*** 攻击实验模拟软件, *** 模拟软件实验原理

* 攻击实验模拟软件, * 模拟软件实验原理

作者:hacker | 分类:破解 | 浏览:126 | 日期:2022年07月13日

1、如何用matlab模拟无尺度 *** 收到随机攻击
2、租一个云服务器可以在上面实验 *** 攻击吗？
3、 *** 实验.下载IIS，用nmap，nessus，x-scan扫描，收集得到的信息;或者用控制台的命令，word电子版2页。
4、怎么用思科模拟器做 *** 攻击实验
5、我的笔记本联网的时候显示dns服务器异常，这是 *** 服务商的问题还是我的本设置有问题？
6、WinArpAttacker3.72 这个ARP攻击软件能用于无线局域 *** 的ARP攻击吗？

如何用matlab模拟无尺度 *** 收到随机攻击

tic;

%%%%%% 四个输入变量

I=10; %% 表示现实的次数,I要大于或者等于3,才能对节点的度数用邻接矩阵进行统计

N=1000; %% 表示 *** 的节点的个数

m0=3; %% 表示 *** 的初始节点个数

m=1; %% 表示新点与旧 *** 连边的数目

realization_of_distribution=sparse(I,N);

for J=1:I % 对I次现实做平均，然后用这个平均值近似 *** 的度分布

format long;

adjacent_matrix=sparse(m0,m0);

for i=1:m0

for j=1:3

if j~=i

adjacent_matrix(i,j)=1;

end

adjacent_matrix=sparse(adjacent_matrix);

node_degree=sparse(1,m0); % node_degree表示各个节点的度数

for p=1:m0

%last_element=sparse(m0,1);

%last_element=cumsum(adjacent_matrix(1:m0,p));

%node_degree(p)=last_element(m0);

node_degree(p)=sum(adjacent_matrix(1:m0,p));

end

%%%%%%%%%%%%%%%%%%%%%%%%%

% 每次加入一个新点，新点和老点之间按照择优概率进行连接，

% 值得注意的是，每次新点加入之后， *** 的择优概率都发生变化，

% 每一次循环都是一个相对独立的整体，要把流程进行分割处理

for iteration=4:N

[J,iteration]; % 控制现实和迭代的次数

total_degree=2*m*(iteration-4)+6; %%% 迭代之前的 *** 各个节点的度数之和

degree_frequency=node_degree/total_degree; %%% 每个节点的度数的频数，这是新点连边的择优概率

cum_distribution=cumsum(degree_frequency); %%% cum_distribution把区间 [0,1] 分成若干个小区间，从而对这些个小区间进行投点实验

interval=cum_distribution(1:(iteration-1)); %%% 这是小区间的端点，是cum_distribution的前 iteration－1 个元素

%**************************************************************************

%%% 下面把 r1 和 [0,1] 内的各个小区间的端点进行比较，落在第 i 小区间，就意味着和第 i 个节点相连边 %%%

choose=zeros(1,m); %%% choose存放的是和新点相连接的一个老点

%%% 选出之一个和新点相连接的顶点

r1=rand(1);

if r1

choose(1)=1;

elseif r1=interval(iteration-2)

choose(1)=iteration-1;

elseif (r1=interval(1))r1

for j=2:iteration-2

if (r1=interval(j-1))r1

choose(1)=j;

break;

end

网络攻击实验模拟软件,网络模拟软件实验原理

租一个云服务器可以在上面实验 *** 攻击吗？

不违法，前提是你自己真的只是进行了对你服务器的攻击，不过，如果你这个攻击导致了其他服务器受害，那么还是违法的。

*** 实验.下载IIS，用nmap，nessus，x-scan扫描，收集得到的信息;或者用控制台的命令，word电子版2页。

漏洞扫描就是对计算机系统或者其它 *** 设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和 *** 安全必不可少的手段，必须仔细研究利用。

漏洞扫描通常采用两种策略，之一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于 *** 的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为 *** 安全扫描。

快速安装Nessus

Nessus是一个功能强大而又易于使用的远程安全扫描器。安全扫描器的功能是对指定 *** 进行安全检查，找出该 *** 是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX（一种文本文件格式）等几种格式保存。

Nessus的优点在于：

1. 其采用了基于多种安全漏洞的扫描，避免了扫描不完整的情况。

2. 它是免费的，比起商业的安全扫描工具如ISS具有价格优势。

（1）安装和启动Nessus服务器端

以Nessus-4.2.0-es5.i386.rpmNessus使用为例，使用如下的命令对其进行安装即可：

[root@localhost tmp]# rpm -ivh Nessus-4.2.0-es5.i386.rpm

安装成功后，还需要添加用户来对其进行操作，步骤如下所示：

[root@localhost tmp]# /opt/nessus// *** in/nessus-adduser

//添加用户

//设置密码

启动nessus非常简单，使用如下命令即可：

#/ *** in/service nessusd start

（2）安装Nessus客户端

nessus的客户端有两个版本，JAVA版本及C版本，JAVA版本的可以在多个平台中运行，C版本的支持Windows，有了这两个客户端的版本就可以在局域网的任何的一台机器上进行安全检查了。为了使用的简单起见，我们选择了一款Windows系统下的Nessus 4客户端版本进行安装和使用，也就是使用Windows客户端来控制运行于Linux下的Nessus服务器端来对局域网里面的机器进行漏洞扫描，这也是目前Nessus使用的非常流行的一种方式。具体的安装如同Windows下任何一款应用软件的安装方式相同，非常简单，这里不再赘述。

3、五步完成Nessus扫描

下面来看看使用nessus进行扫描的步骤以及效果，一般来说，使用Nessus进行扫描需要有如下5个步骤：

（1）设置服务器连接：如图1所示，首先需要设置Nessus客户端来连接Nessus服务器，在图1中，配置好相应的主机名和端口，以及登陆所需要使用的用户名和密码。

（2）设置IP范围：如图2所示，设置为IP Range。当然，这里还有其他的选项可提供选择，包括图中所示的Single Host、Subnet等，可以根据实际情况来选择。

（3）点击scan now，开始对设定范围进行扫描：如图5所示。

（4）扫描的整体效果：如图4所示，扫描给出了对172.31.12.188这台主机（Linux操作系统，RHEL 5.0版本）的扫描结果，可以很清晰看出操作系统的版本以及开放的端口，同时，也能够将开放的端口详细信息列出来。

（5）查看具体的漏洞信息：如图5所示，如果想查看具体的漏洞信息报告以及漏洞等级等详细信息时，可以点开图中所示的对应开放端口信息，并针对具体信息采取相应的措施来对该漏洞进行修补等操作。

怎么用思科模拟器做 *** 攻击实验

这个目前还没有，这个模拟软件只是适合於NA中的部分实验，不过，你可以试试这样，可以实现ping of death 攻击：

Router#ping

Protocol [ip]: ip

Target IP address: 192.168.1.1

Repeat count [5]: 65535

Datagram size [100]: 65530

% A decimal number between 36 and 18024.

Datagram size [100]: 18024

Timeout in seconds [2]: 1

Extended commands [n]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 65535, 18024-byte ICMP Echos to 192.168.1.1, timeout is 1 seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (1367/1367), round-trip min/avg/max = 0/13/125 ms

我的笔记本联网的时候显示dns服务器异常，这是 *** 服务商的问题还是我的本设置有问题？

、背景

域名系统(Domain Name System，DNS)是互联网的重要基础设施之一，负责提供域名和IP地址之间的映射和解析，是网页浏览、电子邮件等几乎所有互联网应用中的关键环节。因此，域名系统的稳定运行是实现互联网正常服务的前提。近年来，针对域名系统的 *** 攻击行为日益猖獗，DNS滥用现象层出不穷，再加上DNS协议本身固有的局限性，域名系统的安全问题正面临着严峻的考验。如何快速有效的检测域名系统的行为异常，避免灾难性事件的发生，是当今域名系统乃至整个互联网所面临的一个重要议题。

DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务，因此DNS查询数据流直接反映了DNS服务器对外服务的整个过程，通过对DNS流量异常情况的检测可以对DNS服务器服务状况进行有效的评估。由于导致DNS流量异常的原因是多方面的，有些是由针对DNS服务器的 *** 攻击导致的，有些是由于DNS服务系统的软件缺陷或配置错误造成的。不同的原因所引起的DNS流量异常所具备的特征也各不相同，这给DNS流量异常检测带来了诸多困难。

目前，在DNS异常流量检测方面，比较传统的 *** 是对发往DNS服务器端的DNS查询请求数据流中的一个或多个测量指标进行实时检测，一旦某时刻某一指标超过规定的阈值，即做出流量异常报警。这种 *** 虽然实现简单，但是仅仅通过对这些指标的独立测量来判定流量是否异常过于片面，误报率通常也很高，不能有效的实现异常流量的检测。

近年来，随着模式识别、数据挖掘技术的发展，开始有越来越多的数据模型被引入到DNS异常流量检测领域，如在[Tracking]中，研究人员通过一种基于关联特征分析的检测 *** ，来实现对异常DNS服务器的识别和定位；[Context]则引入了一种上下文相关聚类的 *** ，用于DNS数据流的不同类别的划分；此外，像贝叶斯分类[Bayesian]、时间序列分析[Similarity]等 *** 也被先后引入到DNS异常流量检测中来。

不难发现，目前在DNS异常流量检测方面，已有诸多可供参考利用的 *** 。但是，每种 *** 所对应的应用场合往往各不相同，通常都是面向某种特定的 *** 攻击活动的检测。此外，每种 *** 所采用的数据模型往往也比较复杂，存在计算代价大，部署成本高的弊端。基于目前DNS异常流量检测领域的技术现状，本文给出了两种新型的DNS流量异常检测 *** 。该两种 *** 能够有效的克服目前DNS异常流量检测技术所存在的弊端，经验证，它们都能够对DNS流量异常实施有效的检测。

2、具体技术方案

1）利用Heap’sLaw检测DNS流量异常

之一种 *** 是通过利用Heap’s定律来实现DNS流量异常检测。该 *** 创新性的将DNS数据流的多个测量指标进行联合分析，发现它们在正常 *** 状况下所表现出来的堆积定律的特性，然后根据这种特性对未来的流量特征进行预测，通过预测值和实际观测值的比较，实现 *** 异常流量实时检测的目的。该 *** 避免了因为采用某些独立测量指标进行检测所导致的片面性和误报率高的缺点，同时，该 *** 具有计算量小，部署成本低的特点，特别适合部署在大型DNS服务器上。

堆积定律(Heap’sLaw)[Heap’s]最早起源于计算语言学中，用于描述文档 *** 中所含单词总量与不同单词个数之间的关系 *** 攻击实验模拟软件：即通过对大量的英文文档进行统计发现，对于给定的语料，其独立的单词数（vocabulary的size）V大致是语料大小N的一个指数函数。随着文本数量的增加，其中涉及的独立单词（vocabulary）的个数占语料大小的比例先是突然增大然后增速放缓但是一直在提高，即随着观察到的文本越来越多，新单词一直在出现，但发现整个字典的可能性在降低。

DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务。一个典型的DNS查询请求包由时间戳，来源IP地址，端口号，查询域名，资源类型等字段构成。我们发现，在正常 *** 状况下，某时间段内DNS服务器端所接收的DNS查询请求数和查询域名 *** 的大小两者间遵循堆积定律的特性，同样的，DNS查询请求数和来源IP地址 *** 的大小两者间也存在这种特性。因此，如果在某个时刻这种增长关系发生突变，那么 *** 流量发生异常的概率也会比较高。由于在正常 *** 状况下DNS服务器端所接收的查询域名 *** 的大小可以根据这种增长关系由DNS查询请求数推算得到。通过将推算得到的查询域名 *** 大小与实际观测到的查询域名 *** 的大小进行对比，如果两者的差值超过一定的阈值，则可以认为有流量异常情况的发生，从而做出预警。类似的，通过将推算得到的来源IP地址 *** 大小与实际观测到的来源IP地址 *** 的大小进行对比，同样可以达到异常流量检测的目的。

由于DNS流量异常发生时，DNS服务器端接收的DNS查询请求通常会异常增多，但是单纯凭此就做出流量异常的警报很可能会导致误报的发生。此时就可以根据观测查询域名空间大小的相应变化情况来做出判断。如果观测到的域名空间大小与推算得到的预测值的差值在允许的阈值范围之内，则可以认定DNS查询请求量的增多是由于DNS业务量的正常增长所致。相反，如果观测到的域名空间大小未发生相应比例的增长，或者增长的幅度异常加大，则做出流量异常报警。例如，当拒绝服务攻击(DenialofService)发生时，攻击方为了降低本地DNS缓存命中率，提高攻击效果，发往攻击对象的查询域名往往是随机生成的任意域名，这些域名通常情况下不存在。因此当该类攻击发生时，会导致所攻击的DNS服务器端当前实际查询域名空间大小异常增大，与根据堆积定律所推算出预测值会存在较大的差距，即原先的增长关系会发生突变。如果两者间的差距超过一定的阈值，就可以据此做出流量异常报警。

通过在真实数据上的测试和 *** 攻击实验的模拟验证得知，该 *** 能够对常见的流量异常情况进行实时高效的检测。

2）利用熵分析检测DDoS攻击

通过分析各种 *** 攻击数据包的特征，我们可以看出 *** 攻击实验模拟软件：不论DDoS攻击的手段如何改进，一般来说，各种DDoS工具软件所制造出的攻击都要符合如下两个基本规律：

1、攻击者制造的攻击数据包会或多或少地修改包中的信息；

2、攻击手段产生的攻击流量的统计特征不可能与正常流量一模一样。

因此，我们可以做出一个大胆的假设：利用一些相对比较简单的统计 *** ，可以检测出专门针对DNS服务器的DDoS攻击，并且这中检测 *** 也可以具有比较理想的精确度。

“熵”（Entropy）是德国物理学家克劳修斯(RudolfClausius，1822～1888)在1850年提出的一个术语，用来表示任何一种能量在空间中分布的均匀程度，也可以用来表示系统的混乱、无序程度。信息理论创始人香农（ClaudeElwoodShannon，1916～2001）在1948年将熵的概念引入到信息论中，并在其经典著作《通信的数学原理》中提出了建立在概率统计模型上的信息度量，也就是“信息熵”。熵在信息论中的定义如下：

如果在一个系统S中存在一个事件 *** E={E1,E2,…,En}，且每个事件的概率分布P={P1,P2,…,Pn}，则每个事件本身所具有的信息量可由公式（1）表示如下：

熵表示整个系统S的平均信息量，其计算 *** 如公式（2）所示：

在信息论中，熵表示的是信息的不确定性，具有高信息度的系统信息熵是很低的，反过来低信息度系统则具有较高的熵值。具体说来，凡是导致随机事件 *** 的肯定性，组织性，法则性或有序性等增加或减少的活动过程，都可以用信息熵的改变量这个统一的标尺来度量。熵值表示了系统的稳定情况，熵值越小，表示系统越稳定，反之，当系统中出现的不确定因素增多时，熵值也会升高。如果某个随机变量的取值与系统的异常情况具有很强的相关性，那么系统异常时刻该随机变量的平均信息量就会与系统稳定时刻不同。如果某一时刻该异常情况大量出现，则系统的熵值会出现较大幅度的变化。这就使我们有可能通过系统熵值的变化情况检测系统中是否存在异常现象，而且这种强相关性也使得检测 *** 能够具有相对较高的准确度。

将熵的理论运用到DNS系统的DDoS攻击检测中来，就是通过测量DNS数据包的某些特定属性的统计特性（熵），从而判断系统是否正在遭受攻击。这里的熵值提供了一种对DNS的查询数据属性的描述。这些属性包括目标域名长度、查询类型、各种错误查询的分布以及源IP地址的分布，等等。熵值越大，表示这些属性的分布越随机；相反，熵值越小，属性分布范围越小，某些属性值出现的概率高。在正常稳定运行的DNS系统中，如果把查询数据作为信息流，以每条DNS查询请求中的某种查询类型的出现作为随机事件，那么在一段时间之内，查询类型这个随机变量的熵应该是一个比较稳定的值，当攻击者利用DNS查询发起DDoS攻击时， *** 中会出现大量的攻击数据包，势必引起与查询类型、查询源地址等相关属性的统计特性发生变化。即便是黑客在发动攻击时，对于发送的查询请求的类型和数量进行过精心设计，可以使从攻击者到目标服务器之间某一路径上的熵值维持在稳定的水平，但绝不可能在所有的路径上都做到这一点。因此通过检测熵值的变化情况来检测DNS系统中异常状况的发生，不仅是一种简便可行的方案，而且还可以具有很好的检测效果。

DNS系统是通过资源记录（ResourceRecord，RR）来记录域名和IP地址信息的，每个资源记录都有一个记录类型（QType），用来标识资源记录所包含的信息种类，如A记录表示该资源记录是域名到IP地址的映射，PTR记录IP地址到域名的映射，NS记录表示域名的授权信息等，用户在查询DNS相关信息时，需要指定相应的查询类型。按照前述思想，我们可以采用DNS查询数据中查询类型的出现情况作为随机事件来计算熵的变化情况，从而检测DDoS攻击是否存在。检测 *** 的主要内容如图1所示。可以看出，通过比较H1和H2之间的差别是否大于某一个设定的阈值，可以判定系统是否正在遭受DDoS攻击。随着查询量窗口的不断滑动，这种比较会随着数据的不断更新而不断继续下去。检测算法的具体步骤如下所示：

1、设定一个查询量窗口，大小为W，表示窗口覆盖了W条记录。

2、统计窗口中出现的所有查询类型及其在所属窗口中出现的概率，根据公式（2）计算出该窗口的熵H1。　

图1熵分析检测 ***

3、获取当前窗口中之一条查询记录所属的查询类型出现的概率，求出该类型所对应的增量

4、将窗口向后滑动一条记录，此时新窗口中的之一条记录为窗口滑动前的第二条记录。

5、获得窗口移动过程中加入的最后一条记录所代表的查询类型在原窗口中出现的概率以及对应的增量

6、计算新窗口中之一条记录所对应的查询类型出现在新窗口中出现的概率，以及对应的增量

7、计算新窗口中最后一条记录所属的查询类型在当前窗口出现的概率以及对应的增量

8、根据前面的结果计算窗口移动后的熵：

重复步骤2至步骤8的过程，得到一系列的熵值，观察熵值的变化曲线，当熵值曲线出现剧烈波动时，可以断定此时的DNS查询中出现了异常。

窗口的设定是影响检测算法的一个重要因素，窗口越大，熵值的变化越平缓，能够有效降低误检测的情况发生，但同时也降低了对异常的敏感度，漏检率上升；反之，能够增加检测的灵敏度，但准确性相应的会降低。因此，窗口大小的选择，需要根据实际中查询速率的大小进行调整。

2009年5月19日，多省市的递归服务器由于收到超负荷的DNS查询而失效，中国互联网出现了大范围的 *** 瘫痪事故，这起事故可以看作是一起典型的利用DNS查询发起的分布式拒绝服务攻击，这种突发的大量异常查询混入到正常的DNS查询中，必然会使DNS查询中查询类型的组成发生变化。我们利用从某顶级结点的DNS权威服务器上采集到的2009年5月19日9:00-24:00之间的查询日志，来检验算法是否能够对DNS中的异常行为做出反应。图2和图3分别是窗口大小为1,000和10,000时所得到的熵变化曲线，图4是该节点的查询率曲线。　

图2窗口大小为1,000时熵的变化情况

图3窗口大小为10,000时熵的变化情况

图4查询率曲线

从图2和图3中可以发现，大约从16:00时开始，熵值剧烈上升，这是由于此时系统中查询类型为A和NS的查询请求大量涌入，打破了系统原有的稳定态势，在经历较大的波动之后，又回复到一个稳定值。随着系统中缓存失效的递归服务器不断增多，该根服务器收到的异常数据量逐渐增大，在16:45左右熵值达到一个较低点，此时系统中已经混入了大量的异常查询数据。由于各省递归服务器的缓存设置的不一致，不断的有递归服务器崩溃，同时不断缓存失效的递归服务器加入，一直到21:00左右，这种异常查询量到达峰值，表现为熵值到达一个极低的位置，随着大批递归服务器在巨大的压力下瘫痪，查询数据的组成再次发生剧烈波动，接下来随着大面积断网的发生，异常查询无法到达该根服务器，熵值在经历波动之后又重新回到较稳定的状态，图4中的流量变化也证实了这一点。

图2和图3分别将查询窗口设为1,000和10,000，对比两图可以看出，图2中的熵值变化较为频繁，反映出对DNS异常更加敏感，但同时误检测的几率也较高，图3中熵值的变化相对平缓，对异常情况敏感程度较低，同时误检率也相对较低。

上述例子表明该 *** 能够及时发现DNS查询中针对DNS服务器的DDoS攻击。将该算法应用到DNS查询流量的实时监测中，可以做到准实时的发现DNS异常从而能够及早采取应对措施。此外，结合使用错误查询类型或者源IP地址等其 *** 攻击实验模拟软件他属性的分布来计算熵，或是采用时间窗口划分流量等，可以进一步提高异常检测的准确率。

3）利用人工神经 *** 分类器检测DDoS攻击

针对DDoS攻击检测这样一个典型的入侵检测问题，可以转换为模式识别中的二元分类问题。利用人工神经 *** 分类器和DNS查询数据可以有效检测针对DNS名字服务器的DDoS攻击。通过分析DNS权威或者递归服务器的查询数据，针对DDoS攻击在日志中所表现出来的特性，提取出若干特征向量，这些特征向量用作分类器的输入向量。分类器选择使用多层感知器，属于神经 *** 中的多层前馈神经 *** 。人工神经 *** 在用于DDoS攻击检测时具有以下显著优点：

1、灵活性。能够处理不完整的、畸变的、甚至非线性数据。由于DDoS攻击是由许多攻击者联手实施的，因此以非线性的方式处理来自多个数据源的数据显得尤其重要；

2、处理速度。神经 *** *** 的这一固有优势使得入侵响应可以在被保护系统遭到毁灭性破坏之前发出，甚至对入侵行为进行预测；

3、学习性。该分类器的更大优点是能够通过学习总结各种攻击行为的特征，并能识别出与当前正常行为模式不匹配的各种行为。

由于多层感知器具有上述不可替代的优点，因此选择它作为分类器。分类器的输出分为“服务正常”和“遭受攻击”两个结果，这个结果直接反应出DNS服务器是否将要或者正在遭受DDoS攻击。如果检测结果是“遭受攻击”，则相关人员可以及时采取措施，避免攻击行为的进一步发展。

图5DDoS攻击检测

如图5所示，本检测 *** 主要分为特征提取、模型训练和线上分类三个阶段。在特征提取阶段，需要利用DNS查询数据中已有的信息，结合各种DNSDDoS攻击的特点，提取出对分类有用的特征。模型训练阶段是通过大量的特征数据，模拟出上百甚至上千的DDoS攻击序列，对多层感知器进行训练，多层感知器在训练过程中学习攻击行为的特征，增强识别率。线上分类属于应用阶段，利用软件实现将本 *** 部署在DNS权威或递归服务器上。通过实时读取DNS查询数据，并将经过提取的特征输入到多层感知器中，就可以快速地识别出本服务器是否将要或正在遭受DDoS攻击，以便采取进一步防范措施。

多层感知器分类的精确率，在很大程度上取决于作为输入的特征向量是否能够真正概括、体现出DDoS攻击的特征。本 *** 通过仔细分析各种DNSDDoS攻击，以分钟为时间粒度提取出八种能够单独或者联合反映出攻击的特征：

1、每秒钟DNS查询量。这个特征通过对每分钟查询量进行平均获得；

2、每分钟时间窗口内查询率的标准差。公式如下：

其中，n表示每分钟内查询数据中记录的秒数，Xi表示某一秒钟的查询量，m表示一分钟内每秒钟查询量的均值；

3、IP空间大小。表示一分钟内有多少个主机发出了DNS查询请求；

4、域名空间大小。表示一分钟内有多少域名被访问；

5、源端口设置为53的查询数量。由于某些针对DNS的DDoS攻击将源端口设置为53，因此对这一设置进行跟踪十分必要；

6、查询记录类型的熵的变化情况。公式如下：

其中n表示时间窗口内记录类型的种类数，Pi表示某种记录类型出现的概率，Xi表示某种记录类型。

7、设置递归查询的比例。由于某些DDoS攻击会通过将查询设置为递归查询来增大攻击效果，因此对这一设置进行跟踪十分必要；

8、域名的平均长度。由于某些DDoS攻击所查询的域名是由程序随机产生的，这必然在查询数据上引起域名平均长度的变化，因此对域名的平均长度进行跟踪也很有意义。

图6人工神经 *** 分类器的结构