共查询到19条相似文献,搜索用时 125 毫秒
1.
2.
3.
提出了一个基于源-目的端ISP包标记方案.此方案不再用来重构攻击路径,而主要用于刻画DDoS攻击流特征.这些特征对于受害者过滤攻击非常有效.在过滤方面,提出了一个比率控制方案,通过限制攻击流并保持合法数据流不受影响来有效保护受害者.在经济方面ISP能提供更好的安全措施作为对客户的增值服务,因此也就更有积极性来部署. 相似文献
4.
自适应分布式拒绝服务攻击的防御机制研究 总被引:1,自引:0,他引:1
该文提出了一种基于路由器协同的自适应分布式拒绝服务攻击的入侵检测和防御机制。该机制基于对链路拥塞的检测及丢包率的分析实现攻击检测并构造攻击特征,然后对符合攻击特征的包进行速率限制,同时将攻击特征与速率限制请求通过路由器之间的回溯追踪协议向攻击源方向逐跳传递,并在沿途经过的路由器上实施速率限制,在迅速缓解网络拥塞和抑制DDoS攻击的同时最大程度地保护了正常网络流的通信。该文还在网络仿真平台NS2上实现了该机制,实验结果表明该算法有效地实现了抑制攻击和保护正常网络流的预期目的。 相似文献
5.
王燕 《计算机应用与软件》2011,28(2)
DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包. 相似文献
6.
分布式拒绝服务攻击是目前Internet面临的主要威胁之一.攻击路径追踪技术能够在源地址欺骗的情况下追踪攻击来源,在DDoS攻击的防御中起到非常关键的作用.在各种追踪技术中随机包标记法具有较明显的优势,然而由于较低的标记信息利用率,追踪速度仍然不够快.为了提高追踪速度提出一种无日志的快速攻击路径追踪算法.该算法利用少量路由器存储空间和带内信息传输方式提高标记信息利用率,不仅大大提高了追踪速度,而且避免占用额外的网络带宽. 相似文献
7.
8.
9.
针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。 相似文献
10.
包标记算法是IPv4下追踪DDOS攻击源最多的一种方法,但IPv6下实施困难.由此对IPv6下包标记方法的可行性进行了研究.为有效和安全的部署和实施数据包标记算法,利用IPv6新的特点,并结合标记流标签等字段,提出两种基于IPv6的改进方案AMS-v6和APPM-v6.在IPv4和IPv6协议下设计模型分别对两种算法进行实验对比,仿真实验结果表明了该算法在IPv6下数据包标记的有效性和适用性,并有效减少重构时间和所需数据包数量,提高重构攻击路径的速度. 相似文献
11.
12.
13.
防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一.在自适应包标记的基础上,提出了有效计算攻击图各个路由器的本地发包率的方法,进一步提出了受害者重构攻击路径和定位攻击源的方法.受害者只要利用收集到的数据包就能更快更准的定位攻击源. 相似文献
14.
针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法.该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流.实验结果表明了该算法的有效性和精确性. 相似文献
15.
IP traceback-based intelligent packet filtering: a novel technique for defending against Internet DDoS attacks 总被引:3,自引:0,他引:3
Minho Sung Jun Xu 《Parallel and Distributed Systems, IEEE Transactions on》2003,14(9):861-872
Distributed Denial of Service (DDoS) is one of the most difficult security problems to address. While many existing techniques (e.g., IP traceback) focus on tracking the location of the attackers after-the-fact, little is done to mitigate the effect of an attack while it is raging on. We present a novel technique that can effectively filter out the majority of DDoS traffic, thus improving the overall throughput of the legitimate traffic. The proposed scheme leverages on and generalizes the IP traceback schemes to obtain the information concerning whether a network edge is on the attacking path of an attacker ("infected") or not ("clean"). We observe that, while an attacker will have all the edges on its path marked as "infected," edges on the path of a legitimate client will mostly be "clean". By preferentially filtering out packets that are inscribed with the marks of "infected" edges, the proposed scheme removes most of the DDoS traffic while affecting legitimate traffic only slightly. Simulation results based on real-world network topologies all demonstrate that the proposed technique can improve the throughput of legitimate traffic by three to seven times during DDoS attacks. 相似文献
16.
利用提升小波方法对受到LDoS攻击的TCP业务流采样样本的自相似性进行分析,NS2模拟实验结果表明,在攻击期间的混合流样本与正常流样本的Hurst指数有较大的差别,由此提出了一个基于提升小波的低速率拒绝服务攻击早期检测方法。 相似文献
17.
基于网络层路由协议的缺省单一路径难以满足高带宽应用的端到端传输需求,多径传输是一种有效方式。在基于应用层中继的多径传输系统的基础上,提出基于应用层流量优化的中继路径选择方案:借助于应用层流量优化机制,提出中继路径选择过程中遵循的规则,提出基于运营商定义域的最优中继路径生成算法,为数据传输分配优质的中继路径,同时在运营商定义域之间以及中继服务转发器之间保持负载均衡。仿真结果表明,提出的方案在选择优质中继路径方面具有较优性能,同时能够灵活地均衡运营商定义域之间的负载。 相似文献
18.