骨干网络流量行为特征：DoS/DDoS攻击实时检测与异常识别

本文探讨了"流量行为特征骨干网络DoS & DDoS攻击检测与异常流识别"这一主题，发表在2013年的《计算机应用》期刊上，由周颖杰、焦程波、陈慧楠、马力和胡光岷等人合作完成。他们针对当前网络防御技术存在的局限——仅依赖粗粒度的流量特征参数来检测DoS（拒绝服务）和DDoS（分布式拒绝服务）攻击，提出了一个创新的方法。 首先，该方法通过分析粗粒度的流量行为特征参数，精确地定位到流量异常行为可能发生的时间点，确保检测的实时性。这一步骤对于快速响应网络威胁至关重要。然后，研究人员在每一个异常行为发生的时间点，对流量进行更为细致的细粒度特征参数分析，以便识别出异常行为指向的具体目标IP地址。这一步骤有助于缩小攻击源头，提高攻击定位的准确性。 接下来，他们对与异常行为相关的流量进行综合分析，利用信息熵等统计学工具，深入理解流量模式，以此判断异常行为是否属于DoS攻击或DDoS攻击。这种方法强调了流量特征的深度挖掘和模式识别，旨在提高检测的精准性和有效性。 实验结果通过仿真实验验证了这一方法的有效性，能够在保证实时性的前提下，准确地识别出骨干网络中发生的DoS和DDoS攻击，并能够有效地从大量的网络流量中区分出攻击流量，降低了误报和漏报的风险。 关键词涵盖了本研究的核心内容，包括异常检测、异常流识别、骨干网络以及流量分析，这些都体现了作者对网络安全防护技术的深入理解和实践经验。这篇研究论文为提高网络攻击的检测和识别能力提供了新的思路和技术支持，对网络安全领域的研究具有重要意义。