一种分块包标记的IP追踪方案

DDoS攻击以其高发性、高破坏力和难以防范的特点，近年来成为互联网的主要安全威胁之一．研究者们提出了多种对抗DDoS攻击的方法．：乓中，Savage等人提出的概率包标记方案以其易于实施、消耗资源小等优点，引起人们的重视．然而概率包标记方案存在两个明显缺陷：多攻击路径重构时的高误报率和高计算复杂度．在概率包标记的基础上，提出了一种分块包标记方案，该方案与概率包标记方案相比具有较低的误报率和较低的计算复杂度，因而具有更高的实际应用意义．     

跨域的混合包标记编码方案

在自适应概率包标记的基础上提出了一种基于跨域的自适应概率包标记编码方案。模拟实验表明:采用该方法在重构路径时,所需要的包个数低于同类型的自适应概率包标记方案和高级包标记方案。     

非固定概率包标记的IP追踪研究

概述了IP回溯和包标记追踪问题,分析了固定概率包标记方案存在的缺陷,并研究了现有的非固定概率包标记方案,着重对基于三种距离度量的非固定概率包标记进行了分析,指出并部分改进了其中不合理之处。还提出了一种基于攻击者到标记路由器距离的非固定包标记的改进方案,并进行了性能分析。     

一种动-静态结合的概率包标记IP追踪方案

大多数概率包标记IP追踪方案因为固定标记概率而存在最弱链问题,从而导致重构路径的弱收敛性,动态概率包标记虽然在这些方面有所改善,但仍有路由器的负担过重和存储空间要求过高的问题。可以用一种动-静态结合的概率包标记方案来解决上述问题,通过分析表明该方案在收敛时间和最弱链问题上优于静态概率包标记,而在存储空间和路由器负担上优于动态概率包标记。     

基于可变概率的快速IP包追踪方案

为了改进概率包标记方案的性能,提出两个能追踪大规模拒绝服务攻击可变概率包标记方案。采用可变概率标记,可识别和排除攻击者虚假标记信息。通过在路由器中记录IP地址发送状态,对包分片进行有序发送,降低了受害者重构路径时所需接收包的数量。     

一种基于节点采样的包标记追踪方案

概率包标记(PPM)是一种有效的IP追踪技术，但传统方案基于不现实的假设,存在很多不足，影响了实用性。基于合理的假设条件改进了高级标记方案(AMS)，使用可调节的标记概率，根据TTL值计算距离和点采样等策略，改善了高级包标记方案存在的弱收敛性，不支持渐进部署，易受伪造标记攻击等缺陷，具有较好的实用性。     

基于动态概率包标记的IP追踪方法

目前多数概率包标记都存在遗失标记信息、重构困难、准确率低等现象。针对该问题,提出一种基于动态概率包标记的IP追踪方法。采用动态标记概率代替原有的固定标记概率用于判断是否对数据包进行标记,应用更合适的概率对其标记。实验结果表明,该方法能解决标记覆盖问题,降低样本依赖性,提高准确率。     

一种新的非重复性包标记IP追踪方案

大多数概率包标记(PPM)因为重复标记和固定的标记概率而存在最弱链问题，从而导致重构路径的弱收敛性。文章提出了一种新的非重复性包标记的IP追踪方案，通过重载部分偏移域来获得更多的标记空间。具体以分片标记(FMS)方案为例，给出了标记算法和编码方式，分析了新方案在追踪范围、收敛时间、分片重组、误报和计算量等方面的性能。通过比较，证明新方案是优于FMS的。     

基于非重复包标记的IP追踪研究

防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一。在基本包标记的基础上，提出了非重复包标记的方法，并运用自适应策略分析标记概率，有效地减少了路径重构所需的数据包数和路由器的标记工作量，提高了路径重构的效率。     

基于包标记的DDOS攻击源追踪方案的研究

对包标记技术进行较为深入的研究,在动态概率包标记的基础上提出动态概率与压缩边采样标记法相结合的DHPPM（Dynamic Hash and Probability Packet Marking,动态散列概率包标记）算法,该算法能有效降低边界路由器的标记负载,通过定时更新压缩函数,增加追踪过程的抗干扰性。     

一种新的DDoS攻击源追踪包标记方法

分布式拒绝服务(DDoS)攻击是目前最难处理的网络难题之一,在提出的多种对策中,通过包标记方法来进行IP跟踪受到广泛重视。提出了一种新的包标记方法(IPPM),来改进包标记方法需要网络中每个路由器都支持的弱点。通过实验表明,在包标记方法不完整配置的网络中,该方法能有效地重构攻击路径并且误报率很低。     

基于IPv6改进的AMS-v6与APPM-v6方案研究

包标记算法是IPv4下追踪DDOS攻击源最多的一种方法,但IPv6下实施困难.由此对IPv6下包标记方法的可行性进行了研究.为有效和安全的部署和实施数据包标记算法,利用IPv6新的特点,并结合标记流标签等字段,提出两种基于IPv6的改进方案AMS-v6和APPM-v6.在IPv4和IPv6协议下设计模型分别对两种算法进行实验对比,仿真实验结果表明了该算法在IPv6下数据包标记的有效性和适用性,并有效减少重构时间和所需数据包数量,提高重构攻击路径的速度.     

Novel hybrid schemes employing packet marking and logging for IP traceback

Tracing DoS attacks that employ source address spoofing is an important and challenging problem. Traditional traceback schemes provide spoofed packets traceback capability either by augmenting the packets with partial path information (i.e., packet marking) or by storing packet digests or signatures at intermediate routers (i.e., packet logging). Such approaches require either a large number of attack packets to be collected by the victim to infer the paths (packet marking) or a significant amount of resources to be reserved at intermediate routers (packet logging). We adopt a hybrid traceback approach in which packet marking and packet logging are integrated in a novel manner, so as to achieve the best of both worlds, that is, to achieve a small number of attack packets to conduct the traceback process and a small amount of resources to be allocated at intermediate routers for packet logging purposes. Based on this notion, two novel traceback schemes are presented. The first scheme, called distributed link-list traceback (DLLT), is based on the idea of preserving the marking information at intermediate routers in such a way that it can be collected using a link list-based approach. The second scheme, called probabilistic pipelined packet marking (PPPM), employs the concept of a "pipeline" for propagating marking information from one marking router to another so that it eventually reaches the destination. We evaluate the effectiveness of the proposed schemes against various performance metrics through a combination of analytical and simulation studies. Our studies show that the proposed schemes offer a drastic reduction in the number of packets required to conduct the traceback process and a reasonable saving in the storage requirement.     

Traceback in wireless sensor networks with packet marking and logging

In a hostile environment, sensor nodes may be compromised and then be used to launch various attacks. One severe attack is false data injection which is becoming a serious threat to wireless sensor networks. An attacker uses the compromised node to flood the network and exhaust network resources by injecting a large number of bogus packets. In this paper, we study how to locate the attack node using a framework of packet marking and packet logging. We propose a combined packet marking and logging scheme for traceback (CPMLT). In CPMLT, one packet can be marked by up to M nodes, each node marks a packet with certain probability. When one packet is marked by M nodes, the next marking node will log this packet. Through combining packet marking and logging, we can reconstruct the entire attack path to locate the attack node by collecting enough packets. In our simulation, CPMLT achieves fast traceback with little logging overhead.     

基于确定包标记的DDoS攻击防御

针对已有的基于包标记的分布式拒绝服务攻击防御机制在安全性、标记利用率低、可扩展性差等方面的缺陷,提出一种基于确定包标记的DDoS攻击防御方案。通过采用一种新的编码机制,在IP数据包中嵌入一个与入口点地址相关的29位标识,将这个标识完整地记录在一个包上,使该方案具有单包追踪且零误报、保护ISP内部网络拓扑信息和应对大规模DDoS攻击的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。     

IP追踪中PPM算法的改进研究

概率包标记(PPM)是对拒绝服务(DoS)攻击进行IP追踪的一种实用而有效的方法。文章提出通过利用TTL域对原有PPM方案进行改进，减少了路径重构所需的数据包数量，提高了路径重构的效率。     

基于自适应包标记的IP源追踪方案

防御分布式拒绝服务(DDoS)攻击是当前网络攻击研究的重要课题,本文提出了一种DDoS攻击追踪方案的构想,在自适应包标记理论的基础上,提出了新的改进算法,该方案利用了TTL域和并提出了一种伸缩性的包标记策略,可以通过更少的数据包更快的定位出攻击源。同以往方法比较,该算法的灵活性好,并且误报率很低。经仿真实验证明该系统用较少的数据包即追踪IP源,最大限度的减少了攻击带来的损失。