅能够有效检测出已知类型的DDoS攻击,而且能够实现对检测模型的在线动态更新,对于新出现的DDoS攻击类型,具有相同的检测率。展开更多
近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,...近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast⁃Flux域名检测方法。利用DNS协议、黑白名单、DNS流量实时特征对流量数据进行过滤,采用基于信息增益率和基尼系数线性组合的随机森林算法作为模型训练算法,然后用实验数据集和现网真实数据集对所提的方法进行验证。实验结果证明,该方法能够有效识别出Fast⁃Flux域名,并且具有较高的精确率。展开更多
文摘近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast⁃Flux域名检测方法。利用DNS协议、黑白名单、DNS流量实时特征对流量数据进行过滤,采用基于信息增益率和基尼系数线性组合的随机森林算法作为模型训练算法,然后用实验数据集和现网真实数据集对所提的方法进行验证。实验结果证明,该方法能够有效识别出Fast⁃Flux域名,并且具有较高的精确率。
