利用CSP方法对IEEE802.11w形式化分析

运行在 IEEE 802．11i 基础上的 IEEE 802．11w 增加了对无线网络管理帧的保护,针对 IEEE 802．11w 协议的安全性问题,利用了通信顺序进程(CSP)对其进行形式化分析。对协议运行在恶意环境中,存在攻击者的情况下,利用 CSP 方法建立了攻击者和协议主体的 CSP 进程模型。使用模型检测工具故障发散改进器(FDR)进行仿真实验,对协议的认证和安全属性进行了校验,发现该协议存在中间人攻击情况,为提高 IEEE 802．11w的安全性提供了帮助。     

802.11i中的四次握手协议安全性分析及改进

分析了IEEE802.11i标准中四次握手协议容易受到DoS攻击的原因,提出了两种改进方案,并对其安全性进行了分析,分析结果表明,这两种方案通过改变密钥的产生和分发过程能够有效地阻止DoS攻击。     

基于小波分析和连接信任域的DDoS防范模型

分析了DoS攻击机理,基于网络流量的自相似性提出了一种DDoS防范模型.首先采用小波方法计算流量的Hurst参数,判断是否遭受DoS攻击.当认为受到攻击后,结合连接信任域来进行响应.实验表明,该模型可以检测到强、弱DoS攻击;在受到DDoS攻击后,仍可以在一定程度上为正常用户提供服务.     

高校园区内WLAN的DoS攻击防范策略研究

由于WLAN技术具有移动性、开放性、便捷性和较高带宽等特点,以及规划实施中组网灵活、成本低等诸多优势,使得高校WLAN得到了快速发展.由于无线信号传输的特性及扩频技术,各大营运商竞争客户资源,使得无线网络特别容易受到DoS攻击的威胁,高校园区内WLAN面对的DoS安全成为影响用户体验的主要障碍.而IEEE802.11工作组所定义WEP及WAPI均属于被动安全机制,对DoS等攻击无能为力.分析了高校园区内常见DoS攻击,提出相应的防御策略和解决方法.     

时变环境下的DoS网络攻击频谱检测方法仿真

时变DoS攻击是当前新出现的一种攻击形式,与非时变网络攻击不同,时变环境下的DoS网络攻击特征频谱处在大幅动态变化中,会造成用于检测攻击频谱处在不可控区间的波动中,无法形成区域内稳定的网络攻击频谱特征.传统的DoS攻击频谱检测方法,多是以检测非时变攻击频率特征为主,对时变攻击无法获取稳定的攻击频谱数据特征,检测的准确性一直较低.提出一种采用包络延拓和本征波匹配的时变DoS攻击频谱检测方法,通过时变DoS攻击频谱信号边界波与内部波之间的本征波匹配性对信号边界进行处理,采用AR模型完成所有时变DoS攻击频谱信号极值点之间上下包络的估测以及延伸,实现DoS攻击频谱的估测,通过时变DoS攻击前后随机序列统计均值的变化对估测到的DoS频谱进行检测.仿真结果表明,采用所提方法对时变DoS攻击频谱进行检测不仅检测率高,而且耗能低.     

针对工业信息物理系统中的拒绝服务攻击建立检测模型

无线通信网络的脆弱性使工业信息物理系统(ICPS)的稳定性容易遭受拒绝服务(DoS)攻击的影响.为检测ICPS中的DoS攻击,本文基于反馈控制理论,采用卡尔曼滤波器和χ2检测器结合的检测方案建立攻击检测模型.卡尔曼滤波器用于去除环境噪声,并得到测量残差;χ2检测器通过测量残差得到检测值,再结合攻击检测判决规则,判断系统是否受到DoS攻击.为证明所采用方法的有效性,以球杆系统为被控对象,通过Simulink/TrueTime进行仿真,并使用欧几里得检测器作对比实验.实验结果表明,基于反馈控制理论的攻击检测模型可以有效地检测ICPS中的DoS攻击;相较于欧几里得检测器,χ2检测器能够更好地检测DoS攻击.     

基于对称密钥加密的RSN密钥协商改进方法

通过对IEEE802.11i无线局域网安全标准中动态密钥协商机制的详细分析,发现四次握手过程存在缺陷并且有可能遭受伪造消息的拒绝服务(DoS)攻击。针对这一安全漏洞,提出一种基于对称密钥加密技术的四次握手过程改进方法。这一改进方法改变了IEEE802.11i四次握手过程中明文传送密钥材料的策略,使用AES加密算法对密钥材料进行加密,从而避免了攻击者通过伪造消息进行DoS攻击。为了验证这一改进方法的有效性,利用Python和pyCrypto组件对其进行了模拟与分析,从模拟结果可以看出,这一改进方法能够很好地避免DoS攻击,同时不会引起申请者的内存耗尽和CPU性能下降,进一步增强了WLAN的安全性。     

一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

防止DoS攻击的一种简单算法在Linux的实现

利用Linux的Ipchains建立代理服务器上网已在中小企业十分普遍,分布式网络攻击活动的猖獗,拒绝服务攻击(DoS)经常导致服务器负载过重,影响企业上网.本文主要分析了网络攻击(DoS攻击)的原理,并在此基础利用检测DoS攻击的一种简单算法,在Linux NAT服务器上动态调用Ipchains过滤规则防止DoS攻击.     

基于SIP的DoS攻击防御策略的改进

随着SIP协议应用的不断增多,系统安全性能逐渐成为人们关注的焦点。本文从DoS攻击者的角度分析得出防御请求消息洪泛攻击是DoS攻击防御的重中之重。提出利用IDS检测的反馈信息,对SIP系统中的攻击流进行抛弃这一防御策略。达到对SIP协议下的DoS攻击的防御。     

Denial-of-Service attacks and countermeasures in IEEE 802.11 wireless networks

IEEE 802.11 access points deployed in shopping malls, university campuses, crowded streets, airports, and many other locations provide ubiquitous Internet access to millions of stations. However, these hot spots are vulnerable to Denial-of-Service (DoS) attacks due to the broadcast nature of wireless communication. It does not require specialized hardware or particularly high level of experience to render 802.11 networks inoperable through DoS attacks. Standard off-the-shelf equipment is sufficient for a malicious station to disrupt the service between access points and stations. In this paper we present a systematic survey of DoS attacks, which exploits MAC and physical layer vulnerabilities of 802.11 networks. Available countermeasures against DoS attacks are discussed and compared. Future research directions and open issues are also discussed.     

一种新的无线局域网认证机制

分析了无线局域网的安全标准IEEE 802.11i和WAPI在安全与效率上存在的缺陷。提出了一种基于哈希链构造认证令牌，实现无线网络快速实体认证机制FWAI。与802.11i和WAPI比较，新机制使用较少的交互，无需数字签名，实现在“第一时间”对实体STA的认证，并高效产生会话密钥。新机制不仅能有效防范STA、AP、ASU的假冒、消息重放等攻击，还具有很强的抗击拒绝服务攻击的能力。     

IEEE802.11i中四次握手过程的安全分析和改进

对IEEE802.11i协议中四次握手过程的临时会话密钥的协商和建立过程中的安全性进行了分析，发现在四次握手过程中存在安全隐患，并因此可能受到DoS(拒绝服务)攻击。在此基础上提出了一种改进方法，使四次握手过程的安全性得到进一步增强。     

DoS攻击下电力网络控制系统脆弱性分析及防御

考虑DoS攻击对电力信息物理系统的影响,提出一种电力网络控制系统脆弱节点的检测方法和防御策略,采用分布式控制架构设计传感器和RTU的传输路径.通过求解最稀疏矩阵优化问题,提出一种识别并保护电力通信网脆弱节点和边的方法,保证系统实现安全稳定运行.进一步提出一种可以抵御DoS攻击的电力网络控制系统拓扑设计方法,研究系统遭受DoS攻击时能恢复稳定的电力网络控制系统拓扑连接方式. IEEE 9节点系统用于仿真验证,充分验证了算法的可行性和可靠性,并针对该9节点电力网络控制系统,给出了具体的网络攻击防御策略.     

IEEE 802.11 MAC地址欺骗及其检测技术

对IEEE 802.11协议以及无线局域网存在的安全问题进行了深入的剖析。分析了IEEE 802.11MAC帧头部信息,利用序列号分析的方法,对MAC地址欺骗攻击进行有效的检测,从而提高无线局域网的安全性。     

战场自组织网络中MAC层的注入攻击

基于对战场自组织网络中IEEE 802.11 MAC协议的安全性分析,提出一种新的注入攻击方法,与传统注入攻击相比不表现出任何自私攻击行为,可以有效地躲避检测。利用NS2仿真平台搭建了具有分簇结构的战场自组织网络场景,在此环境下进行注入攻击仿真;模拟结果表明,新的注入攻击方法可以降低战场自组织网络数据安全传输的可靠性,攻击节点增多将加大攻击效果。     

基于无线局域网的认证方法研究

以无线局域网中的身份认证方式为研究对象,在研究WEP认证、IEEE802.11i认证的基础上,基于安全协议设计规范中通信实体间的相互认证原则,将现有的IEEE802.11i中的伪双向身份认证改进后使之为真正的双向认证机制,经过形式化的仿真分析表明对IEEE802.11i的改进可以防止各种假冒攻击,进一步保证了通信双方的合法性。     

DoS Attack Detection Based on Deep Factorization Machine in SDN

Software-Defined Network (SDN) decouples the control plane of network devices from the data plane. While alleviating the problems presented in traditional network architectures, it also brings potential security risks, particularly network Denial-of-Service (DoS) attacks. While many research efforts have been devoted to identifying new features for DoS attack detection, detection methods are less accurate in detecting DoS attacks against client hosts due to the high stealth of such attacks. To solve this problem, a new method of DoS attack detection based on Deep Factorization Machine (DeepFM) is proposed in SDN. Firstly, we select the Growth Rate of Max Matched Packets (GRMMP) in SDN as detection feature. Then, the DeepFM algorithm is used to extract features from flow rules and classify them into dense and discrete features to detect DoS attacks. After training, the model can be used to infer whether SDN is under DoS attacks, and a DeepFM-based detection method for DoS attacks against client host is implemented. Simulation results show that our method can effectively detect DoS attacks in SDN. Compared with the K-Nearest Neighbor (K-NN), Artificial Neural Network (ANN) models, Support Vector Machine (SVM) and Random Forest models, our proposed method outperforms in accuracy, precision and F1 values.     

拒绝服务攻击下基于UKF的智能电网动态状态估计研究

针对连续拒绝服务（Denial of service，DoS）攻击导致量测数据丢失使得动态状态估计失效、进而破坏智能电网安全经济运行问题，本文提出了一种适用拒绝服务攻击的改进无迹卡尔曼滤波（Unscented Kalman filter，UKF）方法，以进行智能电网动态状态估计.首先，分析拒绝服务攻击引起数据丢包特性并设计了数据补偿策略，以重构电力系统动态模型；然后，结合Holt's双参数指数平滑和无迹卡尔曼滤波方法，构造了融合补偿信息的新状态估计方程，并进一步基于估计误差协方差矩阵推导了状态增益更新方法，从而得到了无迹卡尔曼滤波动态状态估计新方法.最后，针对IEEE 30和118节点系统进行仿真，验证了所提方法的可行性和有效性.