低速率拒绝服务攻击研究综述

低速率拒绝服务攻击是近年来提出的一类新型攻击,其不同于传统洪泛式DoS攻击,主要是利用端系统或网络中常见的自适应机制所存在的安全漏洞,通过低速率周期性攻击流,以更高的攻击效率对受害者进行破坏且不易被发现。LDoS攻击自提出以来便得到了研究者们的充分重视,其攻击特征分析与检测防范方法逐渐成为网络安全领域的一个重要研究课题。首先对目前已提出的各种LDoS攻击方式进行了分类描述和建模,并在NS2平台上进行了实验验证,接着对LDoS攻击的检测防范难点进行了讨论并对已有的各种检测防范方案进行了小结,最后指出了有待进一步研究的几个问题,以期为今后此类攻击检测防范研究工作提供参考。     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

一种针对LDoS攻击的分布式协同检测方法

针对近年来提出的一类新型攻击--低速率拒绝服务攻击(LDoS:Low-rate Denial of Service),提出一种位于中间网络的分布式协同检测方法DCLD(Distributed Collaborative Ldos Detection).该方法运用小波分析从多角度对LDoS攻击进行特征提取,并根据D-S证据理论,组合各种特征证据对攻击进行综合判决.各检测节点之间采用分布式协同算法实现信息交互.模拟实验结果表明,DCLD能够以较高精确度检测LDoS攻击及其分布式形式,并于靠近攻击源处对其进行响应,有效减小了攻击及防范机制本身对合法流量的影响.     

软件定义网络环境下的低速率拒绝服务攻击检测方法

低速率拒绝服务（LDoS）攻击是一种拒绝服务（DoS）攻击改进形式,因其攻击平均速率低、隐蔽性强,使得检测LDoS攻击成为难点。针对上述难点,提出了一种在软件定义网络（SDN）的架构下,基于加权均值漂移-K均值算法（WMS-Kmeans）的LDoS攻击检测方法。首先,通过获取OpenFlow交换机的流表信息,分析并提取出SDN环境下LDoS攻击流量的六元组特征;然后,利用平均绝对值百分比误差作为均值漂移聚类中欧氏距离的权值,以此产生的簇心作为K-Means的初始中心对流表进行聚类,从而实现LDoS攻击的检测。实验结果表明：在SDN环境下,所提方法对LDoS攻击具有较好的检测性能,平均检测率达到99.29%,平均误警率和平均漏警率分别为1.97%和0.69%。     

面向SDN拓扑发现的LDoS攻击防御技术研究

准确获取网络拓扑是软件定义网络（Software?Defined?Network,SDN）中控制器进行有效决策的前提,而现有拓扑发现机制难以有效应对低速率拒绝服务（Low rate Denial of Service,LDoS）攻击等行为。通过理论和实验分析LDoS攻击对SDN拓扑发现造成的影响,提出了一种面向SDN拓扑发现的LDoS攻击防御机制TopoGuard。TopoGuard根据LDoS攻击的周期性特征,通过连续突发检测快速发现存在的疑似攻击场景,并基于主动链路识别策略避免攻击行为造成网络拓扑中断。最后,在OpenDaylight控制器上实现了TopoGuard。实验结果显示,TopoGuard能够有效检测和防御LDoS攻击行为,保证控制器获取全局拓扑信息的正确性。     

一种基于小波特征提取的低速率DoS 检测方法

低速率拒绝服务攻击(low-rate denial-of-service,简称LDoS)比传统的DDoS(distributed DoS)攻击更具隐蔽 性和欺骗性,依据其周期性脉冲突发特点,设计实现了一种基于小波特征提取的LDoS 检测系统DSBWA(detection system based on wavelet analysis).该系统以到达检测节点的数据包数目为研究对象,通过小波多尺度分析,结合 LDoS 的攻击规律提取5 个特征指标,在此基础上采用BP 神经网络进行综合诊断.一旦检测出LDoS 攻击,系统定位 攻击脉冲数据的到达时刻以获得攻击者的相关信息.NS-2 模拟实验结果表明,DSBWA 具有高检测率和低误警率,并 且能够检测出LDoS 变种攻击,消耗计算资源少,具有良好的实用价值.     

低速率拒绝服务攻击研究与进展综述

低速率拒绝服务攻击是新型的拒绝服务攻击,对Internet的安全造成严重的潜在威胁,引起众多研究者的兴趣和重视,成为网络安全领域的重要研究课题之一.自2003年以来,研究者先后刻画了Shrew攻击、降质攻击、脉冲拒绝服务攻击和分布式拒绝服务攻击等多种低速率拒绝服务攻击方式,并提出了相应的检测防范方法.从不同角度对这种新型攻击的基本机理和攻击方法进行了深入的研究;对TCP拥塞控制机制进行了安全性分析,探讨了引起安全问题的原因;对现有的各种各样的LDoS攻击防范和检测方案,从多个方面进行了分类总结和分析评价;最后总结了当前研究中出现的问题,并展望了未来研究发展的趋势,希望能为该领域的研究者提供一些有益的启示.     

基于软件定义网络环境的低速率拒绝服务攻击检测方式

本文针对软件定义网络（Software Defined Network,SDN）环境下低速率拒绝服务（Low-Rate Denial of Service,LDoS）攻击检测问题，将K-means算法与Mean Shift算法进行融合，提出了WMS-Kmeans检测算法。通过获取攻击网络流量特征，分析LDoS攻击流量特征，然后对Mean Shift算法进行改进，融合聚类算法，最后利用改进后的WMS-Kmeans算法提取LDoS攻击流量特征，实现攻击检测目的。     

基于小波能谱熵和隐半马尔可夫模型的LDoS攻击检测

低速率拒绝服务（low-rate denial of service，简称LDoS）攻击采用周期性发送短脉冲数据包的方式攻击云计算平台和大数据中心，导致连接用户的路由器丢包和数据链路传输性能下降.LDoS攻击流量平均速率很低，具有极强的隐蔽性，很难被检测到.在分析LDoS攻击流量的基础上，通过小波变换得到网络流量的小波能谱熵，并以此作为隐半马尔可夫模型（HSMM）的输入，设计采用HSMM网络模型的LDoS攻击判决分类器，提出了基于小波能谱熵和隐半马尔可夫模型的LDoS攻击检测方法.该检测方法在NS-2和Test-bed环境中分别进行了测试.实验结果表明，该方法具有较好的检测性能，通过假设检验得出检测率为96.81%.     

一种基于Q学习的LDoS攻击实时防御机制及其CPN实现

针对低速率拒绝服务攻击具有隐蔽性高、难以检测和及时响应的特点,提出了一种基于Q学习的LDoS攻击实时防御机制.该机制以终端自适应控制系统为保护对象,周期性地提取网络攻击特征参数,将其作为Q学习模块的输入参数,由Q学习模块进行最优防御的选择,优选出来的防御措施交与系统端执行.防御措施基于动态服务资源分配,根据系统当前运行状态对服务资源进行动态调整,从而保障正常服务请求的响应率.最后使用着色Petri网结合BP神经网络对攻击和防御过程进行了建模和仿真,结果表明:该方法具有较好的实时性和较高的灵敏性,能够对LDoS攻击行为进行实时响应,显著提高了系统防御的自动化程度.     

一种基于源的DDoS攻击防御系统的设计

当前拒绝服务攻击工具随处可得,且易操作,使得分布式拒绝服务攻击发生的频率越来越高,此类攻击已被公认为互联网上最难解决的问题之一.本文主要基于R.Mahajan等提出的防范模型,将随机边标记和过滤机制相结合,设计了基于随机边标记的DDoS攻击防范系统.此系统可以充分利用IP回溯和过滤机制的优点,并相互弥补其不足.相对R.Mahajan等的方法来说,能更好地保护合法用户的请求及攻击源与受害者之间的网络带宽资源.     

Enhanced Security with Improved Defensive Routing Mechanism in Wireless Sensor Networks

In recent scenario of Wireless Sensor Networks (WSNs), there are many application developed for handling sensitive and private data such as military information, surveillance data, tracking, etc. Hence, the sensor nodes of WSNs are distributed in an intimidating region, which is non-rigid to attacks. The recent research domains of WSN deal with models to handle the WSN communications against malicious attacks and threats. In traditional models, the solution has been made for defending the networks, only to specific attacks. However, in real-time applications, the kind of attack that is launched by the adversary is not known. Additionally, on developing a security mechanism for WSN, the resource constraints of sensor nodes are also to be considered. With that note, this paper presents an Enhanced Security Model with Improved Defensive Routing Mechanism (IDRM) for defending the sensor network from various attacks. Moreover, for efficient model design, the work includes the part of feature evaluation of some general attacks of WSNs. The IDRM also includes determination of optimal secure paths and Node security for secure routing operations. The performance of the proposed model is evaluated with respect to several factors; it is found that the model has achieved better security levels and is efficient than other existing models in WSN communications. It is proven that the proposed IDRM produces 74% of PDR in average and a minimized packet drop of 38% when comparing with the existing works.     

蜜罐技术的分析与研究

蜜罐是一种旨在诱骗、拖延和搜集有关攻击的诱饵,作为一种主动防御技术,在网络安全的防护中,蜜罐技术可以用来分析攻击行为和设计新的防御系统.从蜜罐技术的原理和体系结构出发,针对国内外蜜罐技术的发展现状,分析了蜜罐技术未来的研究趋势;同时根据其关键技术,提出了合理的蜜罐部署方式.     

论ICMP洪水和木马简

本文论述了ICMP洪水和木马的含义及其攻击原理,并以Windows为例探讨了防范此类攻击的策略,同时也说明了防范策略中存在的问题。     

假数据注入攻击下信息物理融合系统的稳定性研究

假数据注入（False data injection，FDI）攻击由于其隐蔽性特点，严重威胁着信息物理融合系统（Cyber-physical systems，CPS）的安全.从攻击者角度，本文主要研究了FDI攻击对CPS稳定性的影响.首先，给出了FDI攻击模型，从前向通道和反馈通道分别注入控制假数据和测量假数据.接着，提出了FDI攻击效力模型来量化FDI攻击对CPS状态估计值和测量残差的影响.在此基础上，设计了一个攻击向量协同策略，并从理论上分析出操纵CPS稳定性的攻击条件:攻击矩阵H和系统矩阵A的稳定性及时间参数k_a的选取时机.数值仿真结果表明FDI攻击协同策略能够有效操纵两类（含有稳定和不稳定受控对象）系统的稳定性.该研究进一步揭示了FDI攻击的协同性，对保护CPS安全和防御网络攻击提供了重要参考.     

基于效果评估的网络抗毁性研究

网络抗毁性反映了网络遭受主动攻击时维护其功能的能力,不仅是评估通信网安全的一项重要指标,而且在网络攻击方法的研究中具有重要意义。目前,相关研究在对抗毁性的度量方面提出了一些不同方法。本文以网络的基本性能参数为基础,结合网络攻击的效果评估,提出网络抗毁性的度量方法。     

基于自适应包标记的IP源追踪方案

防御分布式拒绝服务(DDoS)攻击是当前网络攻击研究的重要课题,本文提出了一种DDoS攻击追踪方案的构想,在自适应包标记理论的基础上,提出了新的改进算法,该方案利用了TTL域和并提出了一种伸缩性的包标记策略,可以通过更少的数据包更快的定位出攻击源。同以往方法比较,该算法的灵活性好,并且误报率很低。经仿真实验证明该系统用较少的数据包即追踪IP源,最大限度的减少了攻击带来的损失。     

一种改进的DDoS攻击综合防御系统*

为了在IPv4网络下进一步提高防御DDoS攻击的实时性,提出DDoS防御系统的构想,将客户端防御系统与自适应包标记有效地结合起来,既可以检测防御DDoS攻击,又可以进行追踪攻击源;同时提出一个新的标记方案,该方案利用了TTL域和改进的自适应包标记的方法。与其他标记方法相比,其具有灵活性好、误报率低、计算量小的优点。经验证该系统用较少的数据包即可重构攻击路径,在最大限度上降低了攻击造成的损失。     

安全协议的攻击分类及其安全性评估

对安全协议的安全性进行全面评估是十分重要的,但难度非常大．目前大量的研究工作主要集中于分析开放网络环境下安全协议的一些特定安全属性,例如,秘密性和认证性等．为了更全面地评估安全协议的安全防护能力,从攻击者的能力和攻击后果两个角度,提出一种新的安全协议攻击分类,并分析了不同攻击类型的特点与机理．在此基础上,探讨了安全协议的一种安全性评估框架,有助于更客观地评价安全协议的实际安全防护能力和设计新的协议．     

SYN Flooding攻击的防范策略

随着计算机网络技术的飞速发展，网络的安全问题也日益突出。能否解决好网络安全问题已成为制约网络发展的关键因素之一。文中针对SYN Flooding这种典型的拒绝服务攻击，在研究已有防范方法的基础上，提出改进的策略，其中包括路由器端的包过滤技术和在服务器端引入移动代理技术的防范策略，结果表明该防御策略对SYN Flooding攻击具有良好的防御性能。