一种部署于源-目的端供应商的包标记方案研究

提出了一个新的包标记方案,分别部署于源端和目的端供应商,主要用来描绘DDoS攻击流特征。这些特征对于受害者过滤攻击非常有效。在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者。在经济方面,提供更好的安全措施可以作为ISP对客户的增值服务,因此也就更有积极性来部署。     

基于源-目的端ISP包标记方案研究

提出了一个基于源-目的端ISP包标记方案.此方案不再用来重构攻击路径,而主要用于刻画DDoS攻击流特征.这些特征对于受害者过滤攻击非常有效.在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者.在经济方面ISP能提供更好的安全措施作为对客户的增值服务,因此也就更有积极性来部署.     

一种基于分片包标记的改进方案

分布式拒绝服务（DDoS）攻击已经对Internet安全构成巨大威胁。由于TCP/IP协议本身的缺陷以及Internet的无状态性,使受害者对攻击源的确定变得十分困难。在深入研究分片包标记方案的基础上,扩展了标记空间,设立了一个分组域来区分数据包来自于哪一分组的路由器。这样,在重构攻击路径时只需要少量的分片组合就可以验证一条边是否在实际的攻击路径中,从而缩短了收敛时间,并减少了误报数。     

一种改进的概率包标记方案

如何防御分布式拒绝服务攻击是当今最重要的网络安全问题之一。该文基于Savage等人提出的概率包标记方案,提出了改进方案,其只需4个有效分片就可以重构攻击路径,减少了IP的有效性验证次数,提高了重构攻击路径的速度。理论分析与实验结果证明了该方案的有效性。 关键词：IP追踪;拒绝服务     

基于非重复包标记的IP追踪研究

防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一。在基本包标记的基础上,提出了非重复包标记的方法,并运用自适应策略分析标记概率,有效地减少了路径重构所需的数据包数和路由器的标记工作量,提高了路径重构的效率。     

一种改进的数据包标记追踪方案——CDPM

为了提高受害端重构攻击路径的效率,提出了一种周期式确定包标记的复合式方案.该方案以5个分片一组表示边信息,路由器周期式地对数据包进行标记.对于边状态的变化,方案采用路由器检测标记信息的方法进行同步,以确保标记的准确性和鲁棒性.与传统的概率包标记方案相比较,该方案只需要标记较少的数据包即可重建攻击路径,较好处理含伪造地址的数据包,有效地解决了数据包遗失的问题.理论分析与实验结果证明了该方案的有效性.     

一种分块包标记的IP追踪方案

DDoS攻击以其高发性、高破坏力和难以防范的特点,近年来成为互联网的主要安全威胁之一.研究者们提出了多种对抗DDoS攻击的方法.其中,Savage等人提出的概率包标记方案以其易于实施、消耗资源小等优点,引起人们的重视.然而概率包标记方案存在两个明显缺陷：多攻击路径重构时的高误报率和高计算复杂度.在概率包标记的基础上,提出了一种分块包标记方案,该方案与概率包标记方案相比具有较低的误报率和较低的计算复杂度,因而具有更高的实际应用意义.     

一种准确快速定位的节点包标记算法*

目前对于拒绝服务攻击 (DoS)和分布式拒绝服务攻击(DDoS),概率包标记(PPM)和高级包标记方案(AMS)是有效的IP追踪技术,但其存在很大的误报率,不能快速追踪到攻击者。在AMS的基础上改进了包标记方法,合理假设在一个自治系统中,采用节点标记方法,经理论分析能降低误报率;经实验验证用较少的数据包就可以快速准确地定位到攻击者。     

一种新的DDoS攻击源追踪包标记方法

分布式拒绝服务（DDoS）攻击是目前最难处理的网络难题之一,在提出的多种对策中,通过包标记方法来进行IP跟踪受到广泛重视。提出了一种新的包标记方法（IPPM）,来改进包标记方法需要网络中每个路由器都支持的弱点。通过实验表明,在包标记方法不完整配置的网络中,该方法能有效地重构攻击路径并且误报率很低。     

基于跨区域追踪的确定包标记方案

提出一种可以跨区域追踪分布式拒绝服务攻击来源的确定包标记方案,通过将基于中国余数定理的数据包标记算法与DPM-RD方案结合,实现更好的追踪性能。理论分析与仿真结果表明,在攻击数量大幅增长的情况下,该方案的误报率基本不变,与同类方案相比,只需更少的数据包即可在较短时间内重构攻击路径。     

防御DDoS攻击的智能过滤模型

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络最大的安全威胁之一,如何防御DDoS攻击已经引起了人们的广泛关注,然而关于在DDoS攻击发生时减轻攻击危害的这方面工作却很少。阐述了一种基于IP返回追踪的数据包智能过滤模型,能够在DDoS攻击正在发生时尽可能响应合法用户的请求,提高合法通信的吞吐量。     

大流量优先的实时IP随机包标记反向追踪

在现有IP随机包标记反向追踪算法实时性的研究基础上,分析了标记概率、推测路径需要的数据包数量和攻击路径距离的关系,提出一个大流量优先的实时IP随机包标记反向追踪方法LTFMS,利用路由器节点当前流量统计,受害者可在最短时间内推测出主要攻击路径。通过建立模拟测试环境实验分析,对于大规模DDoS攻击,该方法在相同时间内可比现有方法推测出更多的攻击路径。     

针对WSN的DDoS攻击的改进概率包标记算法研究*

当无线传感器网络（WSN）遭受分布式拒绝服务（DDoS）攻击时,攻击者会传送大量攻击数据包到受害主机,使其迅速消耗资源而无法正常运作,最终造成网络瘫痪。为了检测针对资源有限的WSN的DDoS攻击,基于传统网络的概率包标记算法提出一个改进概率包标记算法,使其适应在WSN中检测DDoS攻击。改进的算法减少了重建攻击路径所需的攻击数据包,从而减少WSN的资源消耗,弥补了WSN资源有限的缺陷。     

基于MAC认证的新型确定性包标记

在入口路由器数目大于攻击者数目时,基于Hash摘要的DPM(HDPM)算法的假阳率远高于其分析说明,由此提出一种基于MAC认证的新型确定性包标记(NADPM)方法,利用IP地址和MAC认证消息根据不同网络协议选择不同位数灵活地进行包标记。理论分析和模拟结果表明,该NADPM方法的假阳率远低于HDPM算法,且其最大可追踪攻击者数达140 000。     

基于随机包标记的不重复标记追踪模型*

DDoS攻击传统的防御措施包括如防火墙、入侵检测系统等采取的是被动防御的策略,防御效果不够理想。采用主动防御策略的攻击源追踪技术,提出一种新的攻击源追踪模型,不需要AMS算法所要求的受害者预先具备上游拓扑数据的强假设前提。新的标记算法对标记过边信息的包不再重复标记,通过上游路由器的配合确认就能定位攻击源,与AMS算法和改进后的AEMS算法相比收敛速度更快,受标记概率和路径长度的影响更小、更稳定。     

Building an Identity Management Infrastructure for Today…and Tomorrow

ABSTRACT

The basis of denial of service (DoS)/distributed DoS (DDoS) attacks lies in overwhelming a victim's computer resources by flooding them with enormous traffic. This is done by compromising multiple systems that send a high volume of traffic. The traffic is often formulated in such a way that it consumes finite resources at abnormal rates either at victim or network level. In addition, spoofing of source addresses makes it difficult to combat such attacks. This paper adopts a twofold collaborative mechanism, wherein the intermediate routers are engaged in markings and the victim uses these markings for detecting and filtering the flooding attacks. The markings are used to distinguish the legitimate network traffic from the attack so as to enable the routers near the victim to filter the attack packets. The marked packets are also helpful to backtrack the true origin of the spoofed traffic, thus dropping them at the source rather than allowing them to traverse the network. To further aid in the detection of spoofed traffic, Time to Live (TTL) in the IP header is used. The mappings between the IP addresses and the markings along with the TTLs are used to find the spurious traffic. We provide numerical and simulated experimental results to show the effectiveness of the proposed system in distinguishing the legitimate traffic from the spoofed. We also give a statistical report showing the performance of our system.     

一种改进的DDoS攻击综合防御系统*

为了在IPv4网络下进一步提高防御DDoS攻击的实时性,提出DDoS防御系统的构想,将客户端防御系统与自适应包标记有效地结合起来,既可以检测防御DDoS攻击,又可以进行追踪攻击源;同时提出一个新的标记方案,该方案利用了TTL域和改进的自适应包标记的方法。与其他标记方法相比,其具有灵活性好、误报率低、计算量小的优点。经验证该系统用较少的数据包即可重构攻击路径,在最大限度上降低了攻击造成的损失。     

基于自适应包标记的IP源追踪方案

防御分布式拒绝服务(DDoS)攻击是当前网络攻击研究的重要课题,本文提出了一种DDoS攻击追踪方案的构想,在自适应包标记理论的基础上,提出了新的改进算法,该方案利用了TTL域和并提出了一种伸缩性的包标记策略,可以通过更少的数据包更快的定位出攻击源。同以往方法比较,该算法的灵活性好,并且误报率很低。经仿真实验证明该系统用较少的数据包即追踪IP源,最大限度的减少了攻击带来的损失。