支持域间分布式分组过滤的BGP扩展

可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.     

互联网AS拓扑的结构与连通性研究

基于BGP协议的域间路由系统是Internet的核心基础设施。研究域间路由系统在自治系统AS级的拓扑结构,深入理解并揭示AS拓扑的结构及连通性方面的特性,对于提高互联网路由系统的安全性、健壮性以及性能都具有重要的指导意义。AS之间的商业关系模型是互联网域间路由系统的基本模型之一,是AS拓扑研究的基础。受商业关系的约束,AS拓扑的结构与连通性呈现出了与普通无向图或有向图所不具备的特性:层次结构特性与AS路径的无谷底约束。本文提出了针对AS拓扑的层次划分算法,对AS拓扑的连通性做了深入研究,分析并验证了顶级AS的全互联结构,并进一步阐述了从宏观上对单个AS的连通性的评估方法。     

基于知识库的域间路由监测系统

域间路由系统是互联网的基础设施。但由于域间路由系统自身的脆弱性,导致域间路由系统面临越来越多的挑战。本文从域间路由监测的角度,设计基于知识库的域间路由监测系统。该监测系统以及时准确的知识库为基础,利用异常路由威胁评估模型与方法对异常路由数据进行进一步评估处理。介绍系统的部署环境,证明系统的有效性。     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

域间多路径路由协议

边界网关协议(border gateway protocol,简称BGP)是当前互联网的核心协议,但是由于BGP是一种单路径路由协议,所以仍存在可靠性差、无法有效使用次优路径以及负载均衡支持较弱等问题.域间多路径路由可以通过发挥底层网络的AS级路径多样性,提高域间路由的可靠性、报文分组转发的总体性能和整个网络资源的利用率.因此,域间多路径路由是解决上述BGP问题的一种有效手段,符合互联网应用不断深入、促进路由技术发展的需求.主要综述域间多路径协议,并将其分为3类:单径通告多路转发协议、多径通告多路转发协议和新型域间多路径路由体系结构提出路径多样性、控制平面和数据平面开销、无环路特性等8项主要路由系统性能指标,并比较、分析了域间多路径路由协议.最后,指出域间多路径路由协议面临的主要挑战和未来的研究方向.     

基于可信度的域间路由机制

当前的域间路由系统缺乏对路径真实性的验证,可能导致虚假路径信息大量传播,带来大规模的网络失效.为了提高路由抑制虚假路径的能力,文中将信任机制引入到域间路由中,采用可信度表示路径的真实可信程度,提出了基于可信度的域间路由机制,其主要思想为在路径选择时考虑路径的可信度,选取可信度高的路径作为最优路径.在该机制下,构建了一个Chord环进行信任信息的发布与获取,部署了虚假路径检测措施的AS根据检测结果在Chord环中发布信任信息,没有部署虚假路径检测措施的AS从Chord环中获取信任信息来计算候选路径的可信度,基于可信度进行路径选择.实验结果表明基于可信度的域间路由机制能够快速抑制虚假路径,在一定程度上解决路由机制的不可信问题.     

互联网自治域间IP源地址验证技术综述

当前互联网是基于目的地址转发,对源地址不做验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.本文对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,本文分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义.其次,本文从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因.最后,本文提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供参考.     

基于信誉机制的域间路由安全协同管理方法

如何抑制虚假路由的传播和恶意路由行为的发生,是域间路由安全管理的重要研究内容,对自治系统路由行为进行可信性评价和监督是其中的关键技术.设计了一种用于评价自治系统路由行为可信性的分布式协同信誉机制.该机制基于历史路由的有效性统计结果,采用后验概率分析的方法,由多个自治系统按照自组织协同的方式完成对目标自治系统的信誉计算,并将信誉计算结果作为度量该自治系统路由行为可信性的依据.实验结果表明,该机制能够抑制不良路由行为,有效提高域间路由系统的总体安全性,还能够为路由可信性分析和故障诊断提供依据,支持渐进式部署,     

基于复杂系统理论的域间路由系统演化模型CMV-HOT

对域间路由系统的基本问题能否找到有效而又彻底的解决方法,在很大程度上取决于对域间路由系统行为模型的准确刻画.随着Internet网络规模的扩展和应用的多样化,域间路由系统体现出复杂巨系统的特征.从复杂系统理论出发,研究了Internet域间路由系统中各个自治系统在其成长消亡过程中需要考虑的各种影响因素,基于HOT理论建立了域间路由系统的动态演化模型--CMV-HOT模型.CMV-HOT模型将自治系统分为核心层AS、传输层AS以及边缘层AS三类,通过对域间路由系统的内部规律和外在表现的分析,从复杂系统的角度对域间路由系统的演化过程进行模拟.通过与真实BGP路由表数据的比较,CMV-HOT模型在节点度分布、网络的平均路径长度以及聚集系数等关键参数上有很好的一致性.因此模型能同时满足幂率特性和小世界特性,在网络研究中具有极高的准确性和实用价值.     

域间路由系统AS联盟机制的研究

增强节点的自组织与协调能力是引导互联网健康发展的重要途径。该文通过分析域间路由系统的结构特点,提出AS联盟的概念。它是一组按照域间路由结构特点自组织的AS节点。基于AS联盟的域间路由协议安全扩展机制可以避免集中式控制的不利影响,且具有较低的证书管理代价,而稳定性扩展机制则能有效降低一定范围内的路由振荡。     

基于数据包标记的伪造IP DDoS攻击防御

提出一种基于数据包标记的伪造IP DDoS攻击防御方案,该方案在IP数据包中嵌入一个路径相关的16位标识,通过检测标识计数器临界值判断是否发生了DDoS攻击,对伪造地址的IP数据包进行过滤,达到对DDoS攻击进行有效防御的目的。仿真实验表明,该方案对于伪造的IP数据包具有较高的识别率。     

一种DDoS攻击的防御方案

分布式拒绝服务攻击(DDoS)是一种攻击强度大、危害严重的拒绝服务攻击。Internet的无状态特性使得防止DDoS攻击非常困难,尽管在学术界和工业界引起了广泛的重视,但目前仍然没有可行的技术方案来对付DDoS攻击。文章提出了一种在局部范围内消除DDoS攻击的综合方案,它包括入侵检测系统、IP标记、IP包过滤等功能,该方案具有操作简单、路由器负担小、易于部署、响应快等特点。     

LIPS: A lightweight permit system for packet source origin accountability

One of key security issues on the current Internet is unwanted traffic, the forerunner of unauthorized accesses, scans, and attacks. It is vitally important but extremely challenging to fight such unwanted traffic. We need a series of defensive mechanisms to identify unwanted packets, filter them out, and further defeat their associated attacks. In this paper, we propose a lightweight, scalable packet authentication mechanism, named Lightweight Internet Permit System (LIPS), as a first line of defense to effectively filter out the most common forms of unwanted traffic, spoofed and unsolicited packets, such that in-depth security schemes can take care of the remaining issues more efficiently. LIPS is a simple extension of IP, in which each packet carries an access permit issued by its destination host or gateway, and the destination verifies the access permit to determine to accept or drop the packet. LIPS provides preliminary traffic-origin accountability that supports two salient features to confine unwanted traffic: (1) filter out the most common forms of unwanted packets and defeat associated attacks; (2) help us identify compromised hosts/domains such that we are able to build active defense schemes to deal with various attacks through real-time inter-domain collaboration. In this paper, we first present the design and prototype implementation of LIPS on Linux 2.4 kernel, and then use analysis, simulations, and experiments to demonstrate the efficacy of LIPS in protecting critical resources with light overheads.     

受有线无线异构网络诱导延时和数据丢包约束的分布式网络化H2/H∞滤波研究

针对分布式有线无线异构网络化滤波系统中部署在不同地理空间的多传感器通过无线网络与每个局部融合中心通信, 然后测量数据被传到网关并进行协议转换后通过有线网络传输到对应的分布式滤波器, 会导致数据传输出现分布式有线无线网络诱导延时和数据丢包, 使得H₂/H_∞滤波更加困难的问题, 本文首先采用有向图描述分布式传感器节点的通信拓扑, 然后运用Markov链和伯努利分布分别刻画分布式有线无线网络诱导延时和数据丢包特性, 进而建立了融合分布式滤波器参数、有线无线异构网络通信约束的普适滤波误差动态系统综合模型.理论上证明了在分布式有线无线异构网络通信约束下所设计的滤波器使得滤波误差动态系统随机稳定且满足给定的H₂/H_∞性能指标, 并建立了系统随机稳定性、分布式滤波器参数及最长有线无线网络诱导延时和数据丢包之间的关系.最后, 仿真实例验证了本文所提方法是可行且有效.     

Building an Identity Management Infrastructure for Today…and Tomorrow

ABSTRACT

The basis of denial of service (DoS)/distributed DoS (DDoS) attacks lies in overwhelming a victim's computer resources by flooding them with enormous traffic. This is done by compromising multiple systems that send a high volume of traffic. The traffic is often formulated in such a way that it consumes finite resources at abnormal rates either at victim or network level. In addition, spoofing of source addresses makes it difficult to combat such attacks. This paper adopts a twofold collaborative mechanism, wherein the intermediate routers are engaged in markings and the victim uses these markings for detecting and filtering the flooding attacks. The markings are used to distinguish the legitimate network traffic from the attack so as to enable the routers near the victim to filter the attack packets. The marked packets are also helpful to backtrack the true origin of the spoofed traffic, thus dropping them at the source rather than allowing them to traverse the network. To further aid in the detection of spoofed traffic, Time to Live (TTL) in the IP header is used. The mappings between the IP addresses and the markings along with the TTLs are used to find the spurious traffic. We provide numerical and simulated experimental results to show the effectiveness of the proposed system in distinguishing the legitimate traffic from the spoofed. We also give a statistical report showing the performance of our system.     

基于TTL阈值分析的检测伪造数据包方法

在基于TTL分析的检测技术基础上提出了一种基于异常TTL阈值分析的源地址伪造数据包检测方法,综合主动和被动两种检测技术,设计了一种有效的混合型源地址伪造数据包检测方法,同时用2500个正常数据包和2500个TTL值异常的伪造数据包来模拟遭受攻击,通过模拟实验结果对该方法的优缺点进行了分析,最后给出了该方法的优缺点并提出了改进策略。     

基于可变概率的快速IP包追踪方案

为了改进概率包标记方案的性能,提出两个能追踪大规模拒绝服务攻击可变概率包标记方案。采用可变概率标记,可识别和排除攻击者虚假标记信息。通过在路由器中记录IP地址发送状态,对包分片进行有序发送,降低了受害者重构路径时所需接收包的数量。     

在IP包过滤中状态TCP包的过滤研究与设计

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。     

Tracing DDoS Floods: An Automated Approach

We propose a Controller-Agent model that would greatly minimize distributed denial-of-service (DDoS) attacks on the Internet. We introduce a new packet marking technique and agent design that enables us to identify the approximate source of attack (nearest router) with a single packet even in the case of attacks with spoofed source addresses. Our model is invoked only during attack times, and is able to process the victims traffic separately without disturbing other traffic, it is also able to establish different attack signatures for different attacking sources and can prevent the attack traffic at the nearest router to the attacking system. It is simple in its implementation, it has fast response for any changes in attack traffic pattern, and can be incrementally deployed. Hence we believe that the model proposed in this paper seems to be a promising approach to prevent distributed denial-of-service attacks.