一种新的确定性包标记IP追踪算法的研究

目前的IP追踪都是基于反向完整路径追踪,反向完整路径追踪需要ISP的配合,而要取得所有的ISP的配合是一件困难的事情,在这这里提出一种新的基于确定性包标记技术的IP追踪算法,这种实现需要很少的带宽和处理的花费,可以追踪由单个数据包产生的DOS攻击,而且不需揭示网络拓扑的内在结构。     

大流量优先的实时IP随机包标记反向追踪

在现有IP随机包标记反向追踪算法实时性的研究基础上,分析了标记概率、推测路径需要的数据包数量和攻击路径距离的关系,提出一个大流量优先的实时IP随机包标记反向追踪方法LTFMS,利用路由器节点当前流量统计,受害者可在最短时间内推测出主要攻击路径。通过建立模拟测试环境实验分析,对于大规模DDoS攻击,该方法在相同时间内可比现有方法推测出更多的攻击路径。     

具有记忆路径的ICMP反向追溯方案

针对拒绝服务攻击,分析了几种发现拒绝服务攻击路径的反向追踪技术.随后,提出一种改进的ICMP反向追溯方案,称为具有记忆路径的ICMP反向追溯(ITrace-MP).在一定程度上,此方案明确了ITrace信息的目的性,提高了ITrace信息的有效性,同时,不再需要为重组攻击路径而分析多个追踪片断.     

CoMM:基于协作标记与缓解的实时IP反向追踪模型

实时性对于在DoS或DDoS网络攻击中发送假源地址包的主机进行IP反向追踪非常重要．提出一个IP实时反向追踪的模型CoMM（Cooperative Marking and Mitigation），在受害者主动参与和自治网络协调员的帮助下推测攻击路径，局部推测的攻击路径可以帮助受害者推测的攻击路径进行验证，上游路由器采取限速方式减小攻击程度的同时保证合法用户流量的传输和受害者正常推测攻击路径的流量需要，并有效的降低路由器参加追踪的开销．     

信息网数据库管理系统的查询优化

查询是信息网数据库管理系统的重要组成部分。反向查询是一种被广泛应用,并且十分耗时的查询策略,因为在反向查询中对象名未知,在匹配路径之前需要通过路径反向查得对象。针对反向查询,提出了优化算法,从最后一条有价值的路径单元开始反向查询,利用路径上提供的所有信息,将搜索空间限制至最小,使得花费在路径匹配上的时间减少,查询效率得以提升。最后,原始算法和优化算法进行了对比实验,结果表明了优化算法的优越性。     

基于顶点信息采样的随机包标记IP追踪算法NSPPM

本文通过提出一种顶点采样算法及与之相对应的攻击路径重建算法，给出了一种新型的基于随机包标记技术的入侵追踪方案NSPPM。该方案保持了对现有网络基础设施的兼容并且可以增量地逐渐布置到整个Internet中。相比较于一些前期的相关工作，NSPPM方案可以在仅带来较小开销的情况下为受攻击方提供对多重DDoS攻击路径（活跃的或非活跃的）的识别且不需要上游ISP的协作。同时，较之传统的基于边采样的攻击路径重建策略，基于顶点采样算法的攻击路径重建策略具有更低的计算复杂度。     

基于多项式重构的拒绝服务反向追踪方案

提出了利用代数方法反向追踪信息的方案,该方案把追踪重构问题当作多项式重构问题,使用代数编码理论技术提供鲁棒的传送和重构方法,是DoS攻击过程中的反向追踪问题的一种新的解决方法。     

WSN中基于假路径的源位置保护策略

为防止外部攻击者逐跳反向追踪源节点位置,提出分支假路径策略（BFP）。BFP利用特殊的数据包激发产生多条与最短路径相交的假路径。假路径引诱攻击者远离最短路径从而延长其定位源节点所需时间。策略在最短路径上传输数据包,保证最小信息延迟。模拟结果与理论分析表明,与CEM相比,BFP在耗能相等的情况下将安全时间提高约60%。     

对抗DDoS攻击的滤波与追踪技术研究

对最近提出的抵御分布式拒绝服务攻击DDoS的几种滤波和追踪方法进行了研究,对所提各种方法的优点和不足之处进行分析,同时探讨其实施的可行性.通过对滤波和追踪技术的分析研究,提出在小范围的局域网内通过一些滤波技术可以增强系统对DDoS的抵抗力和忍耐力,而要在互连网实现对DDoS的扼制、阻止DDoS,需要解决的根本问题是必须获得各ISP的支持,把攻击控制在攻击源域内.     

基于流分类的iTrace技术

通过对ICMP反向追踪技术的研究，提出了一种基于流分类的ICMP反向追踪方案。该方案依据目的位的值将接收流分成目的流和正常流，然后根据网络流量情况，分别对它们使用不同的概率执行ICMP反向追踪。相关分析表明，此方法在路由器的设置被篡改的情况下能获得完整的攻击路径；另外，本方法能更快地重构攻击路径。     

On deterministic packet marking

In this article, we present a novel approach to IP Traceback – deterministic packet marking (DPM).¹ DPM is based on marking all packets at ingress interfaces. DPM is scalable, simple to implement, and introduces no bandwidth and practically no processing overhead on the network equipment. It is capable of tracing thousands of simultaneous attackers during a DDoS attack. Given sufficient deployment on the Internet, DPM is capable of tracing back to the slaves responsible for DDoS attacks that involve reflectors. In DPM, most of the processing required for traceback is done at the victim. The traceback process can be performed post-mortem allowing for tracing the attacks that may not have been noticed initially, or the attacks which would deny service to the victim so that traceback is impossible in real time. The involvement of the Internet Service Providers (ISPs) is very limited, and changes to the infrastructure and operation required to deploy DPM are minimal. DPM is capable of performing the traceback without revealing topology of the providers’ network, which is a desirable quality of a traceback method.     

A More Practical Approach for Single-Packet IP Traceback using Packet Logging and Marking

Tracing IP packets to their origins is an important step in defending Internet against denial-of-service attacks. Two kinds of IP traceback techniques have been proposed as packet marking and packet logging. In packet marking, routers probabilistically write their identification information into forwarded packets. This approach incurs little overhead but requires large flow of packets to collect the complete path information. In packet logging, routers record digests of the forwarded packets. This approach makes it possible to trace a single packet and is considered more powerful. At routers forwarding large volume of traffic, the high storage overhead and access time requirement for recording packet digests introduce practicality problems. In this paper, we present a novel scheme to improve the practicality of log-based IP traceback by reducing its overhead on routers. Our approach makes an intelligent use of packet marking to improve scalability of log-based IP traceback. We use mathematical analysis and simulations to evaluate our approach. Our evaluation results show that, compared to the state-of-the-art log-based approach called hash-based IP traceback, our approach maintains the ability to trace single IP packet while reducing the storage overhead by half and the access time overhead by a factor of the number of neighboring routers.     

Ant-based IP traceback

The denial-of-service (DoS) attacks with the source IP address spoofing techniques has become a major threat to the Internet. An intrusion detection system is often used to detect DoS attacks and to coordinate with the firewall to block them. However, DoS attack packets consume and may exhaust all the resources, causing degrading network performance or, even worse, network breakdown. A proactive approach to DoS attacks is allocating the original attack host(s) issuing the attacks and stopping the malicious traffic, instead of wasting resources on the attack traffic.

In this paper, an ant-based traceback approach is proposed to identify the DoS attack origin. Instead of creating a new type or function or processing a high volume of fine-grained data used by previous research, the proposed traceback approach uses flow level information to identify the origin of a DoS attack.

Two characteristics of ant algorithm, quick convergence and heuristic, are adopted in the proposed approach on finding the DoS attack path. Quick convergence efficiently finds out the origin of a DoS attack; heuristic gives the solution even though partial flow information is provided by the network.

The proposed method is evaluated through simulation on various network environments and two simulated real networks, NSFNET and DFN. The simulation results show that the proposed method can successfully and efficiently find the DoS attack path in various simulated network environments, with full and partial flow information provided by the networks.     

层次分析法在IP返回跟踪DoS攻击方法中的应用研究

将运筹学中的层次分析法应用于IP返回跟踪DoS攻击的方法中,可以为网络安全决策提供支持。首先介绍了层次分析法和几种IP返回跟踪DoS攻击的方法,在此基础上建立了IP返回跟踪DoS攻击方法的层次分析模型,用层次分析法对六种IP返回跟踪DoS攻击方法做了实证地比较和分析。     

IPv6下基于改进的SPIE源追踪方案

源追踪技术提供对真实攻击来源的有效追踪,有利于实时阻断、隔离DDoS等网络攻击。目前的源追踪方法大多是使用IPv4包头中很少使用的16位标识域保存经过的路由器信息,不适用于IPv6环境。本文提出一种IPv6下基于改进的SPIE源追踪方案。该方法利用路由器,使用Bloom filters数据结构保存转发的数据包的摘要,减少了耗费的存储空间,同时时保护了数据包的机密性;它不但适合DDoS攻击的源追踪,还能进行单个数据包的源追踪。     

可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.     

伪造路径下PPM算法IP追踪性能研究

该文研究了概率分组标记(PPM)IP追踪机制对拒绝服务攻击(DoS)的有效性。在攻击者伪造多条攻击路径的情况下,分析得到PPM可以选取最优追踪标记概率以提高追踪效率;进一步的分析则表明,在伪造路径长度增加时,PPM效率将明显降低。     

网络攻击追踪技术性能分析

DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包.