可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.     

联盟模式下高效单包溯源方法研究

IP协议的"无状态"特征引发了许多网络安全管理问题.为此,人们提出了单包溯源技术.然而,已有方法因激励性能低、无法增量部署、维护成本高等问题,一直未被大规模推广.基于此,提出一种联盟模式下高效单包溯源方法,简称TIST.该方法首先在大规模网络上构建溯源联盟体系结构,通过剪除搭便车自治域来提高部署激励性;然后,通过融合IP流标记和对等过滤技术,设计一种面向溯源联盟的链路指纹建立策略,它能弱化自治域之间的溯源耦合性,实现增量部署;最后,定义一种新的面向网络前缀的计数布鲁姆过滤器,并通过优化其参数,使溯源路由器能够快速识别溯源分组,进而实现链路指纹的选择性建立,降低维护成本.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明:相对于以往方案,TIST在可部署性方面确实有了很大的改善.     

一种防御DDoS攻击的IP源回溯方法

提出了一种利用被动监听Overlay网络进行DDoS攻击源追踪的新方法。它能够跨越多个自治系统追踪一个大规模DDoS攻击的多个攻击源。基于该方案,设计和实现了一个IP源回溯系统：SnifferTrack。描述了它的体系结构和组成、追踪过程和算法。最后,提出了SnifferTrack系统中的几个局限以及进一步的工作。     

一种新的DDoS攻击源追踪包标记方法

分布式拒绝服务（DDoS）攻击是目前最难处理的网络难题之一,在提出的多种对策中,通过包标记方法来进行IP跟踪受到广泛重视。提出了一种新的包标记方法（IPPM）,来改进包标记方法需要网络中每个路由器都支持的弱点。通过实验表明,在包标记方法不完整配置的网络中,该方法能有效地重构攻击路径并且误报率很低。     

两种典型拒绝服务攻击手法的分析与对策

拒绝服务攻击是攻击网络系统的一种常用方法,实现这一攻击目前有许多种方法,对SYN Flooding和Teardrop两种典型的拒绝服务攻击手法进行了分析,并给出了相应的攻击检测,解决的方案,介绍了拒绝服务攻击向分布式发展的动态。     

一种新的补偿概率包标记IP追踪方案

防御拒绝服务（DoS）攻击是目前最难解决的网络安全问题之一。概率包标记（PPM）是一种比较有效且实用的解决方法。然而大多数PPM方案都存在最弱链问题,导致了弱收敛性。提出一种新的补偿概率包标记方法,有效地减小了重构路径时的收敛时间以及计算开销,提高了路径重构的效率。     

一种基于分片包标记的改进方案

分布式拒绝服务（DDoS）攻击已经对Internet安全构成巨大威胁。由于TCP/IP协议本身的缺陷以及Internet的无状态性,使受害者对攻击源的确定变得十分困难。在深入研究分片包标记方案的基础上,扩展了标记空间,设立了一个分组域来区分数据包来自于哪一分组的路由器。这样,在重构攻击路径时只需要少量的分片组合就可以验证一条边是否在实际的攻击路径中,从而缩短了收敛时间,并减少了误报数。     

SYN Flood攻击的原理、实现与防范

SYN Flood攻击是拒绝服务攻击中的一种典型攻击手段。在分析攻击原理的基础上，介绍了该攻击在Limux平台上的实现方法及目前防范该攻击的主要技术。     

DoS攻击的研究与源地址追踪

本文介绍了DoS攻击的发展概貌,并重点介绍了几种常见攻击方法的原理和防御措施,随后给出了国际上最新的网络攻击IP源地址追踪方案,最后介绍了由作者提出的带认证机制的入口包标记方法实现的IP源地址追踪。     

一种针对DDoS攻击的非侵入性IP追踪方案

该文针对DDoS攻击提出了一种非侵入性IP追踪方案,在正常状态下对转接网络路由器中数据包进行概率采样,利用路由器的cache来保存数据包的有效源地址,受攻击时检测出未知来源地址,构造出攻击路径图。仿真证明该方案不需要改变路由器配置与协议,也不需要用各类检测技术收集大量准确的攻击信息。计算量的分布式处理使该方案有很好的可扩展性,能够对攻击源进行简单有效的快速追溯。     

基于可变概率的快速IP包追踪方案

为了改进概率包标记方案的性能,提出两个能追踪大规模拒绝服务攻击可变概率包标记方案。采用可变概率标记,可识别和排除攻击者虚假标记信息。通过在路由器中记录IP地址发送状态,对包分片进行有序发送,降低了受害者重构路径时所需接收包的数量。     

使用带认证的入口包标记追踪IP源地址

本文首先介绍了几种国际上最新的网络攻击IP源地址追踪方案,随后提出了一种带认证机制的、对入口包进行标记的IP地址追踪方案,最后对几种方案进行了比较,说明入口包标记方案具有较好的特性。     

一种新的攻击源定位算法NA

在对目前有代表性的攻击源定位算法进行分析的基础上,将边标记方法与结点标记方法进行有机地结合,提出了一种攻击源定位算法NA。该算法在保持较小开销和较高效率的前提下,具有更高的精确度。给出了详细的算法分析以及仿真结果。     

一种基于反向确认的DDoS攻击源追踪模型

在分析高级随机包标记算法(AMS)的基础上,提出了一种基于反向确认的攻击源追踪模型,该模型不再需要AMS过强的假设前提。同时为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果证明该算法不仅收敛时间短,而且比AMS算法更稳定。     

基于信任关系的路由器接口标记IP追踪方案

防御拒绝服务（DDS）攻击是目前最难解决的网络安全问题之一。概率包标记（PPM）是一种比较有效且实用的解决方法。提出一种新的基于信任关系的路由器接口标记IP追踪方案（TRIM）,为不同的路由器设置不同的信任因子,划分信任域。根据信任因子确定标记概率,路由器使用接口ID对数据包进行概率标记,有效地减少重构路径时的收敛时间以及计算开销,提高路径重构的效率。在边界路由器不诚实的情况下,能够快速准确的追踪到信任域的边界。