PTIRⅡ:一个解决恶意主机问题的新协议

从检测恶意主机攻击的角度出发，人们提出了基于refercnce states即参考状态法，但目前提出的这一类协议不能保护移动代理的路由信息。该文利用类洋葱结构加密移动代理的路由信息和数据信息，并将其与检测恶意主机攻击的协议PTIR结合以得到一个更安全的新协议。     

拓扑隐藏的MANET 安全多路径路由协议

分析了移动自组网(mobile ad hoc network,简称MANET)暴露拓扑带来的安全问题,提出了一种拓扑隐藏的安全多路径路由协议.在路由发现过程中,不在路由包中携带任何路径信息,从而有效隐藏网络拓扑.通过按需的邻居发现进行身份认证并建立路由表项,最终采用排除节点的方法实现多路径的选取;在路由维护过程中,设计了专门的错误发现机制以检验所选路径的有效性和安全性.该协议综合考虑时间因素和路径长度因素,实现了安全的最短路径确定.安全分析表明,该方案可以抵御黑洞攻击、虫洞攻击、rushing攻击和sybil等典型攻击,同时对一般类型的攻击也具有抵御能力.仿真结果表明,与SRP(secure routing protocol)这种典型的安全多路径方案相比,该方案能够找到更多节点不相交的多路径;在普通场景中,该方案没有对协议性能带来额外影响;在黑洞攻击场景中,该方案只需付出一定的信令开销即可大幅度提高数据包转发率,可有效抵御黑洞攻击.     

一种ad hoc多路径安全路由算法

移动ad hoc网络无中心、拓扑结构动态变化等特点,以及节点能源和计算能力有限,使其安全路由设计面临巨大挑战.在按需路由的基础上提出了一种多路径安全路由算法,采用高效的分布式密钥管理策略,路由过程中隐藏通信节点的地址信息,节点之间逐跳认证保证信息的完整性,能够抵御单路径协议不能抵抗的多恶意节点的合谋攻击,同时能平衡负载,具有更好的安全性能和网络性能.     

洋葱路由包的封装技术研究

洋葱路由技术(Onion Routing)是为了阻止在公用网络上进行窃听和流量分析,在Internet上提供隐藏通信的一种基础设施,它可以在公开的计算机网络中隐藏通信双方的关系及通信目的,对通信内容进行有效地保护。文章针对洋葱包头的实现机制,利用加密和签名技术,结合分层和嵌套的组合,提出了洋葱包的四种封装方式,即分层加密和签名、分层加密与嵌套签名、嵌套加密与分层签名、嵌套加密和签名,在比较了它们优缺点的基础上提出了实现源路由技术的方案。     

信息隐藏的最优化模型及容量分析

在分析已知信息隐藏系统通信模型的基础上,提出了一种理论新模型,运用最优化理论的观点得出了隐藏系统的容量,对容量的存在性进行了证明,并对该模型进行了讨论。新模型重点考虑了信息隐藏系统实际存在的鲁棒性和透明性,全面综合了信息隐藏的嵌入、提取和攻击模型,对以往信息隐藏理论模型不能描述能够引起栽体尺寸变化的几何攻击的缺点做出了彻底改进。     

Mobile Ad Hoc网络中安全感知路由协议增强方案

按照网络性能遭遇攻击之后受到的影响对攻击进行了新的分类，并在此基础上分析影响路由安全协议的各种因素，提出了安全感知路由协议增强方案。在描述了方案的具体实现之后，进行了仿真和实验，结果表明该方案能增强网络路由安全协议的性能，有效地提高了协议的健壮性和可扩展性，具有很强的应用前景。     

教育部优秀青年教师资助计划项目信息隐藏模型及容量分析*

在分析已知信息隐藏系统通信模型的基础上,提出了一种理论新模型,运用最优化理论的观点得出了隐藏系统的容量,对容量的存在性进行了证明,并对该模型进行了讨论。新模型重点考虑了信息隐藏系统实际存在的鲁棒性和透明性,全面综合了信息隐藏的嵌入、提取和攻击模型,对以往信息隐藏理论模型不能描述能够引起载体尺寸变化的几何攻击的缺点做出了彻底改进。     

一种蚁群优化的WSN分布式入侵检测模型

针对无线传感器网络中入侵者能在多个节点上移动并隐藏攻击源头的特点,提出了一种基于蚁群优化的无线传感器网络分布式入侵检测模型。分析了现有入侵检测对未知攻击检测率和误报率方面的不足,在此基础上提出了分布式入侵检测的体系结构,设计了基于蚁群优化的入侵检测算法。仿真实验表明提出的方案能够提高无线传感器网络对未知攻击的检测率和降低对正常网络流量的误报率,较好地解决了路由攻击、Sinkhole攻击问题,能够降低入侵检测的能耗。     

基于签密的分布式安全门限阈下信道方案

利用签密能设计高效的阈下信道.指出CLL签密方案不能抵抗存在性伪造攻击和无法仲裁,改进了CLL方案,并证明改进签密方案的安全性.基于改进签密方案设计了一个可仲裁的（t,n）门限阈下信道.密文的有效性可公开验证,只有授权用户能恢复隐藏的分片信息.任意t个授权用户可合作恢复并验证整个秘密信息.发送者不必分发、共享和管理用户密钥.安全性和性能分析及实验表明新方案是安全且高效的.     

重路由匿名通信系统中前驱攻击模型研究

目前重路由匿名通信系统有着广泛的应用,但也容易遭受各种攻击.基于重路由的匿名通信系统,如Onion Routing,Hordes,Tarzan以及MorphMix等,采用重路由机制在应用层转发数据,使实体之间的通信以间接的方式进行,从而有效地隐藏通信实体的身份信息,如主机的IP地址等.在基于路径的重路由匿名通信系统的基础上,提出了前驱攻击模型,并对该模型进行了理论研究和分析,其结果表明,在设计重路由匿名通信系统时,为了降低前驱攻击的成功率,要同时考虑选择发起者的概率、转发概率和所构建路径数目.     

ARP欺骗原理及其防范的研究

地址解析协议（Address Resolution Protocol,ARP）的主要功能是将网络层的地址解析为数据链路层的地址,从而保证通信的完成。而ARP欺骗则是基于ARP协议的一种攻击技术,通过将假的ARP数据包发送到局域网内,使得到达特定IP的数据包被错误送到攻击者所取代的地方。本文介绍了ARP欺骗的基本原理和具体的攻击方法,并解释了ARP欺骗的攻击范围,讨论目前已经出现的针对ARP欺骗的安全技术,通过分析和归纳,比较这些技术的优缺点。     

一种基于洋葱路由的可撤销匿名通信方案

匿名通信技术是保证网络用户的个人通信隐私和涉密通信的重要手段,而匿名系统的滥用一直是困扰匿名系统应用的一个问题。论文在洋葱路由技术的基础上,提出一种新的支持可撤销的洋葱路由匿名通信模型,通过地址分割技术、签名技术和分组管理机制来防止洋葱包的伪造,可以及时发现和丢弃恶意用户伪造的洋葱包,并且能有效追踪匿名滥用者的源IP地址。与其他匿名通信可撤销方案相比,具有系统附加管理开销小,方案简单,易于实现的特点。论文对该模型的可撤销匿名通信过程进行了描述,并且对该模型的系统性能和安全性进行了分析。     

IP traceback-based intelligent packet filtering: a novel technique for defending against Internet DDoS attacks

Distributed Denial of Service (DDoS) is one of the most difficult security problems to address. While many existing techniques (e.g., IP traceback) focus on tracking the location of the attackers after-the-fact, little is done to mitigate the effect of an attack while it is raging on. We present a novel technique that can effectively filter out the majority of DDoS traffic, thus improving the overall throughput of the legitimate traffic. The proposed scheme leverages on and generalizes the IP traceback schemes to obtain the information concerning whether a network edge is on the attacking path of an attacker ("infected") or not ("clean"). We observe that, while an attacker will have all the edges on its path marked as "infected," edges on the path of a legitimate client will mostly be "clean". By preferentially filtering out packets that are inscribed with the marks of "infected" edges, the proposed scheme removes most of the DDoS traffic while affecting legitimate traffic only slightly. Simulation results based on real-world network topologies all demonstrate that the proposed technique can improve the throughput of legitimate traffic by three to seven times during DDoS attacks.     

基于OLSR的MANET地址自动配置机制

为了解决现有无线自组织网络地址自动配置协议过于复杂、开销大、可实现性不强的问题,利用OLSR在全网拓扑信息维护、低开销消息洪泛等方面的优势,提出一种以OLSR为基础的地址自动配置方案。实现IP地址的快速分配,并只需对OLSR协议消息作简单修改即可在网络运行过程中维护地址的唯一性。所提出的方案具有开销低、实现简单的特点,适合大型网络地址分配需要。     

基于时间序列分析的SYN Flooding源端检测方法

提出了一种基于时间序列分析从源端对SYN Flooding攻击进行检测的方法。该方法是为了从源端对网络流量进行检测并预测,从而判断是否发生了SYN Flooding攻击,为受害者端及时响应提供依据;利用攻击网络流量的自相似性,采用Bloom Filter提取数据流特征信息,构造网络流量时间序列,建立自回归预报模型;通过动态预测网络流量并与设定的阈值进行比较来对攻击预警,提前作出响应。仿真实验结果表明,该方法能准确地统计出网络中数据包和新源IP数据包的出现次数,具有较好的检测率和较低的误报率,能够较准确地预测出下一时间段甚至几个时间段的网络流量,能为有效防御SYN Flooding攻击提供有力的数据支撑。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于流记录的主干网活跃IP地址空间检测

掌握IP地址的实际使用情况对于网络管理和网络安全等研究领域有着重要的意义.提出一种以抽样流记录为分析数据源的活跃地址检测算法,其核心思路是将存在双向通信流量作为地址活跃判定条件.算法基于被动测量技术,以流记录为分析数据源使其可以在主干网边界运行.讨论了抽样、伪造地址等问题对算法的影响以及相应的应对策略,用DPI分析检验了算法的准确性和有效性.最后基于NBOS平台,将其部署在CERNET全部38个主节点,完成了全网活跃IP地址空间的检测.     

匿名通信系统中基于多Hash编码标记技术的匿名滥用控制策略

匿名通信系统采用重路由、流量填充的方式隐藏网络用户的IP地址等识别信息,为合法用户的通信提供匿名保护。然而,由于缺乏有效的控制,导致系统容易被滥用以进行DDoS攻击。论文提出在重路由匿名通信系统中引入基于多Hash编码的滥用控制策略,根据被标记的数据报文重构攻击路径,定位攻击者。对于合法用户,由于其流量小,被标记的报文数目低于重构所需的报文数,匿名性得到保持。因而,匿名系统能在提供匿名保护的同时,有效地防止匿名滥用。而且,由于采用多Hash编码,在系统规模增大时,仍能保持较低的误判率,保持定位攻击者的精确度。     

移动IP分布式路由优化研究

IETF提出的移动IP协议对微移动的支持不够，而分布式路由方案能较好地解决该问题。该文在一种分布式移动IP方案的基础上进行了改进：将转向代理的缓存修改为循环列表，减少移动节点接收的乱序分组；当切换转向代理时，移动节点向前一个转向代理发送绑定更新消息，减少转向代理切换时的分组丢失；在转向代理处引入Snoop机制，减少通信对端重传分组数。利用NS2软件对两种方案进行了仿真。仿真结果表明，改进的方案能够明显地减少重传分组和乱序分组，进一步减少远程信令流量和数据流量，提高网络资源的利用率，有效地改善移动IP的性能。