云环境下基于信任的入侵防御研究

云计算从提出以来就具备着动态性、虚拟化和开放性,频频出现的各种大型的云安全事故使得云环境中的安全性受到质疑。为了能够确保云环境的安全,将入侵防御技术与可信计算的信任理论相结合,提出了一个云环境下基于可信计算的入侵防御框架模型。该模型从入侵防御的原理出发,首先实时监控采集、获取行为特征,然后将这些特征进行规范化,并逐步确定各个特征的权重后得出用户节点的可信度。利用多种云端的集群服务器引擎进行检测防御以及综合分析决策和聚类分析,使云端能够及时快速、高效地抵御恶意行为的攻击,改变传统入侵防御各自为营,检测防御滞后的状况,为云用户提供最大安全限度的入侵防御服务,同时也能够确保云端抵御攻击,做到云端和云用户双向安全的效果。     

面向信息栅格的DDoS协同防御系统设计

针对传统的DDoS防御系统存在相互独立、网络效能低和单点故障等问题,提出了信息栅格环境下基于流量牵引技术的DDoS防御部署策略,设计了基于MAS的DDoS协同防御系统,同时设计了放大疑似异常流量的流量抽样和基于多维特征的DDoS攻击检测两种关键算法。最后,在OMNeT+[KG-*2]+仿真平台上构建了DDoS攻防仿真模型并予以实现。仿真验证了防御系统设计的有效性,为信息栅格环境下的DDoS攻防研究提供了参考。     

基于IXP1200平台的DDoS防御系统实现

分布式拒绝服务攻击对Internet服务存在巨大威胁。当前的防御手段受成本和技术的限制，在此类攻击面前显得非常软弱。本文在基于网络处理器IXP1200平台上实现了DDoS防御系统，该系统使用了非参数CUSUM算法来检测DDoS攻击并且可以在检测到攻击时过滤掉非法报文。该模型对效率给予更多关注。     

基于模拟蜜罐技术的互联网攻击特征提取与安全防御

针对传统被动网络防御技术存在的攻击识别准确率低、误判率高、特征提取效率低等问题,提出了基于虚拟蜜罐的攻击特征提取方法和防御策略.在本地服务器网络中布置多个蜜罐,形成具有完整拓扑结构的防御密网,以提高对攻击数据样本的捕获能力;对网络攻击序列的特征提取,采用字符串全局联配方法判断攻击数据的性质和类别;为了提高特征提取效率,基于层级式比对方法提升算法的效率.实验结果表明,针对不同的攻击类型,密网技术可以获得更稳定的特征匹配结果和更高的安全防御指标值.     

基于主动网的SYN攻击防御

针对目前传统网防御TCP同步泛滥攻击的服务器主机、路由器过滤、防火墙方法的局限性,利用主动网的动态特性,提出一种基于主动网的同步泛滥防御机制,并通过仿真实验将它与传统网环境下的防火墙防御进行了性能比较和分析,结果表明主动网技术为同步泛滥攻击提供了良好的防御性能。     

基于微服务的服务机器人云服务设计方法

为了提升服务机器人的智能化水平,提出一种基于微服务的服务机器人云服务设计方法。设计基于微服务的服务机器人云服务的设计框架,提出服务机器人虚拟模型,实现服务机器人运动学/动力学模型、传感器模型和环境模型的云端映射,解决了机器人调用云服务的异构性问题;提出一种交互式的云服务交互接口,采用机器人的协议应答方式实现异构协议的自适应匹配;详细阐述服务机器人云服务平台的开发关键方法。通过所搭建的服务机器人云服务平台进行试验,测试了所设计的功能云服务的调用效果、实时性和细粒度服务质量,可以满足服务机器人的功能要求。     

基于非参数CUSUM算法的DDoS攻击防御策略

分布式拒绝服务攻击(DDoS)具有突发性、攻击主机分布广等特点,对其防御尤显困难.从分析DDoS攻击原理及常见的防御策略入手,根据非参数CUSUM算法,给出了基于流连接密度时间序列分析的DDoS攻击防御策略及其模型,并进行了与理论值比较的实验取证.结果表明:该防御模型能够在很大程度上有效防御DDoS攻击.     

基于协同谱聚类的推荐系统托攻击防御算法

提出了一种基于协同谱聚类的推荐系统托攻击防御算法. 该算法首先使用谱聚类方法对协同聚类算法进行改进,以在用户和项目2个维度上同时进行聚类;接着在聚类基础上结合分级偏离平均度对用户进行项目推荐. 实验测试结果表明,在同等托攻击规模的情况下,该算法可以降低实施托攻击的用户和攻击数据对系统推荐结果的影响.     

DDoS攻击防御模型的仿真研究

针对DDoS攻击的特点,提出一个基于协议类型判断和流量控制以及拥塞控制的DDoS攻击防御模型,并给出了模型中相关统计值的表达式,以及检测和防御的算法流程．在OPNET中针对典型的TCP SYN flood攻击防御给出了详细的节点建模过程．运用二组不同强度的攻击流进行试验,分析在启用防御机制和未启用防御机制时服务器对攻击流的处理效果．仿真实验表明,此模型对于不同强度的攻击流都有较好的抑制作用,证明了此模型的有效性．     

采用数据挖掘的拒绝服务攻击防御模型

针对拒绝服务攻击的特点,提出了一种采用数据挖掘技术的防御模型。该模型以实时抽样流量作为数据来源,采用关联分析法提取可信IP列表用于数据包的过滤,并利用贝叶斯分类算法对数据包的危险等级进行评估。该模型弥补了传统的基于可信IP列表过滤的不足,并在防御攻击时能有效区分正常流量与异常流量。实验证明该模型能够对拒绝服务攻击进行有效、实时的防御。     

基于粗决策规则的无线DoS防御方法

针对当前防御DoS攻击方法因判定攻击帧合法性条件属性过多所导致DoS防御性能不足的问题,基于粗决策理论,利用粗决策规则方法,建立防御无线DoS攻击的模型,给出基于粗决策规则的防御DoS智能帧过滤算法(802.11w-SFF),并对该方法进行实验分析.802.11w-WiFi设备在攻击速率为250fps的情况下,未使用802.11wSFF方法时,TCP流量变为没有攻击时的16%,UDP丢失率上升为80%;使用802.11w-SFF方法后,802.11wWiFi设备的TCP/UDP数据通信性能没有受到DoS攻击的影响.实验分析说明802.11w-SFF方法应用于移动网络能有效地防御DoS攻击.     

DoS攻击的演变及IDS的防御

DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务.DDoS是一种基于DoS的特殊形式的拒绝服务攻击,防御SYN攻击的模型是不阻止一个攻击者开始进攻,而是使得重要的攻击目标不可见,这就强迫攻击者盲目地进行攻击.     

基于主动网络技术防御SYN-flooding的设计

信息可用性是一种重要却难于维持、保证的安全问题。SYN-flooding攻击利用TCP协议的三次握手的缺陷来虚假Internet地址阻止三次握手的实现，使得服务器不能为合法用户提供服务、甚至崩溃。针对其原理设计了基于主动网络技术的动态过滤机制来防御这种信息可用性攻击。     

基于支持向量机和多资源最大最小公平的DDoS防御

采用分布式过滤的方法防御分布式拒绝服务（DDoS）攻击,通过将分布式防御合作限定在互联网自治域(AS)内,为应对选取了合适的网络范围,且考虑了带宽和受害机处理能力这2类资源及其相互作用.基于支持向量机(SVM)的多资源最大最小公平（SMMF）算法,根据受害端流量情况动态调整自治域边界的过滤器参数,保证了多资源最大最小公平,以达到较优的防御效果.模拟实验表明,该算法在具一般性的攻击场景下能有效抑制攻击流量,且在已有方法失效的情况下仍能保证合法流量吞吐量维持在正常水平.在路由器上实现了该过滤器,结果表明,即使安装上千个过滤器也只需极少量的内存,且仍能保证路由器的正常吞吐率.     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

云环境下基于资源类别聚合的算法

随着云服务类型和数量不断增长,用户很难从中选择有效的云服务。为解决云环境下海量服务的个性化推荐问题,提出了一种基于类别聚合的个性化推荐算法。首先对数据存储节点上的资源进行分类;然后计算类别之间的相关性;其次寻找资源的最近邻;最后产生推荐集。通过实验数据进行验证,提出的云环境下的协同过滤算法与传统协同过滤算法相比,推荐质量和系统性能都有很大提高。     

作业车间调度算法资源云服务化方法

针对制造执行系统间调度算法资源共享度不高,并且难以高效地从候选调度算法资源中选择合适的求解算法进行调度排产的问题,研究了云制造环境下的作业车间调度算法资源云服务化方法。首先基于OWL-S(ontology web language for services)建立调度算法资源的本体数据模型以及发布规范,然后为了提高算法服务请求者满意度和算法资源提供者经济收益,提出了基于加权多维特征融合的量化匹配与推荐方法。最后,通过搭建原型系统,并利用哈电机的历史数据进行仿真实验。结果表明,所提出的数据模型和推荐算法能够有效的提升调度算法资源的共享程度和选择速度。     

基于多变量时序数据的对抗攻击与防御方法

为了保证时序数据攻击检测模型的安全性,提出了基于多变量时间序列数据的对抗攻击与对抗防御方法.首先,针对基于自编码器的攻击检测模型,设计了在测试阶段实施的逃逸攻击.其次,针对设计的对抗攻击样本,提出了一种基于雅克比(Jacobian)正则化方法的对抗攻击防御策略,将模型训练过程中的Jacobian矩阵作为目标函数中的正则项,提高了深度学习模型对对抗攻击的防御能力.在工业水处理数据集BATADAL上进行实验,验证了所提出的对抗攻击方法和对抗防御方法的有效性.     

一种改进的TCP分布式拒绝服务攻击防御方法

SYN Flood攻击是最常见的分布式拒绝服务攻击方式之一,本文提出一种改进的SYN Cookie方法,通过设计新的Cookie验证算法并改变Cookie字段定义,在不降低安全性的同时,降低算法计算复杂度.实验结果表明,新方法可有效防御针对TCP协议的SYN Flood攻击,与传统算法相比,新算法效率提高约30%.     

针对校园网ARP攻击的防御模式研究设计

ARP协议存在安全漏洞,利用ARP协议缺陷可以进行ARP溢出、ARP欺骗等方式的网络攻击。本文首先介绍了ARP工作原理,其次分析校园网ARP攻击方式,最后提出一种ARP攻击防御模式和算法。该算法通过对客户端主机发送和接收的ARP报文检测,对信息不一致的ARP报文进行丢弃;依据先请求后应答的策略检测ARP应答报文,拒绝无请求的ARP应答。该防御算法能有效预防ARP攻击,适用于网络安全性要求较高的校园网。