内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。     

DSR-BCA协议应对DoS攻击的解决方法

Ad hoc网络的无线、自组织特点使其很容易受到DoS攻击.在已有研究成果DSR-BCA协议的基础上,增加一个应对DoS攻击的机制,参与网络路由的节点都执行路由参与验证算法,当网络数据传输的丢包率超过预设阈值时,用隔离算法找出被DoS攻击的节点并隔离它,使网络节点的有效性最大化.仿真实验表明,该方法在Ad hoc网络受到DoS攻击时的效果明显,在平均传输时延和分组投递率两方面的性能都有提高,对于DoS攻击可以起到很好的抵制作用,提升了网络的健壮性.     

基于多节点联合的Ad hoc网络攻击

本文基于对Ad hoc网络中AODV协议的安全性分析,针对现有黑洞攻击中存在的不足,提出一种新的基于多节点联合的跨层攻击方法。该方案可以破坏网络中正在传输的路径,迫使源节点重新发送路由请求,以达到恶意节点进入其路由路径,从而实施主动攻击的目的,而不必像传统的AODV路由攻击那样,需要等待节点发起路由请求才能实施攻击。     

基于启发式Q学习的FANET可信路由算法

无人机自组织网络（FANET）是实现无人机自主集群的关键技术,其通过各无人机节点来完成协同通信。但节点的高机动性、网络结构的开放性造成FANET拓扑变化频繁,容易遭受恶意攻击。为此,提出一种基于启发式Q学习的可信路由算法HQTR。将FANET中的路由选择问题映射为有限马尔科夫决策过程,针对路由层面的黑洞攻击与泛洪攻击,引入数据包转发率与路由请求发送速率,通过模糊推理计算节点的信任值,同时考虑节点的邻居关系,提出一种模糊动态信任奖励机制。结合单跳链路状况设计启发式函数,采用改进的ε-贪婪策略来平衡利用-探索过程,引导当前节点选择最优可信下一跳节点。仿真结果表明,相对AOMDV、TEAOMDV与ESRQ算法,HQTR算法能够有效应对黑洞攻击与RREQ泛洪攻击,降低节点高速运动与网络规模变化所造成的影响,提高数据包投递率与吞吐量,减少路由开销与平均端到端时延。     

一种安全的Ad Hoc网络路由协议SGSR

Ad Hoc网络作为一种无线移动网络,其安全问题,特别是路由协议的安全备受关注。针对现有适合移动Ad Hoc网络的链路状态路由协议GSR无法防范恶意节点伪造、篡改、DoS攻击的现状,本文提出了一种在移动Ad Hoc网络中抵抗单个节点恶意攻击的安全路由协议SGSR,给出了认证协议的形式化证明,并对路由协议进行仿真和性能分析。     

泛洪攻击下机会网络典型路由算法健壮性分析

设计了评价方法及指标体系,通过对真实城市场景中带有智能蓝牙设备行人移动行为的仿真,从传输能力、传输效率和节点能耗三个方面定量分析了志愿节点的作用以及在有或没有志愿节点参与情况下泛洪攻击的效果,以此来评价Direct Delivery、Epidemic、Spray and Wait、Prophet和MaxProp共五种机会网络典型路由算法在泛洪攻击下的健壮性。结果表明Direct Delivery算法健壮性最好,能完全抵御泛洪攻击,Spray and Wait算法的健壮性最差,在某些场景下性能会下降80%以上,其他三种算法在泛洪攻击下性能会显著下降。     

IPv6中的DoS/DDoS攻击流量突发检测算法

IPv6下的安全体系结构IPSec对IPv6网络的安全起到了一定的作用,但是它对某些特殊攻击的防范,例如泛洪DoS/DDoS攻击,却无能为力。该文通过对IPv6中泛洪DoS/DDoS攻击发生时的流量特征的分析,对基于网络流量突发变化的DoS/DDoS攻击检测算法在IPv6下的应用进行研究,分别用Matlab和NS-2对算法进行有效性和可行性验证。结果表明,突发流量检测算法在IPv6环境中运行良好。     

一种针对AODV协议黑洞攻击的检测策略

无线自组织网络是由若干个移动节点组成的网络,当一个节点需要和另一个节点通信时,它们通过中间节点将数据转发,因此网络中每个节点既是独立的终端设备,也能作为路由器使用。黑洞攻击是无线自组织网络一种常见的攻击,恶意节点利用协议机制向其他节点广播自己具有到达目的节点的最短路径,导致所有的数据将会流向这些恶意节点。这些恶意节点通过丢弃数据发动拒绝服务攻击,或者将数据重定向到伪装的目的节点。基于AODV(Ad Hoc On-Demand Distance Vector Routing)协议,提出一种针对其黑洞攻击的检测策略。通过NS-2的仿真实验,分析关于无线Ad Hoc网络的三个性能指标,分组投递率,端到端的平均时延和归一化的路由开销,实验结果表明该检测策略能够增强AODV路由协议的安全性。     

一种基于TPM的DoS/DDoS攻击防范方法

提出一种利用可信技术来抵御DoS/DDoS攻击的方法.在现有的网络传输机制中对设备和协议做了一些加强,在攻击发起之时隔离恶意连接请求,以维持服务器正常运作.     

时延容忍传感器网络中抗黑洞攻击的安全路由协议

时延容忍网络是一种在大部分时间内源节点和目的节点之间不存在端到端路径,而依靠存储转发机制实现异步通信的无线自组织网络。针对其黑洞攻击的问题,设计一种能够检测黑洞节点的安全路由协议。分析时延容忍传感器网络模型和黑洞攻击模型,给出基于传递证据的恶意节点检测方案,并将其与路由协议相融合。仿真结果表明,该协议可准确识别出恶意节点,并且在传感器网络环境中具有较好的路由性能。将安全路由协议应用于水下环境监测或城市交通控制等领域,可以避免其网络环境遭受恶意节点的攻击,保证网络的可靠性与稳定性。     

Prevention of selective black hole attacks on mobile ad hoc networks through intrusion detection systems

A black hole attack on a MANET refers to an attack by a malicious node, which forcibly acquires the route from a source to a destination by the falsification of sequence number and hop count of the routing message. A selective black hole is a node that can optionally and alternately perform a black hole attack or perform as a normal node. In this paper, several IDS (intrusion detection system) nodes are deployed in MANETs in order to detect and prevent selective black hole attacks. The IDS nodes must be set in sniff mode in order to perform the so-called ABM (Anti-Blackhole Mechanism) function, which is mainly used to estimate a suspicious value of a node according to the abnormal difference between the routing messages transmitted from the node. When a suspicious value exceeds a threshold, an IDS nearby will broadcast a block message, informing all nodes on the network, asking them to cooperatively isolate the malicious node. This study employs ns2 to validate the effect of the proposed IDS deployment, as IDS nodes can rapidly block a malicious node, without false positives, if a proper threshold is set.     

基于遗传算法的防止无线移动网络路由攻击策略

在无线移动网络中,恶意节点可以通过发送虚假信息和假路由信息、广播假链接等中断路由操作对网络进行攻击。本文在分析了几种常见路由攻击的基础上,提出了一种基于遗传算法的路由优化策略。实验数据表明,这种优化策略可以较好地预防路由攻击,提高网络的整体性能。     

Defending against Wormhole Attack in MANET Using an Artificial Immune System

MANETs are mobile networks that are spontaneously deployed over a geographically limited area without requiring any pre-existing infrastructure. Typically, nodes are both autonomous and self-organized without requiring a central administration or a fixed network infrastructure. Due to their distributed nature, MANET is vulnerable to a specific routing misbehavior, called wormhole attack. In a wormhole attack, one malicious node tunnels packets from its location to the other malicious node. Such wormhole attacks result in a false route with fewer hop count. If the source node follows this fake route, malicious nodes have the option of delivering the packets or dropping them. This article aims at removing these attacks. For this purpose, it investigates the use of an Artificial Immune System (AIS) to defend against wormhole attack. The proposed approach learns rapidly how to detect and bypass the wormhole nodes without affecting the overall performance of the network. The proposed approach is evaluated in comparison with other existing solutions in terms of dropped packet count, packet loss ratio, throughput, packet delivery ratio, and end-to-end delay. A simulation result shows that the proposed approach offers better performance than other schemes defending against the wormhole attack.     

抵御欺骗攻击的DV-hop安全定位算法

针对无线传感器网络中距离无关的定位技术,提出了DV-Hop定位中普通节点被俘获的欺骗攻击模型,分析了这种欺骗攻击模型对DV-Hop定位过程的影响,进而提出了一种抵御欺骗攻击的DV-Hop安全定位算法.首先,在普通节点端提出了基于发送-转发信息一致性的检测机制来检测恶意节点;其次,在汇聚节点端提出了基于消息转发链举证的检测机制来确定恶意节点;最后,当汇聚节点检测出存在恶意节点进行篡改攻击后,汇聚节点通报全网弃用恶意节点转发的数据分组并重启定位.仿真结果表明,本文提出的安全定位算法可以有效滤除恶意节点,且安全定位算法的定位性能与无攻击下的DV-Hop定位性能基本相当,可以有效解决欺骗攻击对DV-Hop定位过程造成的影响.     

一种新的无线传感网络干扰攻击检测技术

为了解决现有干扰攻击检测技术存在数据包丢失、高开销和网络吞吐量的问题,提出了一种基于群集和时间戳的无线传感器网络干扰攻击检测技术。该技术基于聚类算法对传感器节点进行分组,利用时间戳识别恶意节点,通过判断签名是否匹配来检测干扰。如果任何节点被识别为恶意节点,就安排新群集绕过堵塞的区域,通过备用路由来继续通信。实验表明与现有技术相比,基于时间戳的干扰检测技术在数据包传输率（packet delivery ratio,PDR）、网络吞吐量、能量消耗和路由开销方面均优于现有方法性能。     

移动自组织网络中内部丢包的检测模型

无线移动自组织网络中数据的传输是基于中间节点的合作转发的,但由于内部自私节点为了节省带宽和电量或者网络受到恶意节点的攻击,导致丢包行为发生,网络性能严重降低。基于无线自组织网络常用的路由协议AODV,提出了一种新的针对内部丢包攻击的检测模型。该检测模型引入旁信道概念,旁信道节点和看门狗共同检测并记录节点转发报文行为,采用邻居信息表存放检测结果,当相应节点的记录值达到一定下限时就被隔离出网络。由于旁信道可以发送警报报文,该模型能够同时检测到自私节点或合作攻击节点引起的内部丢包攻击。     

A multipath routing strategy to prevent flooding disruption attacks in link state routing protocols for MANETs

Multipath routing has been proposed to increase resilience against network failures or improve security in Mobile Ad Hoc Networks (MANETs). The Optimized Link State Routing (OLSR) protocol has been adopted by several multipath routing strategies. They implement Multipoint Relay (MPR) nodes as a flooding mechanism for distributing control information. Ideally, the construction of multiple disjoint paths helps to increase resilience against network failures or malicious attacks. However, this is not always possible. In OLSR networks, partial link-state information is generated and flooded exclusively by the MPRs. Therefore, the nodes only obtain a partial view of the network topology. Additionally, flooding disruption attacks may affect either the selection of the MPRs or the propagation of control traffic information. As a consequence, the chances of constructing multiple disjoint paths are reduced. We present a strategy to compute multiple strictly disjoint paths between any two nodes in OLSR-based networks. We provide mechanisms to improve the view of the network topology by the nodes, as well as handling potential flooding disruption attacks to the multipath construction mechanism in OLSR-based networks. We conduct simulations that confirm our claims.     

一种抗合谋攻击的区块链网络分片算法

分片技术是区块链用来解决可扩展性问题的主流技术之一。通过分片技术可以有效地提升区块链的吞吐量,然而由于子链算力分布不均导致区块链安全性差。为了降低网络分片引起的子链合谋攻击风险,提出基于一种抗合谋攻击的区块链网络分片算法（anti-collusion attack network sharding algorithm for blockchain,AANS）。该算法综合考虑节点行为特征及算力特征,通过轮询区块链网络中的恶意节点,将算力均匀分配在各个子链中,避免恶意节点聚集造成合谋攻击问题。仿真实验从子链恶意节点数量、子链合谋算力、子链合谋攻击占比和危险子链占比这四个方面验证所提出AANS算法的有效性。仿真结果表明,AANS算法可以有效避免子链恶意节点聚集,降低子链合谋攻击风险,保证区块链子链的安全性。