基于蜜标和蜜罐的追踪溯源技术研究与实现

近年来,针对网络攻击威胁,网络追踪溯源技术已经成为网络安全领域的重要研究方向;然而,当前追踪溯源技术的研究缺乏全面性和主动性。该文针对多跳网络攻击,提出了一种基于蜜标和蜜罐技术的主动追踪溯源技术,并搭建了相应的陷阱环境,可以对多跳网络攻击进行有效的主动诱捕和追踪溯源,从而有利于加强关键网络对攻击入侵的防御能力。     

基于GBF的追踪溯源系统设计

互联网的快速发展引发了学术界和工业界对于网络安全技术的研究热潮,网络攻击追踪溯源技术能够定位网络攻击的源头,为防御方采取有针对性的防御措施和对攻击者进行反制提供必要信息,对于网络取证也有重要意义。首先介绍网络追踪溯源的基本方法;然后,介绍了广义布隆过滤器（Generalized Bloom Filter）及其在包标记追踪溯源中的应用;接着,设计并实现基于GBF的追踪溯源系统,实验表明本系统可以成功重构攻击路径;最后,进行总结并大致描述了今后的研究方向。     

多源网络攻击追踪溯源技术研究

网络攻击追踪溯源在定位攻击源、阻止或抑制网络攻击、提供法律举证、威慑攻击者等方面具有非常积极的意义。近年来,学术界对此开展了大量的研究,并提出了多种追踪溯源技术体制。分析了在大规模网络环境下网络攻击追踪溯源所面临的问题,以及当前主要技术体制的优缺点和适用性,提出了融合多种追踪溯源机制的多源追踪溯源技术思路,设计了基于信息融合的扩展性强、易于部署建设的MSNAA网络攻击追踪溯源系统架构。     

网络攻击追踪方法的分析与系统模型的建立

目前 ,计算机网络安全问题越来越严重。入侵检测是识别网络攻击的主要手段 ,现有的入侵检测系统可以检测到大多数基于网络的攻击 ,但不能提供对真实攻击来源的有效追踪。本文分析了IP地址追踪方法 ,结合现有的入侵检测技术提出了网络攻击源追踪系统的模型 ,阐述了该系统的体系结构和各部分的主要功能 ,给出了利用相关性分析对攻击者的攻击路径进行回溯的基本思想 ,对网络安全管理具有一定的借鉴意义。     

基于机器学习的网络攻击检测综述

当前网络安全问题是一个瓶颈问题,在网络入侵检测中机器学习可以看作是为了通过学习和积累经验提高攻击检测系统的性能而建立的计算机程序。机器学习应用于网络攻击检测,对网络的大量数据进行分析并通过学习算法自动产生规则,从而使网络具有自动识别攻击的能力。本文在详细介绍网络攻击检测系统机器学习原理的基础上,对现有的各种方法进行了评述并结合网络攻击检测的应用需求,阐述了网络攻击检侧系统机器学习技术的发展方向。     

基于网络规划识别的入侵检测结构

网络攻击已经成为严重威胁网络安全的重要手段,识别和防范网络攻击已经成为网络安全研究的重要趋势。例如TCP SYN拒绝服务攻击、ICMP洪水攻击和UDP洪水攻击等多种攻击方式,因此针对网络攻击识别与防范已经成为网络研究人员的一个重要的研究领域。本文就是以Snort入侵检测系统作为基础,利用网络规划识别技术进行网络攻击行为监测系统结构研究。     

网络安全入侵检测技术在IPv6中的应用分析

随着网络的不断发展,网络攻击工具越来越多,有的攻击工具自动化程度较高,甚至可以针对性地对IPv6漏洞进行攻击,在这种形势下,网络安全入侵检测技术应运而生。文章从IPv6协议和网络安全入侵检测技术的概念入手,分析基于IPv6协议的网络安全入侵检测技术的应用。     

网络攻击技术研究与发展趋势探讨

近几年来,网络攻击技术理论和攻击工具均有了新的发展,伴随网络攻击事件也层出不穷,通过对网络攻击技术发展动向的分析与归纳,帮助大家认识和评估网络安全,尽早采取相应的安全措施,减小被攻击的可能性。     

基于代数方法的概率报文标注算法研究

网络攻击的追踪是对网络攻击做出正确响应的重要前提,采用代数方法,利用IP报文中的选项字段,以概率将流经路由器的地址标注报文,使得受攻击主机端能够利用被标注报文内的地址信息重构攻击路径,从而追踪到攻击源点.重点讨论了如何运用代数方法记录报文流经路由器的地址,以及利用报文中记录的信息重构路径使ISP部署相关策略对这些范围的主机加以防范.可以预见,网络攻击的追踪和路径重构技术仍将是目前网络安全一个重要的研究热点,而且随着IPv6的应用,攻击源追踪问题将取得实质性突破.同时指出了该方法存在的问题,并进行了进一步展望.     

网络安全评估方法研究进展

随着IT业迅速发展,网络安全也越来越受到重视。一种有效的网络安全评估方法不仅可以发现已有的网络安全漏洞,而且能够找出网络中潜在的漏洞并通过数学方法定位网络中最易受到攻击的节点,从而使企业网络能够在新一轮的网络攻击中存活下来,企业业务得以继续展开。文中总结了各种网络安全的评估方法并对其加以分类,在此基础上对网络安全评估方法的未来发展做了展望。     

一种分层的IP追踪系统架构

由于不同的自治域在网络拓扑、经济实力、技术储备、组织规章等多方面具有不同的特点,自治域的管理者希望能在多种IP追踪技术中选择最适合的一种.文中提出一种分层的IP追踪系统架构,将IP追踪系统分为跨域追踪层、域内追踪层和设备追踪层,由域内追踪层将本域内的追踪结果封装处理成统一的格式,使得不同的自治域可以采用不同的IP追踪技术,在此基础上,提出并行追踪技术和有序路径重构技术,提高了追踪的成功率.     

An AS-level overlay network for IP traceback

Distributed denial of service attacks currently represent a serious threat to the appropriate operation of Internet services. To deal with this threat, we propose an overlay network that provides an IP-traceback scheme at the level of autonomous systems. Our proposed autonomous system-level IP-traceback system contrasts with previous works because it does not require a priori knowledge of the network topology and allows single-packet traceback and incremental deployment. Our first contribution is a new extension to the Border Gateway Protocol update-message community attribute that enables information to be passed across autonomous systems that are not necessarily involved in the overlay network. The second contribution is a new sequence-marking process to remove ambiguities in the traceback path. Two different strategies for incremental system deployment are investigated and evaluated. We show that strategic placement of the system on highly connected autonomous systems produces relevant results for IP traceback even if the system operates on only a few autonomous systems. The main conclusion is that the proposed system is suitable for large-scale networks such as the Internet because it provides efficient traceback and allows incremental deployment.     

MPLS网络的信源追踪方法研究

MPLS技术虽然为Internet提供了一种新的数据包转发模式,但是还不能消除其固有的网络攻击。基于流标记的端口包记录信源追踪系统则可以找到攻击源。包记录技术是整个追踪系统的核心。而其中所采取的基于流的策略可以大大节省存储空间;基于端口的策略通过减少反向追踪请求个数提高了追踪速度,进一步通过自适应的调整Bloom filter的k参数大大降低了追踪的误报率。     

网络安全技术发展趋势研究

本文首先描述安全技术发展特点,进而论述安全技术未来的发展趋势.安全技术随着网络规模的不断扩大,未来的发展趋势有可能从量变走向质变,引发技术走向新的变革,其中差异化安全业务、安全的通信新协议和网络可溯源性技术将是这场变革的重要内容.     

Large-Scale IP Traceback in High-Speed Internet: Practical Techniques and Information-Theoretic Foundation

Tracing attack packets to their sources, known as IP traceback, is an important step to counter distributed denial-of-service (DDoS) attacks. In this paper, we propose a novel packet logging based (i.e., hash-based) traceback scheme that requires an order of magnitude smaller processing and storage cost than the hash-based scheme proposed by Snoeren , thereby being able to scalable to much higher link speed (e.g., OC-768). The baseline idea of our approach is to sample and log a small percentage (e.g., 3.3%) of packets. The challenge of this low sampling rate is that much more sophisticated techniques need to be used for traceback. Our solution is to construct the attack tree using the correlation between the attack packets sampled by neighboring routers. The scheme using naive independent random sampling does not perform well due to the low correlation between the packets sampled by neighboring routers. We invent a sampling scheme that improves this correlation and the overall efficiency significantly. Another major contribution of this work is that we introduce a novel information-theoretic framework for our traceback scheme to answer important questions on system parameter tuning and the fundamental tradeoff between the resource used for traceback and the traceback accuracy. Simulation results based on real-world network topologies (e.g., Skitter) match very well with results from the information-theoretic analysis. The simulation results also demonstrate that our traceback scheme can achieve high accuracy, and scale very well to a large number of attackers (e.g., $5000+$).      

分布式入侵检测系统的体系架构

由于 ＴＣＰ／ＩＰ协议的开放性，目前的网络极易受到攻击。网络入侵行为，特别是分布式入侵行为，给网络的正常运行造成了巨大的危害，阻碍了网络经济的迅速发展。为了能有效地检测和跟踪入侵行为，这里提出了一个基于智能代理的入侵检测系统的体系结构和分布跟踪算法。该系统是一个分布式实时入侵检测系统，它由智能的主机代理、网络代理和路由器／网关代理组咸。每个智能代理都是独立的实体，拥有解决问题的不完全的信息或能力，通过协同工作并使用分布跟踪算法，实时检测网络入侵行为，跟踪网络入侵者，有效地维护网络安全。     

网络入侵取证调查研究

首先介绍一些基本的网络安全概况,接着阐述本论文的研究背景,进而对网络入侵调查中常见的入侵情景进行了阐述和分析,对网络入侵取证的过程做了研究.总结出网络入侵取证调查的主要任务之一就是信息管理,并着重从入侵时间、入侵来源、受侵主机、入侵方式、入侵活动五个方面着手,对网络入侵特点、识别方法及可能的结论进行了探讨.     

卷积码维特比译码算法最佳反馈深度研究

卷积码可以用维特比算法作为译码算法,由于维特比译码器复杂度随着反馈深度的增长成指数倍增长,因而译码反馈深度对译码器的复杂度影响很大甚至可能无法实用,目前有些文献中仅给出了反馈深度的大致范围,但在硬件实现和性能仿真时无法确定一个具体的数值。通过在OFDM系统中运用卷积编码和维特比译码仿真分析发现,维特比译码器反馈深度为卷积码编码器存贮长度的5倍时,既可达到性能和硬件复杂度的良好折衷,又便于实际应用。     

Network support for IP traceback

This paper describes a technique for tracing anonymous packet flooding attacks in the Internet back toward their source. This work is motivated by the increased frequency and sophistication of denial-of-service attacks and by the difficulty in tracing packets with incorrect, or “spoofed,” source addresses. We describe a general purpose traceback mechanism based on probabilistic packet marking in the network. Our approach allows a victim to identify the network path(s) traversed by attack traffic without requiring interactive operational support from Internet service providers (ISPs). Moreover, this traceback can be performed “post mortem”-after an attack has completed. We present an implementation of this technology that is incrementally deployable, (mostly) backward compatible, and can be efficiently implemented using conventional technology