基于随机森林算法的无线传感网络攻击流量阻断模型构建

针对无线传感网络攻击流量阻断存在攻击流量检测准确率较低、阻断效果较差的问题,构建了一种基于随机森林算法的无线传感网络攻击流量阻断模型。基于字符（单词）的词频矩阵,利用TF-IDF算法将有效载荷的特征自动提取出来;根据特征结果使用随机森林算法通过词频矩阵对网络流量实行分类,基于分类结果对网络中的流量攻击实现溯源,完成异常无线传感网络检测;利用流表的报文过滤实现无线传感攻击流量的阻断。实验结果表明,该模型在检测攻击流量时,准确率最高可达100%,调和平均数最高为99.18%,错误率最高仅为7.3%,假阳性率最高仅为5.5%,同时能够有效阻断网络攻击流量,在较短时间内将网络恢复至正常,具有良好的攻击流量检测效果和攻击流量阻断效果。     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

一种基于历史信任数据的DDOS防御模型

分布式拒绝服务攻击给网络安全和网络服务质量带来了巨大的威胁。通过对分布式拒绝服务攻击原理及现有防御措施的分析,为了更有效防御这类攻击的发生,可以考虑在边界路由器上建立一种基于历史信任数据的源地址库的防御模型。该模型以历史信任数据库为依托,通过对异常IP包使用核心无状态公平排队算法进行源地址检测并对其处理结果做出相应的处理,可以有效、快速过滤掉异常的IP包数据,提前防止网络受到分布式拒绝服务攻击的侵害。     

一种网络攻击流量生成器的设计与实现

网络攻击流量的生成技术对于研究评估网络攻击行为的攻击效果以及网络安全防护设施的性能等具有重要意义。本文研究了一种基于模型的网络攻击流量生成器的结构组成与设计方法。给出了网络攻击流量生成器的总体结构设计。研究了描述网络攻击行为所需要的特征信息及其分类，提出了以有限状态自动机来对网络攻击行为进行建模的方法，给出了网络攻击模型在数据库中的存储表结构。该网络攻击流量生成器可以生成与真实网络攻击行为特征一致，可以控制网络攻击流量。最后以SYN Flood攻击为例对其应用情况进行了分析。     

基于流量行为图的攻击检测方法

传统基于流的攻击检测无法完全捕获网络通信模式,难以对网络中的攻击事件进行有效检测,而流量行为图中包含的信息可以有效反映主机的真实情况。文章针对多类型网络攻击检测问题,提出了基于流量行为图的攻击检测方法,实现了基于流量行为图的攻击检测。检测方法基于聚类和生成学习模型,包含两个阶段,第一阶段通过聚类算法尽可能地过滤良性节点,第二阶段应用生成学习模型检测多种不同攻击事件。在公开数据集上的实验结果表明,文章提出的攻击检测方法可以有效检测出网络中存在的多种不同攻击事件。此外,系统使用基于Apache Spark的分布式处理框架,可以有效进行大规模数据处理。     

可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.     

CoMM:基于协作标记与缓解的实时IP反向追踪模型

实时性对于在DoS或DDoS网络攻击中发送假源地址包的主机进行IP反向追踪非常重要．提出一个IP实时反向追踪的模型CoMM（Cooperative Marking and Mitigation），在受害者主动参与和自治网络协调员的帮助下推测攻击路径，局部推测的攻击路径可以帮助受害者推测的攻击路径进行验证，上游路由器采取限速方式减小攻击程度的同时保证合法用户流量的传输和受害者正常推测攻击路径的流量需要，并有效的降低路由器参加追踪的开销．     

基于反馈学习的网络攻击过滤方法研究

研究网络不良攻击的过滤问题,提高网络抗攻击能力,可保证网络安全。针对当前网络中攻击识别过滤问题,当过滤网络攻击时,只能够明确归属的攻击类型,当网络攻击不能明确归属特定类型,会产生攻击分类效果下降,产生野攻击,导致不能有效过滤的问题。为了解决上述问题,提出了一种反馈学习的网络攻击过滤方法,通过反馈训练对野攻击进行检测,利用错误驱动进行训练,完成对野攻击的准确分类。随着反馈的进行,反馈学习能捕捉到网络中攻击种类的变化,分类性能逐步提高。实验证明,改进方法能快速准确的完成网络不良攻击的过滤,取得了明显的效果。     

基于LD算法的SQL注入攻击过滤方法研究

如何有效过滤SQL注入攻击是当前Web安全领域亟需解决的关键问题之一。结合关键字过滤与序列比对过滤技术,提出一种基于LD算法的SQL注入攻击过滤（SQLIAF）方法。首先利用黑名单技术,从IP角度对非法用户进行过滤,进而缩小用于过滤的流量规模。其次对用户输入进行关键字检测：若不含关键字,利用LD算法序列比对的方法对非法输入进行过滤;若包含关键字则区分用户请求方式,采用直接加入黑名单的方式或利用LD算法进行处理,以解决传统关键字过滤方法对正常请求的误报问题。实验结果表明,与传统关键字过滤方法和规则匹配过滤方法相比,该方法能有效过滤SQL注入攻击,且误报率及漏报率更低、过滤速度更快。     

一种基于攻击图的安全威胁识别和分析方法

业务系统安全管理需要网络攻击图来评估系统整体安全性或态势,同时又需要对那些可能严重危害系统安全的脆弱性利用威胁进行重点分析和优先处置.现有安全威胁识别和分析方法无法兼顾这两个方面,也无法处理脆弱性利用威胁分析过程中的不确定性问题.作者提出了一种安全威胁识别和分析方法.利用颜色Petri网(CPN)定义网络攻击图,并给出了网络攻击图生成NAGG算法,根据攻击模型分析结果生成网络攻击图;给出了基于CPN仿真的网络攻击图分解NAGD算法,可一次性分解出各脆弱性利用威胁对应的子攻击图,所述子攻击图不存在循环路径且最长攻击路径不超过预设值.并给出了一种脆弱性利用威胁度评估VETE算法,将子攻击图转换为不确定性推理规则集,采用D-S证据推理计算各子攻击图所对应安全威胁的威胁度,以确定安全威胁处置优先级.最后以一个典型Web应用系统为例,验证了所述安全威胁识别和分析方法的有效性.     

Evolutionary design of hash function pairs for network filters

Network filtering is a challenging area in high-speed computer networks, mostly because lots of filtering rules are required and there is only a limited time available for matching these rules. Therefore, network filters accelerated by field-programmable gate arrays (FPGAs) are becoming common where the fast lookup of filtering rules is achieved by the use of hash tables. It is desirable to be able to fill-up these tables efficiently, i.e. to achieve a high table-load factor in order to reduce the offline time of the network filter due to rehashing and/or table replacement. A parallel reconfigurable hash function tuned by an evolutionary algorithm (EA) is proposed in this paper for Internet Protocol (IP) address filtering in FPGAs. The EA fine-tunes the reconfigurable hash function for a given set of IP addresses. The experiments demonstrate that the proposed hash function provides high-speed lookup and achieves a higher table-load factor in comparison with conventional solutions.     

Advanced hashing schemes for packet forwarding using set associative memory architectures

Building a high performance IP packet forwarding (PF) engine remains a challenge due to increasingly stringent throughput requirements and the growing size of IP forwarding tables. The router has to match the incoming packet’s IP address against all entries in the forwarding table. The matching process has to be done at increasingly higher wire speed; hence, scalability and low power consumption are critical for PF engines.Various hash table based schemes have been considered for use in PF engines. Set associative memory can be used for hardware implementations of hash tables with the property that each bucket of a hash table can be searched in a single memory cycle. However, the classic hashing downsides, such as collisions and worst case memory access time have to be dealt with. While open addressing hash tables, in general, provide good average case search performance, their memory utilization and worst case performance can degrade quickly due to collisions (that lead to bucket overflows).The two standard solutions to the overflow problem are either to use predefined probing (e.g., linear or quadratic probing) or to use multiple hash functions. This work presents two new simple hash schemes that extend both aforementioned solutions to tackle the overflow problem efficiently. The first scheme is a hash probing scheme that is called Content-based HAsh Probing (CHAP). As the name suggests, CHAP, based on the content of the hash table, avoids the classical side effects of predefined hash probing methods (i.e., primary and secondary clustering phenomena) and at the same time reduces the overflow. The second scheme, called Progressive Hashing (PH), is a general multiple hash scheme that reduces the overflow as well. The basic idea of PH is to split the prefixes into groups where each group is assigned one hash function, then reuse some hash functions in a progressive fashion to reduce the overflow. Both schemes are amenable to high-performance hardware implementations with low overflow and constant worst-case memory access time. We show by experimenting with real IP lookup tables and synthetic traces that both schemes outperform other existing hashing schemes.     

一种基于属性哈希的告警日志去重方法

网络安全防护设备产生的告警日志中存在大量重复告警,影响实时的网络威胁态势分析。为解决告警日志的实时准确去重问题,提出了一种基于属性哈希的告警日志去重方法。该方法采用属性哈希实现重复告警的快速检测,并采用哈希表同时解决了大量非重复告警日志的存储问题。在基于Darpa数据集构建的告警日志上进行了实验,结果表明该方法在保证较低时间复杂度的同时,去重准确率可以达到95%以上。     

IP动态伪装模型研究

IP伪装学有助于转移视线，迷惑攻击者并防止攻击者从IP地址标识和IP包中获取有价值的信息。本文提出了一个动态伪装模型，它可扩大网络会话通过共享和竞争这些IP来选择的伪装IP数。本文的主要贡献是：(1)通过伪装IP数划分网络会话数定义了计算机伪装度；(2)提出了维护伪装IP队列的算法，通过发送APR消息，改变其状态和竞争伪装IP；使用监测数据包的DiverSocket，Netfilter和IPTables，我们设计了一个基于此模型的实验IPDM，获得了满意结果。     

基于改进DHCP的IP动态伪装设计与实现

通过IP伪装来迷惑攻击者,从而防止针对特定IP的数据流分析与嗅探。文章分析了Linux系统中IP伪装技术的不足,设计并实现了一种基于改进DHCP针对网络会话的IP动态伪装。改进DHCP通过伪装IP使用频率、客户机和IP描述及IP状态变化来管理分配伪装IP,通过主动探测来确保分配IP的安全性。客户机发起新的网络会话时,通过动态申请伪装IP并跟踪网络会话来实现IP动态伪装。     

SKoorde:一种基于de Bruijn图的高效P2P模型

Koorde是一种常数度分布式哈希表（DHT）,但它的定位策略有待改进以减少逻辑路由跳数,而且它存在着逻辑拓扑和物理拓扑失配的问题。在定位过程中采用最短路径路由策略以减少定位跳数．同时提出一种利用IP地址的特性来增强拓扑一致性的路由模型SKoorde。实验仿真表明,SKoorde的平均查询率和平均跳转比两项指标均优于改进前的Koorde,能够较好地提高路由效率。     

一种适应GPU的混合访问缓存索引框架

散列表（hash table）作为一类根据关键码值（key value）提供高效数据访问的数据索引结构,其广泛应用于各类计算机应用中,尤其是在对性能要求极高的系统软件、数据库以及高性能计算领域.在网络、云计算和物联网服务方面,以散列表为核心结构已经成为缓存系统的重要系统组件.然而,随着大规模数据量的大幅度增加,以多核CPU为核心设计散列表结构的系统已经逐渐出现性能瓶颈,亟需进一步改进散列表的高性能和可扩展性.随着通用图形处理器（graphic processing unit,简称GPU）的日益普及以及硬件计算能力和并发性能的大幅度提升,各类以并行计算为核心的系统软件任务在GPU上进行了优化设计并得到可观的性能提升.由于存在稀疏性和随机性,采用现有散列表的并行结构直接在GPU上应用势必会带来高频次的内存访问和频繁的总线数据传输,影响了散列表在GPU上的性能发挥.重点分析了缓存系统中散列表索引的内存访问、命中率与索引开销,提出并设计了一种适应GPU的混合访问缓存索引框架CCHT（cache cuckoo hash table）,提供了两种适应不同命中率和索引开销要求的缓存策略,允许写入与查询操作并发执行,最大程度地利用了GPU硬件的计算性能与并发特性,减少了内存访问与总线传输.通过在GPU硬件上的实现与实验验证,CCHT在保证缓存命中率的同时,性能优于其他用于缓存索引的散列表.     

面向IP流测量的哈希算法研究

为了解决计算资源和高速网络流量之间的矛盾,需要对IP流进行抽样或负载均衡等处理,而哈希算法是资源代价的核心.首先提出评价哈希算法性能的随机测度;其次从理论上证明比特之间异或运算和位移运算能够提高哈希值的随机特性,提出比特流之间哈希算法的原则;然后分析IP报文的4个字段:源IP、宿IP、源端口和宿端口的特性,由此提出相关的哈希算法;最后使用CERNET主干流量和PMA的数据验证算法的性能,并与IPSX和CRC32算法进行比较.研究表明,基于异或、位移原则的比特流哈希算法的执行效率和哈希值的均匀性两方面具有较好的性质,能够满足高速网络流量测量需求.     

适用于高速检索的完美Hash函数

软件实现的Hash函数在当前检索领域应用非常广泛,但是由于处理速度不高,很难满足骨干网以及服务器海量数据的高速实时查找要求.硬件Hash函数处理速度快,但普遍存在设计电路复杂、存储空间利用率不高以及无法支持数据集动态更新等问题.基于位提取(Bit-extraction)算法,利用位选择(Bit-Selection)操作与位逻辑运算在FPGA上仿真实现一种Hash函数,可生成负载因子(Load factor)接近于1的近似最小完美Hash表.仿真结果表明,该Hash函数中每个24 bits长度Key的存储空间只要2.8-5.6 bits,系统时钟频率可以达到300MHz左右(吞吐率超过14Gbps).可以应用于IP地址查找、数据包分类、字符串匹配以及入侵检测等需要实时高速表查找的场景.     

高速网络环境下NAT快速转换算法

网络地址转换(NAT)是路由器的一项基本功能，它有效地隐藏了内部网的规模和拓扑结构，为内部网提供了必要的安全，并且也是临时解决IP地址短缺的途径。从实际应用出发，提出了一种基于Patricia树的高速网络环境下NAT转换条目的快速搜索算法，该算法将NAT的转换条目组织成Patricia，并辅之以Hash表，加快了转换条目的搜索过程。为满足实时业务的需要，还引入了Cache，并对传统NAT转换条目的操作进行了适当的优化，大大地提高了NAT的性能。