TCP/IP协议安全问题的探讨

TCP/IP协议现在用得非常广泛,但它本身也有一些安全上的缺陷。描述了各种各样针对这些缺陷的攻击,包括序列号攻击,SYN Flood攻击。提出了一些对这些攻击的防御方法。     

认证协议攻击与非形式化分析

协议的分析验证方法有形式化与非形式化之分．很多代表性的协议虽然存在着缺陷，但对这些协议的非形式化分析，却可以提出一些值得借鉴的规则，参考这些规则可以避免和减少协议逻辑的漏洞，本文针对Woo-Lam两个改进协议以及SSL协议给出了攻击方法，分析协议存在的漏洞并提出如何使协议更为安全的建议。     

状态绑定的安全协议消息块设计方法

研究抗攻击的安全协议设计方法是安全专家一直努力的方向,而安全协议中利用密码机制形成的消息块本身结构的构造,对于安全协议的抗攻击性起着非常重要的作用.本文在重放攻击层次基础上,通过提炼安全协议为避免各种攻击应具备的状态参数,提出了一种基于状态绑定的安全协议消息块设计方法.该方法针对安全协议各个层次可能存在的缺陷,通过状态绑定来解决这些缺陷,可极大限度地提高安全协议抗攻击的能力.     

基于协议转变的拒绝服务攻击技术的研究

提出了协议转变的概念,分析这种转变潜在的缺陷;在此基础上,着重阐述如何通过这种协议转换进行拒绝服务攻击,分析这种拒绝服务攻击手段的特点。最后,针对这种攻击手段提出了一些防御措施,并预测这种攻击手段的发展前景。     

一种认证密钥协商协议的安全分析及改进

针对用于移动通信的可证安全的双向认证密钥协商协议MAKAP给出了一种有效攻击,指出该协议存在安全缺陷,它不能抵抗未知密钥共享攻击.分析了这些安全缺陷产生的原因,并给出了一种改进的协议MAKAP-I.改进后的MAKAP-I协议不但是可证安全的,而且无论从计算开销、通信开销、存储开销以及实现成本等方面,都比原MAKAP协议更高效、更实用.     

认证协议的一些新攻击方法

给出了针对3个认证协议的6种新攻击方法,分析了这些攻击产生的原因,并对相关协议作了改进.     

ARP协议的安全漏洞及抵御分析

介绍了ARP协议的功能和工作原理基础上,分析了当前ARP协议所存在的安全漏洞。重点讨论了利用ARP协议自身的安全缺陷进行网络攻击的多种实现方法以及这些攻击所带来的危害。最后根据实际的管理,给出了一些有效的安全抵御措施和检测方法,并说明了这些方法的优点与缺点。     

一种基于SIP安全认证机制的研究

目前,会话初始协议（SIP）大部分认证机制只提供了服务器到客户端的认证,HTTP摘要认证便是其中的一种。分析了这种机制容易遭受服务器伪装攻击和密码窃取攻击的缺陷,提出了一种弥补这些缺陷的安全认证机制。试验表明该算法具备较高的效率。     

ICMP安全性分析研究

本文论述了有关ICMP的工作原理,ICMP在当代网络中的应用和ICMP存在的缺陷,同时阐述了网络上大量的基于ICMP的攻击,并提出了一些防御方案。     

基于Libpcap的局域网ARP攻击与防御系统

针对局域网中ARP的攻击,从ARP协议的角度,分析了ARP攻击的原理和它们导致终端用户访问服务器时出现异常中断的情况.同时,围绕该协议内在的缺陷.详细说明了ARP攻击的过程.并利用Libpcap对网络数据进行抓包分析,实现了对ARP攻击的一种有效的检测系统.最后提出了ARP攻击的几种防御方法.     

分布式拒绝服务攻击的实现机理及其防御研究

分析了分布式拒绝服务(DDoS)攻击产生的机理、发动攻击的常用工具及其最新发展;针对攻击产生的机理,研究了防御DDoS攻击的一般策略和攻击机理的分类,并按不同机理分析了DDoS攻击的防御问题：给出了市场上典型DDoS攻击检测与响应系统的主要性能和防御DDoS攻击研究方向。     

可证明安全的需求装载代码协议

主动网络是一种新型的网络,在一些领域已得到初步应用。主动网络中的需求装载代码协议是基于移动代码,装载需求和缓存技术的代码分配协议,可动态配置新的协议和服务。由于已有需求装载代码协议存在被重放的安全缺陷,影响主动节点的性能和效率,为此提出了一个安全有效的改进协议,利用Hash函数的单向性,协议双方无需对报文解密就可判断重放攻击,增强了其抵抗重放攻击的能力,并进行了安全性和计算复杂度分析。     

对两个双方密码协议运行模式的攻击及改进

In this paper,the running modes of the two-party cryptographic protocols are used to analyze the two authentication and key agreenment protocols,and attack on the protocols is discovered. Finally,two improved protocols are given.     

IP网脆弱性分析及安全控制策略的研究

针对以TCP/IP为核心的IP网面临的主要威胁进行分析,然后对系统本身存在的脆弱性进行剖析和研究,发现所有这些安全威胁和攻击之所以能够成功都在于它们利用了系统中存在的某种脆弱性。该文最后分析了网络安全的控制策略和技术,并针对具体的IP网的脆弱性提出初步的安全对策。     

ARP攻击试验性解析及防御

ARP攻击是近年来对互联网具有较大影响的恶意攻击方式,而且已经对各行业网造成了巨大威胁,却一直没有得到有效的解决,连我们熟知的杀毒软件、防火墙都挡不住ARP攻击。从分析ARP协议和欺骗原理入手,从试验中分析常见的有效ARP攻击手段及一个简单的发现算法,及时处理正在遭受ARP攻击,总结各种常用防御办法,最后设计出一个企业级的攻击防御解决方案。     

云环境下基于SOAP的Web服务应用层DoS攻击检测系统

针对云计算环境中的Web服务应用层容易遭受攻击的问题,提出一种用于Web服务应用层的基于SOAP的检测XML和HTTP层分布式拒绝服务(DDoS)攻击的防御系统。首先,从属于特定简单对象访问协议(SOAP)正常操作中提取数据集的特征值,构建相应的高斯请求模型;然后,对Web服务的网络服务描述语言(WSDL)中的一些属性进行设置,实现对攻击的初步过滤;再后,对服务请求的HTTP头部和XML内容进行检查,并与模型数据比较,进一步实现攻击检测。实验结果表明,该系统能够有效的预防多种DDoS攻击,且消耗较少的响应时间。     

AKC攻击研究:攻击方式、转换算法和实例分析

攻击者获取某主体（actor）的长期私钥后,利用该私钥伪装成其他主体欺骗actor或获取保密信息的行为被称为AKC（Actor Key Compromise）攻击.除密钥交换协议外,AKC攻击在其他类型的协议研究中较少受关注.本文强调了AKC攻击问题的重要性,并对其攻击方式和应对策略进行系统研究.通过实验总结出4类AKC攻击方式,并对应提出3类抵制AKC攻击的协议模型和设计原则.在此基础上,给出了将一般协议转换为AKCS协议（在AKC攻击下保持安全性质的协议）的启发式算法.在实例分析中,将算法应用在Email、SET、Kerberos等协议上.实验表明,上述协议受AKC攻击,但在算法的转换下,协议不再受AKC攻击影响.     

堆栈溢出攻击的原理及检测

椎栈溢出攻击是目前使用得相当普遍的一种黑客技术,分析了这种攻击技术的原理,指出了进行这种攻击时输入参数与正常情况下的差异。在此基础上提出了利用BP神经网络进行检测的方法,用实验验证了这种方法的有效性。     

针对基于离散对数多重签名方案的一种攻击

作为一种特殊的数字签名,多重签名由签名群体中的所有成员合作对给定的消息进行处理后形成整个群体的签名;而验证者只需要利用群体的唯一公钥即可对签名进行有效性检验．Harn和Ji等人提出了两个基于离散对数的多重签名方案．但陆浪如等指出了这两个方案的一个共同缺点：若部分成员合谋作弊,则群体所产生的多重签名也可以解释为由其他诚实成员所产生的多重签名．这样,在必要时,作弊成员就可以否认他们与某些多重签名有关．为了克服这一缺点,陆浪如等对这两个多重签名方案的密钥生成部分提出了两种改进．该文给出一种攻击方法以表明陆浪如等的改进多重签名方案仍然是不安全的．在这一攻击中,单个成员就能够控制群体私钥,从而能以群体的名义伪造对任何消息的多重签名．与此同时,其他成员仍可正常地产生签名,所以他们觉察不到欺诈的存在．另外,该文提出的攻击方法对改进前的方案也有效．