一种改进的CCN兴趣包泛洪攻击防御方法

为了提高内容中心网络（content-centric networking,CCN）防御兴趣包泛洪攻击（interest flooding attack,IFA）的能力,针对不同防御方法进行了研究,提出一种改进的CCN兴趣包泛洪攻击防御方法。该方法根据CCN流平衡原理,采用恶意前缀溯源的方式,实现对IFA的快速检测,并通过改进和式增加积式减少（additive increase multi-plicative decrease,AIMD）算法,实现对IFA的防御。安全性分析表明,该方法在面对IFA时,能够更快地做出反应;并且相比于其他IFA防御方法,该方法在保证安全性的前提下,降低了CCN路由器在检测IFA时的计算开销。     

内容中心网络安全技术研究综述

内容中心网络（Content Centric Networking,CCN）属于信息中心网络的一种,是未来互联网体系架构中极具前景的架构之一,已成为下一代互联网体系的研究热点。内容中心网络中的内容路由、内嵌缓存、接收端驱动传输等新特征,一方面提高了网络中的内容分发效率,另一方面也带来了新的安全挑战。本文在分析CCN工作原理的基础上,介绍了CCN的安全威胁、安全需求以及现有的解决方案,并展望了CCN安全技术研究的方向。首先,详细介绍了CCN的原理和工作流程,对比分析了CCN与TCP/IP网络的区别,并分析了CCN面临的安全威胁及需求。其次,对CCN中隐私保护、泛洪攻击、缓存污染、拥塞控制等技术的研究现状进行归纳、分析、总结,并分析了现有方案的优缺点及不足,进而分析可能的解决方案。最后,对CCN安全技术面临的挑战进行了分析与讨论,并展望了未来的研究方向及发展趋势。通过对已有研究工作进行总结与分析,本文提出了CCN安全技术潜在研究方向与关键问题,为CCN安全后续研究提供有益参考。     

内容中心网络中基于多样化存储的缓存污染防御机制

针对内容中心网络(CCN)中的缓存污染攻击问题,提出一种基于多样化存储的缓存污染防御机制。对不同业务内容采取差异化缓存从而减小网络受攻击面,将业务划分为三类并采用不同缓存策略:对隐私及实时性业务不予缓存;对流媒体业务以概率推送至网络边缘缓存;对其他文件类内容业务由上游到边缘逐步推送缓存。在不同节点分别配置不同的缓存污染攻击防御手段:对于边缘节点通过内容请求到达概率的变化对攻击进行检测;对于上游节点通过设置过滤规则将请求概率较低的内容排除出缓存空间。仿真结果表明,相比CNN传统缓存策略下的防御效果,该机制使网络平均缓存命中率提高了17.3%,该机制能够有效提升网络对于缓存污染攻击的防御能力。     

移动Ad Hoc网中一种路由DoS攻击的分布式防御机制

在移动AdHoc网中,路由安全值得关注。恶意路由泛洪攻击会造成对正常节点的DoS攻击以及对网络资源的消耗。路由请求泛洪攻击是一类易于发起的典型泛洪攻击,但由于恶意节点除了进行路由发现的次数比其他节点频繁以外,其他操作与正常节点没有大的差别,所以这种攻击很难被检测出来。提出了一种分布式的过滤机制来减轻网络性能的下降,防御这一类的DoS攻击。本方案对于已有的路由结构和功能只需要做较小的修改,且不需要额外的网络带宽。     

基于多层加密机制的内容中心网络隐私保护策略

内容中心网络（Content-Centric Networking,CCN）作为一种新型的网络架构,将通信从基于IP地址的端到端的模式转变为基于内容的模式,成为未来网络最有发展潜力的网络架构之一。CCN网络请求者获得所需内容不用考虑内容存在何处,该网络的优势在于可以在路由器中缓存已请求过的内容。然而,内容、请求者以及发布者三者的隐私保护对于CCN网络是一个新的挑战。提出一种基于多层加密机制的内容中心网络隐私保护策略,在发挥CCN网络缓存优势的情况下,能够防止非法兴趣包请求,同时减轻了路由器以及请求者需要存储大量密钥的负担,提高网络的安全性。     

IPv6中的DoS/DDoS攻击流量突发检测算法

IPv6下的安全体系结构IPSec对IPv6网络的安全起到了一定的作用,但是它对某些特殊攻击的防范,例如泛洪DoS/DDoS攻击,却无能为力。该文通过对IPv6中泛洪DoS/DDoS攻击发生时的流量特征的分析,对基于网络流量突发变化的DoS/DDoS攻击检测算法在IPv6下的应用进行研究,分别用Matlab和NS-2对算法进行有效性和可行性验证。结果表明,突发流量检测算法在IPv6环境中运行良好。     

一种联合检测命名数据网络中攻击的方法

兴趣泛洪攻击(interest flooding attack,IFA)和合谋兴趣泛洪攻击(conspiracy interest flooding attack,CIFA)是命名数据网络(named data networking,NDN)面临的典型的安全威胁.针对现有检测方法的检测特征单一因此不能有效地辨别攻击种类以及检测率不够高等问题,提出一种基于关联规则算法和决策树算法联合检测NDN中攻击的方法.首先,通过提取NDN路由节点的内容缓存(content cache,CS)中的数据信息挖掘CS中新的检测特征“缓存增长率”,实验发现“CS数据包增长率”是辨别IFA还是CIFA的有利依据.其次,使用关联规则算法将新的检测特征与待定兴趣表(pending interest table,PIT)中多个检测特征联合,寻找各个特征之间的关联性并将其作为决策树的输入.最后,使用决策树算法检测攻击.该方法使用决策树算法和关联规则算法联合检测NDN中的攻击,不仅避免了单一特征检测攻击造成的误判并且丰富了决策树的分类属性.分析仿真结果表明该检测方法可以精确地区分并检测IFA和CIFA并且提高了检测率.     

内容中心网中多参数的缓存污染攻击检测算法

针对内容中心网络中的缓存污染攻击检测问题，以单位时间缓存替换率、内容请求平均跳数、节点流量和低流行内容的稳态存储比例4个参数作为攻击下的节点状态参数，根据模糊层次分析法建立了攻击下的模糊层次结构模型，进而确定了攻击对各个状态参数的影响权重并定义了攻击影响度，通过观测攻击影响度并设置判决门限来检测攻击是否发生。仿真结果与性能分析表明，所提检测算法能有效检测Locality-Disruption和False-Locality两类典型的缓存污染攻击，与现有主要检测算法相比，可保证较高的正确检测率和较低的平均检测时延。     

一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

应用CBAC防御DoS风暴攻击

对于DoS攻击的防御一直是网络管理人员重点关注的问题,本文首先对两种典型DoS风暴攻击的原理进行了介绍,然后分析了在CISCO路由器中应用CBAC进行DoS风暴攻击防御的技术,并通过配置实例进行具体应用说明,为网络管理人员提出了一种有效的防御DoS风暴攻击的方法。     

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

基于DoS攻击能量分级的ICPS综合安全控制与通信协同设计

针对一类有限能量拒绝服务（denial of service,DoS）攻击与执行器故障共存的工业信息物理系统（industry cyber-physical system,ICPS）,研究了综合安全控制与通信协同设计问题。首先,考虑单侧网络遭受DoS攻击的情形,构建了ICPS综合安全控制架构,并从防御者的视角通过分析不...     

一种高效抵御SIP洪泛攻击的防御模型

根据会话初始协议(SIP)拒绝服务攻击的原理和方式,将阈值动态调整和实时动态防御相结合,提出一种抵御SIP洪泛攻击的防御模型,利用卡方流量判定模型与累计和统计模型动态调整阈值,并检测SIP洪泛攻击,通过IP防御模型动态抵御基于IP的SIP洪泛攻击。实验结果表明,该模型可以实时、高效地检测SIP洪泛攻击,在异常发生时有效防止SIP/ IMS服务器被攻击。     

基于SIP的DoS攻击防御策略的改进

随着SIP协议应用的不断增多,系统安全性能逐渐成为人们关注的焦点。本文从DoS攻击者的角度分析得出防御请求消息洪泛攻击是DoS攻击防御的重中之重。提出利用IDS检测的反馈信息,对SIP系统中的攻击流进行抛弃这一防御策略。达到对SIP协议下的DoS攻击的防御。     

基于相对熵的SIP DoS洪泛攻击检测算法和仿真

随着SIP协议的广泛应用,SIP网络的安全机制也逐渐成为研究热点.针对SIP DoS洪泛攻击,本文将相对熵引入SIP网络,提出了一种基于相对熵的检测算法,并与传统的信息熵检测算法进行比较.实验结果表明:正常网络流量下信息熵值和相对熵值都基本稳定,在发生DoS攻击时相对熵值波动明显,比信息熵检测算法检测率更高,检测结果更准确.     

自适应事件触发通信机制下机理解析与数据驱动融合的ICPS双重安全控制

针对存在拒绝服务(DoS)攻击与执行器故障的工业信息物理融合系统(ICPS),将机理解析与数据驱动方法相结合,在新型自适应事件触发通信机制下,研究双重安全控制问题.首先,设计自适应事件触发机制,能够触发参数随系统行为动态自适应变化,节约更多网络通信资源;其次,基于系统最大允许时延建立攻击检测机制,可以有效区分大、小能量DoS攻击;再次,基于极限学习机算法(ELM)建立时序预测模型,用于大能量DoS攻击时重构修正控制量,以主动容侵攻击的影响,并给出与小能量攻击时机理解析的弹性被动容侵来提升系统对攻击的防御能力;然后,借助T-S模糊理论、时滞系统理论、新型Bessel-Legendre不等式等,推证得到系统鲁棒观测器及双重安全控制器的解析求解方法,使双重安全控制与通讯性能得到折衷协同提升;最后,通过实例仿真验证所提出方法的有效性.